More Related Content
Similar to Tietovastuu - Pilvipalveluiden turvallisuus
Similar to Tietovastuu - Pilvipalveluiden turvallisuus (20)
Tietovastuu - Pilvipalveluiden turvallisuus
- 1. TIEDON DIGITAALISET KUVIOT JA VARAUTUMISEN
ASKELMERKIT
Pilvipalveluiden turvallisuus
Mikko Larikka / Nixu Oy
20.11.2012 © Nixu 2012 1
- 2. Nixu Oy
Pohjoismaiden suurin
tietoturvakonsultointiin erikoistunut
asiantuntijayritys: liikevaihto 14m€
(2011) ja henkilöstö 135.
Nixu – ohjeistaa, rakentaa,
kehittää ja tarkastaa
asiakkaidensa tietoturvaa
riippumattomana neuvonantajana.
Tavoitteena on varmistaa
asiakkaiden toiminnan jatkuvuus
sekä sähköisten palvelujen
toimivuus ennakoimalla ja
ehkäisemällä tietoturvaan liittyviä
riskejä.
20.11.2012 © Nixu 2012 2
- 3. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden
riskit sopimukset jatkuvuus
Yhteenveto
20.11.2012 © Nixu 2012 3
- 4. Pilvipalveluiden riskit 1 - 4
Pilvipalvelujen käyttöönotto hallitsemattomasti, johdon tietämättä
– Ulkoisen hankinnan periaatteet ja prosessit, pilviturvallisuuskulttuuri
– Käytössä olevien pilvipalveluiden tunnistaminen, sopimusten rekisteröinti
Turvallisuusvaatimukset eivät ole osa sopimusta
– Riskien arviointi, alihankkijat (ketjutus), muutoshallinta
– Turvallisuusvaatimusten määrittely ja mittaaminen säännöllisesti
Turvallisuustasosta vähän tai ei lainkaan tietoa
– Riippumaton turvallisuusarviointi, sertifioinnit
– Reaaliaikainen valvonta, säännöllinen sisäinen turvallisuusarviointi
Informaation siirtyminen lainvastaisesti
– Laista johtuvat tiedon sijainnin rajoitukset
– Laista johtuva turvallisuustasovaatimus (esim. tietoturvatasot)
20.11.2012 © Nixu 2012 4
- 5. Pilvipalveluiden riskit 5 - 7
Tiedon turvallisuustason epäjohdonmukaisuudet
– Tiedon pääsynhallinta, tarvittaessa salaaminen, elinkaari
– Tiedon turvallisuustasovaatimus, turvallisuustasoehto
Turvallisuusarkkitehtuuri ei kata pilvipalveluja
– Organisaation pääsynhallinnan ulottaminen pilvipalveluihin
– Reaaliaikaisen valvonnan välineet, erityisesti tietovuotojen seuraaminen
Saatavuuden häiriötilanteet
– Saatavuustason määrittely, tekniset käytännön järjestelyt (siirrettävyys)
– Tietoturvaloukkauksen aiheuttamat häiriötilanteet, jatkuvuussuunnittelu
20.11.2012 © Nixu 2012 5
- 6. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden
riskit sopimukset jatkuvuus
Yhteenveto
20.11.2012 © Nixu 2012 6
- 7. Pilvipalveluiden sopimukset
Asiakokonaisuudet
– Pilvipalveluntarjoajasopimukset, rinnastuvat ulkoistussopimuksiin
– Innovaatio, keksintö, menetelmä- ja yksityisen tiedon turvaaminen
– Pilvipalvelun lainmukaisuus kohteena olevan palvelun näkökulmasta
Tehtäväkokonaisuudet
– Pilvipalveluun siirtyvän tiedon dokumentointi ja turvallisuusluokittelu
– Laista johtuvat tiedon sijainnin rajoitukset ja turvallisuustasovaatimus
– Kokonaisuudelta vaadittavan turvallisuustason ja –ehdon määrittäminen
– Strategia tietomurron aiheuttaman kustannuksen ja vaikutuksen
vähentämiseksi (esim. tiedon minimointi, rajaaminen, reagointi)
– Pilvipalvelusopimuksen turvallisuusarviointi
20.11.2012 © Nixu 2012 7
- 8. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden
riskit sopimukset jatkuvuus
Yhteenveto
20.11.2012 © Nixu 2012 8
- 9. Pilvipalveluiden jatkuvuus
Asiakokonaisuudet
– Liiketoimintavaatimukset saatavuudelle ja jatkuvuudelle
– Onko kyseessä liiketoimintakriittinen palvelu?
Kukaan pilvipalvelutarjoaja ei voi taata 100% saatavuutta
– Onko pilvipalveluiden siirto toiselle toimittajalle mahdollista?
Tehtäväkokonaisuudet
– Liiketoimintavaatimuksien dokumentointi ja analysointi (BIA, työpajat)
– Kokonaisuudelta vaadittavan jatkuvuustason ja –ehdon määrittäminen
– Strategia tietomurron aiheuttaman tuotantokatkoksen vähentämiseksi
(esim. palautumissuunnitelma)
– Pilvipalvelusopimuksen jatkuvuusarviointi
20.11.2012 © Nixu 2012 9
- 10. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden
riskit sopimukset jatkuvuus
Yhteenveto
20.11.2012 © Nixu 2012 10
- 11. Yhteenveto
Riskinotto on osa normaalia
liiketoimintaa – ja riskienhallinta on
oleellinen osa liiketoimintaa
Pilvipalvelut voiva lisätä arvoketjun
tuottavuutta ulkoistuksen keinoin –
myös riskit ovat ulkoistukselle
tyypillisiä.
Oleellista on riskien arviointi
tapauskohtaisesti, tehokkaiden
kontrollien määritys ja toteutus.
Turvallisuusperiaatteet ja –ohjeet
ovat perusta organisaation
turvallisuuskulttuurille ja
riskienhallinnalle.
20.11.2012 © Nixu 2012 11
- 12. Nixu Oy
P.O. Box 39 (Keilaranta 15)
FI-02150 Espoo
Finland
Tel +358 9 478 1011
Fax +358 9 478 1030
20.11.2012 © Nixu 2012 12