1. LUONNOS!
Tietoturvallisen PiPa:n
hankinta
tai oikeastaan mikä vaan hanke, projekti..
HUOM! Powerpointissa asiat käydään läpi
tietoturvallisuutta korostaen
26.03.2012
2. Pilvi, Kaikilla osapuolilla erilaiset mielipiteet
Accenture:
”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten
ohjelmistojen, laitteistojen tai palveluiden dynaamista
tarjoamista asiakkaiden käyttöön verkon välityksellä”.
Käyttäjät
Ilmaisia, halpoja, helppoja käyttää, ei turhia
tietoturvahömpötyksiä, ei tarvita IT:tä…
IT
Harmia
3. Toimittajalla ja asiakkaalla erilaiset toiveet
Toimittaja tarjoaa
• Pakettiratkaisu ilman asiakaskohtaisia
räätälöintejä ja SLA-tasoja
• Mahdollisimman pitkä sopimus
• Dynaaminen nopea hinnantarkistus
Asiakas toivoo
• Räätälöitävät, helposti muokattavat ratkaisut
• Varmuus, mutta joustavuus ja irtisanomismahdollisuus. Helppo
palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu.
• Vakaa hinnoittelu.
4. Pilvipalveluiden tietoturvaongelmia
• Tiedon häviäminen tai tietovuoto
• Toimittajaan liittyvät riskit (exit plan)
• Ongelmien selvittäminen, forensiikka
• Tunnusten kaappaaminen
• Pilviteknologiasta aiheutuvat haavoittuvuudet
• Omien tietoturvakäytäntöjen ulottaminen
ulkopuoliseen palveluun, (esim. pääsynhallinnan
käytännöt)
• Jaettu alusta, tiedon eristäminen tai salaaminen.
5. Tyypilliset sidosryhmät hankkeen aikana
• Asiakkaat, yksiköt, laitokset, käyttäjät
• Innolla hankkimassa jotain
• Asiakkuuspäällikkö, tai muu Asiakkaan kontaktipiste,”
IT palveluiden myyjä”
• Projektipäällikkö
Kun todetaan että hyvä juttu, projekti alkaa
• Hankinta, hankintaosaajat,
• Pohditaan, tarkistetaan, kilpailutetaan…
• Tietoturvaryhmä (TTR)
• Kommentoidaan, autetaan, auditoidaan..
• IT
• Asentaa ja ylläpitää…
6. Asiakkaalla joku Idea tai tarve
Lähtee liikkeelle vaatimusten perusteella
Polku A - virallinen IT:n-tukema Polku B - Kevyt
Jos käyttöön järjestelmä”
liittyy jotain seuraavista Jos palvelua tarvitaan pienen yhteisön
• Henkilötietoja, salassa pidettävää käyttöön tai tarve on henkilökohtaiselle
• Pankkitietoja palvelulle, esim:
• Käytettävyys 24/7 • Materiaalin jako
• Lisenssikustannuksia • Verkkotyöskentely
• suuri käyttäjämäärä, useita • ”Web presence”, yhteisöt
yksiköitä… • Bloggaus..
Aina yhteys asiakkuuspäälliköihin Ratkaisu löytyy: Wiki-sivu -
• Uusi ratkaisu, hankinta tehtävä Pilvi.aalto.fi
yhteistyössä asiakkuuspäällikön • Lista hyväksytyistä ja suositelluista
kanssa palveluista
• Tai sopiva käytössä oleva palvelu, • Ohjeistuksia
AM osaavat myös hyödyntää ja • Ehdotukset uusista
ohjata käytössä oleviin palveluihin. palveluista, pyynnöt ohjautuvat
aiheesta vastaavalle yksikölle
7. Edellisen kalvon ”Polku A” –
oikein viedyn hankkeen vaiheet lyhyesti
Esiselvitys Toteutus Lopetus
(Asiakkuuspäällikkö) (Projektipäällikkö) (Projektipäällikkö)
OK juttu, aletaan Varsinainen projekti Siirtyy asiakkaalle
tekemään.. alkaa.. mm:
Mm. nämä tehtävä: • Käyttöönotto
Asiakkuuspäällikkö ja • Vaatimusmäärittelyt • Testaus
asiakas: • Kilpailutus • Ohjeet
Selvitetään, • Sopimukset • Muut dokumentit
mitä, kenelle, kuinka • Tekninen suunnittelu • Rekisteriseloste
tärkeä, SLA • Asennukset …
…
(Pyrkimys) Tietoturva, IT arkkitehdit Tietoturvaryhmä, IT
Aina tiedoksi osallistuu kaikkiin vaiheisiin arkkitehdit, muu IT
tietoturvaryhmälle, IT tarpeen mukaan. avustaa.
arkkitehdeille, muut Voidaan myös
olennaiset ryhmät, jotta auditoida, oma
tiedetään mitä tekeillä. tietoturvaryhmä tai
ulkopuolinen
8. Esiselvitys tarkemmin
Esiselvitys Esiselvityksen helpottamiseksi on tehty
) tarkistuslista, mitä pitää ottaa huomioon kun
Asiakkuuspäällikkö ja keskustellaan asiakkaan kanssa?
asiakas keskustelevat:
Selvitetään, Selvitettävä asiakkaan kanssa:
mitä, kenelle, kuinka
tärkeä
Pakolliset tiedot
• Tiedon laatu, tietosuojan alaista tietoa?
Asiakas ja vain asiakas • Muuta luottamuksellista tai sisäistä tietoa:
tietää oikean tilinpäätöstietoa, sopimuksia, tutkimustietoa.
käyttötarpeen mutta • käyttäjät, vain henkilökunta, koko Aalto?
pitää osata kysyä oikeat
kysymykset • Materiaalin dynaamisuus? Onko materiaali
tallennettu myös toiseen järjestelmään?
• Käyttäjien määrä?
Tietoturvaryhmä voi
osallistua Jos kohtuullisella työllä selvitettävissä,
keskusteluihin. (HUOM! • Käytettävyysvaatimuksia, (järjestelmän
Jos on resursseja..). saatavuus)
• Alustava tekninen kuvaus järjestelmästä (jos
tiedossa), verkkoyhteydet, tietokannat?
9. Esiselvitys jatkuu
Esiselvitys vaiheessa on ”pakko” selvittää myös
järjestelmän alustava tärkeysluokka yhteistyössä
asiakkaan ja tietoturvaryhmän kanssa.
Tärkeysluokalla on suuri vaikutus tietoturvavaatimuksiin ja
tarvittavaan dokumentaatioon.
Perustuu yliopiston omaan tärkeysluokitukseen
”Järjestelmän merkitys tutkimukselle ja opetukselle”
Liian suuret vaatimukset esimerkiksi varmistusten suhteen
nostavat kustannuksia
10. Seuraava vaihe, vaatimukset
Tyypillisesti Kun tiedetään mitä, kenelle ja kuinka
Projekti/hanke tärkeä järjestelmä on, voidaan edetä
päällikkö vastuussa yksityiskohtaisten vaatimusten
määrittelyyn.
Vaatimusmäärittelyt
Kilpailutuksen
valmistelu
• Tietoturvavaatimusten pohjana
käytetään yhteistyönä tehtyä pohjaa.
Vaatimusten teossa
mukana, Projektipäällikkö, hankinta,
tietoturva, arkkitehdit)
• Järjestelmästä riippuen vaatimusten
Tietoturvaryhmä
avustaa tarpeen iterointi voi viedä viikkoja.
mukaan. • Lopulliset vaatimusmäärittelyt on aina
tarkistutettava Tietoturvaryhmän
projektivastaavalla.
11. Vaatimukset kerätään taulukkoon (tietoturvavaatimuksia 54 kpl..)
Joka vaatimukselle pyritään
kertomaan peruste, miksi
vaaditaan, tai lisätietoa miten
voidaan toteuttaa, linkkejä, (ei
toimittajalle)
12. Vaatimukset ja muu dokumentaatio valmis
edetään Hankintaan
Toteutus • Markkinoiden kartoitus
(Projektipäällikkö) • Osallistuu : Hankinta, tietoturva, arkkitehdit,
IT
Kilpailutus
Sopimukset • Hankinnan valmistelu
Tekninen suunnittelu • Kilpailutus (julkinen minimissään 3kk)
Asennukset • Toimittajakeskustelut
…
• Tarkennuksia, vastauksia
Huonosti tehty kilpailutus ja vaatimukset
voivat johtaa markkinaoikeuteen tai
Tietoturvaryhmä käyttökelvottomaan järjestelmään!
osallistuu kaikkiin
vaiheisiin tarpeen
mukaan.
13. Jos hankinta onnistui... käyttöönotto
Projektipäällikön tietoturvaohje:
Sopimukset
Tekninen suunnittelu • Poikkeamien käsittely
Asennukset • Riskianalyysit
…
• NDA-sopimukset
• Määrittää projektin aikaiset
vastuut, oikeudet ja periaatteet.
• Vastaa työhön osallistuvan
henkilöstön
ohjeistamisesta, kouluttamisesta sekä
Tietoturvaryhmän
rooli:
valvonnasta.
osallistuu kaikkiin • Tietoturvakäytännöt, tilat, dokumenttie
vaiheisiin tarpeen
mukaan.
n käsittely, varmistukset….
14. Ja viimeisenä, lopetusvaihe
Lopetus Projektipäällikön tietoturvaohje:
• Kaikkeen aineistoon ja työmateriaaleihin on
Siirtyy asiakkaalle
merkitty turvallisuusluokitus.
Käyttöönotto
Testaus • Hävitettäväksi päätetty aineisto on hävitetty
Ohjeet asianmukaisesti
Muut dokumentit • Kaikki taltioitava aineisto on luovutettu
Rekisteriselosta
päätetyille tahoille.
…
• Osallistujille on kerrottu projektin loppumisen
jälkeiset vastuut.
• Järjestelmälle tehdään tarvittaessa tietoturva-
Tietoturvaryhmä auditointi.
avustaa. • ...
Voi auditoida
15. Lopetusvaihe, tietoturvan tarkistuslista (24
kohtaa)
1 Projektin tarkistuslista
1.1 Projektin aloitus
Projektin vastuut on sovittu OK
tietoturvaryhmän projektivastaava OK
projektipäällikkö OK
1.2 Projektin valmisteluvaihe
- projektille on määritelty ohjausryhmän tai vastaavan hyväksymä turvallisuustaso
1.3 Suunnitteluvaihe
- Vaatimusmäärittelyt tarkistettu ja hyväksytetty
- Riskianalyysi on tehty ja riskien seuranta ja niihin reagointi on sovitusti vastuutettu
1.4 Toteutusvaihe
- Projektin henkilöt on nimetty ja ulkopuolisien kanssa on tehty NDA-sopimukset OK
- Järjestelmälle tehdään tarvittaessa tietoturva-auditointi
1.5 Projektin lopetus
- Hävitettäväksi päätetty aineisto on hävitetty asianmukaisesti
- Kaikki taltioitava aineisto on luovutettu päätetyille tahoille.
- Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut.
16. Polku B– valitse ja käytä eli Aalto Pilvi
Jos palvelua tarvitaan pienen yhteisön ”Just use”
käyttöön tai tarve on henkilökohtaiselle
palvelulle, esim:
• materiaalin jako
https://wiki.aalto.fi/display/
• verkkotyöskentely AaltoPilvi/Home
• ”Web presence”
• henkilökohtainen verkkopalvelu
• bloggaus • Secondlife
• yhteisötyöskentely
• Yammer
• Facebook
Palveluiden Wiki-sivu
• ehdotukset uusista
• GoogleDocs
palveluista, pyynnöt ohjautuvat • Doodle
aiheesta vastaavalle yksikölle
• lista hyväksytyistä ja suositelluista
• …
palveluista
• ohjeistuksia