SlideShare a Scribd company logo

Tietovastuu - Pilvipalveluiden turvallisuus

Nixu Corporation
Nixu Corporation
1 of 12
TIEDON DIGITAALISET KUVIOT JA VARAUTUMISEN ASKELMERKIT Pilvipalveluiden turvallisuus Mikko Larikka / Nixu Oy 20.11.2012 © Nixu 2012 1
Nixu Oy  Pohjoismaiden suurin tietoturvakonsultointiin erikoistunut asiantuntijayritys: liikevaihto 14m€ (2011) ja henkilöstö 135.  Nixu – ohjeistaa, rakentaa, kehittää ja tarkastaa asiakkaidensa tietoturvaa riippumattomana neuvonantajana.  Tavoitteena on varmistaa asiakkaiden toiminnan jatkuvuus sekä sähköisten palvelujen toimivuus ennakoimalla ja ehkäisemällä tietoturvaan liittyviä riskejä. 20.11.2012 © Nixu 2012 2
Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 3
Pilvipalveluiden riskit 1 - 4  Pilvipalvelujen käyttöönotto hallitsemattomasti, johdon tietämättä – Ulkoisen hankinnan periaatteet ja prosessit, pilviturvallisuuskulttuuri – Käytössä olevien pilvipalveluiden tunnistaminen, sopimusten rekisteröinti  Turvallisuusvaatimukset eivät ole osa sopimusta – Riskien arviointi, alihankkijat (ketjutus), muutoshallinta – Turvallisuusvaatimusten määrittely ja mittaaminen säännöllisesti  Turvallisuustasosta vähän tai ei lainkaan tietoa – Riippumaton turvallisuusarviointi, sertifioinnit – Reaaliaikainen valvonta, säännöllinen sisäinen turvallisuusarviointi  Informaation siirtyminen lainvastaisesti – Laista johtuvat tiedon sijainnin rajoitukset – Laista johtuva turvallisuustasovaatimus (esim. tietoturvatasot) 20.11.2012 © Nixu 2012 4
Pilvipalveluiden riskit 5 - 7  Tiedon turvallisuustason epäjohdonmukaisuudet – Tiedon pääsynhallinta, tarvittaessa salaaminen, elinkaari – Tiedon turvallisuustasovaatimus, turvallisuustasoehto  Turvallisuusarkkitehtuuri ei kata pilvipalveluja – Organisaation pääsynhallinnan ulottaminen pilvipalveluihin – Reaaliaikaisen valvonnan välineet, erityisesti tietovuotojen seuraaminen  Saatavuuden häiriötilanteet – Saatavuustason määrittely, tekniset käytännön järjestelyt (siirrettävyys) – Tietoturvaloukkauksen aiheuttamat häiriötilanteet, jatkuvuussuunnittelu 20.11.2012 © Nixu 2012 5
Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 6
Pilvipalveluiden sopimukset  Asiakokonaisuudet – Pilvipalveluntarjoajasopimukset, rinnastuvat ulkoistussopimuksiin – Innovaatio, keksintö, menetelmä- ja yksityisen tiedon turvaaminen – Pilvipalvelun lainmukaisuus kohteena olevan palvelun näkökulmasta  Tehtäväkokonaisuudet – Pilvipalveluun siirtyvän tiedon dokumentointi ja turvallisuusluokittelu – Laista johtuvat tiedon sijainnin rajoitukset ja turvallisuustasovaatimus – Kokonaisuudelta vaadittavan turvallisuustason ja –ehdon määrittäminen – Strategia tietomurron aiheuttaman kustannuksen ja vaikutuksen vähentämiseksi (esim. tiedon minimointi, rajaaminen, reagointi) – Pilvipalvelusopimuksen turvallisuusarviointi 20.11.2012 © Nixu 2012 7
Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 8
Pilvipalveluiden jatkuvuus  Asiakokonaisuudet – Liiketoimintavaatimukset saatavuudelle ja jatkuvuudelle – Onko kyseessä liiketoimintakriittinen palvelu?  Kukaan pilvipalvelutarjoaja ei voi taata 100% saatavuutta – Onko pilvipalveluiden siirto toiselle toimittajalle mahdollista?  Tehtäväkokonaisuudet – Liiketoimintavaatimuksien dokumentointi ja analysointi (BIA, työpajat) – Kokonaisuudelta vaadittavan jatkuvuustason ja –ehdon määrittäminen – Strategia tietomurron aiheuttaman tuotantokatkoksen vähentämiseksi (esim. palautumissuunnitelma) – Pilvipalvelusopimuksen jatkuvuusarviointi 20.11.2012 © Nixu 2012 9
Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 10
Yhteenveto  Riskinotto on osa normaalia liiketoimintaa – ja riskienhallinta on oleellinen osa liiketoimintaa  Pilvipalvelut voiva lisätä arvoketjun tuottavuutta ulkoistuksen keinoin – myös riskit ovat ulkoistukselle tyypillisiä.  Oleellista on riskien arviointi tapauskohtaisesti, tehokkaiden kontrollien määritys ja toteutus.  Turvallisuusperiaatteet ja –ohjeet ovat perusta organisaation turvallisuuskulttuurille ja riskienhallinnalle. 20.11.2012 © Nixu 2012 11
Nixu Oy P.O. Box 39 (Keilaranta 15) FI-02150 Espoo Finland Tel +358 9 478 1011 Fax +358 9 478 1030 20.11.2012 © Nixu 2012 12

Recommended

Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanPietari Sarjakivi
 
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanNixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanPietari Sarjakivi
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiSuccess Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiFinceptum Oy
 
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Nixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 

Recommended

Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanPietari Sarjakivi
 
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanNixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanPietari Sarjakivi
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiSuccess Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiFinceptum Oy
 
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Nixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Nixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNordnet Suomi
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Kim Westerlund
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016Nixu Corporation
 
Cyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsCyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsLeonardo
 
Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Jyrki Kasvi
 
Network Automation in Support of Cyber Defense
Network Automation in Support of Cyber DefenseNetwork Automation in Support of Cyber Defense
Network Automation in Support of Cyber DefenseRichard Larkin
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Pilvion Data Care palvelut
Pilvion Data Care palvelutPilvion Data Care palvelut
Pilvion Data Care palvelutMarko Ruusinen
 
Bisnestreffit valli 18.1.2013
Bisnestreffit valli 18.1.2013Bisnestreffit valli 18.1.2013
Bisnestreffit valli 18.1.2013Timo Valli
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010Kim Westerlund
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnet Suomi
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskitKuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskitValtiokonttori / Statskontoret / State Treasury of Finland
 

More Related Content

Viewers also liked

Nixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNordnet Suomi
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Kim Westerlund
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
Cyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsCyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsLeonardo
 
Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Jyrki Kasvi
 
Network Automation in Support of Cyber Defense
Network Automation in Support of Cyber DefenseNetwork Automation in Support of Cyber Defense
Network Automation in Support of Cyber DefenseRichard Larkin
 

Viewers also liked (8)

Nixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus NordnetNixu 30.8.2016 First North -tilaisuus Nordnet
Nixu 30.8.2016 First North -tilaisuus Nordnet
 
Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009Higher education IAM-seminar Turku 10.12.2009
Higher education IAM-seminar Turku 10.12.2009
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016
 
Cyber Defense: three fundamental steps
Cyber Defense: three fundamental stepsCyber Defense: three fundamental steps
Cyber Defense: three fundamental steps
 
Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?Finland, a cyber threat preparedness forerunner?
Finland, a cyber threat preparedness forerunner?
 
Network Automation in Support of Cyber Defense
Network Automation in Support of Cyber DefenseNetwork Automation in Support of Cyber Defense
Network Automation in Support of Cyber Defense
 

Similar to Tietovastuu - Pilvipalveluiden turvallisuus

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Pilvion Data Care palvelut
Pilvion Data Care palvelutPilvion Data Care palvelut
Pilvion Data Care palvelutMarko Ruusinen
 
Bisnestreffit valli 18.1.2013
Bisnestreffit valli 18.1.2013Bisnestreffit valli 18.1.2013
Bisnestreffit valli 18.1.2013Timo Valli
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010Kim Westerlund
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnet Suomi
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnet Suomi
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaFinceptum Oy
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
 
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo SaloPilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo SaloImmo Salo
 

Similar to Tietovastuu - Pilvipalveluiden turvallisuus (20)

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
 
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
 
Pilvion Data Care palvelut
Pilvion Data Care palvelutPilvion Data Care palvelut
Pilvion Data Care palvelut
 
Bisnestreffit valli 18.1.2013
Bisnestreffit valli 18.1.2013Bisnestreffit valli 18.1.2013
Bisnestreffit valli 18.1.2013
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskitKuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
Kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturva
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
 
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo SaloPilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
Pilvipalvelut, Tampere 13.11.2013, Eufris oy, Immo Salo
 
Finva some
Finva someFinva some
Finva some
 

Tietovastuu - Pilvipalveluiden turvallisuus

  • 1. TIEDON DIGITAALISET KUVIOT JA VARAUTUMISEN ASKELMERKIT Pilvipalveluiden turvallisuus Mikko Larikka / Nixu Oy 20.11.2012 © Nixu 2012 1
  • 2. Nixu Oy  Pohjoismaiden suurin tietoturvakonsultointiin erikoistunut asiantuntijayritys: liikevaihto 14m€ (2011) ja henkilöstö 135.  Nixu – ohjeistaa, rakentaa, kehittää ja tarkastaa asiakkaidensa tietoturvaa riippumattomana neuvonantajana.  Tavoitteena on varmistaa asiakkaiden toiminnan jatkuvuus sekä sähköisten palvelujen toimivuus ennakoimalla ja ehkäisemällä tietoturvaan liittyviä riskejä. 20.11.2012 © Nixu 2012 2
  • 3. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 3
  • 4. Pilvipalveluiden riskit 1 - 4  Pilvipalvelujen käyttöönotto hallitsemattomasti, johdon tietämättä – Ulkoisen hankinnan periaatteet ja prosessit, pilviturvallisuuskulttuuri – Käytössä olevien pilvipalveluiden tunnistaminen, sopimusten rekisteröinti  Turvallisuusvaatimukset eivät ole osa sopimusta – Riskien arviointi, alihankkijat (ketjutus), muutoshallinta – Turvallisuusvaatimusten määrittely ja mittaaminen säännöllisesti  Turvallisuustasosta vähän tai ei lainkaan tietoa – Riippumaton turvallisuusarviointi, sertifioinnit – Reaaliaikainen valvonta, säännöllinen sisäinen turvallisuusarviointi  Informaation siirtyminen lainvastaisesti – Laista johtuvat tiedon sijainnin rajoitukset – Laista johtuva turvallisuustasovaatimus (esim. tietoturvatasot) 20.11.2012 © Nixu 2012 4
  • 5. Pilvipalveluiden riskit 5 - 7  Tiedon turvallisuustason epäjohdonmukaisuudet – Tiedon pääsynhallinta, tarvittaessa salaaminen, elinkaari – Tiedon turvallisuustasovaatimus, turvallisuustasoehto  Turvallisuusarkkitehtuuri ei kata pilvipalveluja – Organisaation pääsynhallinnan ulottaminen pilvipalveluihin – Reaaliaikaisen valvonnan välineet, erityisesti tietovuotojen seuraaminen  Saatavuuden häiriötilanteet – Saatavuustason määrittely, tekniset käytännön järjestelyt (siirrettävyys) – Tietoturvaloukkauksen aiheuttamat häiriötilanteet, jatkuvuussuunnittelu 20.11.2012 © Nixu 2012 5
  • 6. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 6
  • 7. Pilvipalveluiden sopimukset  Asiakokonaisuudet – Pilvipalveluntarjoajasopimukset, rinnastuvat ulkoistussopimuksiin – Innovaatio, keksintö, menetelmä- ja yksityisen tiedon turvaaminen – Pilvipalvelun lainmukaisuus kohteena olevan palvelun näkökulmasta  Tehtäväkokonaisuudet – Pilvipalveluun siirtyvän tiedon dokumentointi ja turvallisuusluokittelu – Laista johtuvat tiedon sijainnin rajoitukset ja turvallisuustasovaatimus – Kokonaisuudelta vaadittavan turvallisuustason ja –ehdon määrittäminen – Strategia tietomurron aiheuttaman kustannuksen ja vaikutuksen vähentämiseksi (esim. tiedon minimointi, rajaaminen, reagointi) – Pilvipalvelusopimuksen turvallisuusarviointi 20.11.2012 © Nixu 2012 7
  • 8. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 8
  • 9. Pilvipalveluiden jatkuvuus  Asiakokonaisuudet – Liiketoimintavaatimukset saatavuudelle ja jatkuvuudelle – Onko kyseessä liiketoimintakriittinen palvelu?  Kukaan pilvipalvelutarjoaja ei voi taata 100% saatavuutta – Onko pilvipalveluiden siirto toiselle toimittajalle mahdollista?  Tehtäväkokonaisuudet – Liiketoimintavaatimuksien dokumentointi ja analysointi (BIA, työpajat) – Kokonaisuudelta vaadittavan jatkuvuustason ja –ehdon määrittäminen – Strategia tietomurron aiheuttaman tuotantokatkoksen vähentämiseksi (esim. palautumissuunnitelma) – Pilvipalvelusopimuksen jatkuvuusarviointi 20.11.2012 © Nixu 2012 9
  • 10. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto 20.11.2012 © Nixu 2012 10
  • 11. Yhteenveto  Riskinotto on osa normaalia liiketoimintaa – ja riskienhallinta on oleellinen osa liiketoimintaa  Pilvipalvelut voiva lisätä arvoketjun tuottavuutta ulkoistuksen keinoin – myös riskit ovat ulkoistukselle tyypillisiä.  Oleellista on riskien arviointi tapauskohtaisesti, tehokkaiden kontrollien määritys ja toteutus.  Turvallisuusperiaatteet ja –ohjeet ovat perusta organisaation turvallisuuskulttuurille ja riskienhallinnalle. 20.11.2012 © Nixu 2012 11
  • 12. Nixu Oy P.O. Box 39 (Keilaranta 15) FI-02150 Espoo Finland Tel +358 9 478 1011 Fax +358 9 478 1030 20.11.2012 © Nixu 2012 12