SlideShare a Scribd company logo

Pilvipalveluhanke tietoturvan nakokulmasta

Download as PPTX, PDF
Tomppa Järvinen
Tomppa Järvinen
1 of 17
LUONNOS! Tietoturvallisen PiPa:n hankinta tai oikeastaan mikä vaan hanke, projekti.. HUOM! Powerpointissa asiat käydään läpi tietoturvallisuutta korostaen 26.03.2012
Pilvi, Kaikilla osapuolilla erilaiset mielipiteet Accenture: ”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. Käyttäjät Ilmaisia, halpoja, helppoja käyttää, ei turhia tietoturvahömpötyksiä, ei tarvita IT:tä… IT Harmia
Toimittajalla ja asiakkaalla erilaiset toiveet Toimittaja tarjoaa • Pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja • Mahdollisimman pitkä sopimus • Dynaaminen nopea hinnantarkistus Asiakas toivoo • Räätälöitävät, helposti muokattavat ratkaisut • Varmuus, mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu. • Vakaa hinnoittelu.
Pilvipalveluiden tietoturvaongelmia • Tiedon häviäminen tai tietovuoto • Toimittajaan liittyvät riskit (exit plan) • Ongelmien selvittäminen, forensiikka • Tunnusten kaappaaminen • Pilviteknologiasta aiheutuvat haavoittuvuudet • Omien tietoturvakäytäntöjen ulottaminen ulkopuoliseen palveluun, (esim. pääsynhallinnan käytännöt) • Jaettu alusta, tiedon eristäminen tai salaaminen.
Tyypilliset sidosryhmät hankkeen aikana • Asiakkaat, yksiköt, laitokset, käyttäjät • Innolla hankkimassa jotain • Asiakkuuspäällikkö, tai muu Asiakkaan kontaktipiste,” IT palveluiden myyjä” • Projektipäällikkö Kun todetaan että hyvä juttu, projekti alkaa • Hankinta, hankintaosaajat, • Pohditaan, tarkistetaan, kilpailutetaan… • Tietoturvaryhmä (TTR) • Kommentoidaan, autetaan, auditoidaan.. • IT • Asentaa ja ylläpitää…
Asiakkaalla joku Idea tai tarve Lähtee liikkeelle vaatimusten perusteella Polku A - virallinen IT:n-tukema Polku B - Kevyt Jos käyttöön järjestelmä” liittyy jotain seuraavista Jos palvelua tarvitaan pienen yhteisön • Henkilötietoja, salassa pidettävää käyttöön tai tarve on henkilökohtaiselle • Pankkitietoja palvelulle, esim: • Käytettävyys 24/7 • Materiaalin jako • Lisenssikustannuksia • Verkkotyöskentely • suuri käyttäjämäärä, useita • ”Web presence”, yhteisöt yksiköitä… • Bloggaus.. Aina yhteys asiakkuuspäälliköihin Ratkaisu löytyy: Wiki-sivu - • Uusi ratkaisu, hankinta tehtävä Pilvi.aalto.fi yhteistyössä asiakkuuspäällikön • Lista hyväksytyistä ja suositelluista kanssa palveluista • Tai sopiva käytössä oleva palvelu, • Ohjeistuksia AM osaavat myös hyödyntää ja • Ehdotukset uusista ohjata käytössä oleviin palveluihin. palveluista, pyynnöt ohjautuvat aiheesta vastaavalle yksikölle
Edellisen kalvon ”Polku A” – oikein viedyn hankkeen vaiheet lyhyesti Esiselvitys Toteutus Lopetus (Asiakkuuspäällikkö) (Projektipäällikkö) (Projektipäällikkö) OK juttu, aletaan Varsinainen projekti Siirtyy asiakkaalle tekemään.. alkaa.. mm: Mm. nämä tehtävä: • Käyttöönotto Asiakkuuspäällikkö ja • Vaatimusmäärittelyt • Testaus asiakas: • Kilpailutus • Ohjeet Selvitetään, • Sopimukset • Muut dokumentit mitä, kenelle, kuinka • Tekninen suunnittelu • Rekisteriseloste tärkeä, SLA • Asennukset … … (Pyrkimys) Tietoturva, IT arkkitehdit Tietoturvaryhmä, IT Aina tiedoksi osallistuu kaikkiin vaiheisiin arkkitehdit, muu IT tietoturvaryhmälle, IT tarpeen mukaan. avustaa. arkkitehdeille, muut Voidaan myös olennaiset ryhmät, jotta auditoida, oma tiedetään mitä tekeillä. tietoturvaryhmä tai ulkopuolinen
Esiselvitys tarkemmin Esiselvitys Esiselvityksen helpottamiseksi on tehty ) tarkistuslista, mitä pitää ottaa huomioon kun Asiakkuuspäällikkö ja keskustellaan asiakkaan kanssa? asiakas keskustelevat: Selvitetään, Selvitettävä asiakkaan kanssa: mitä, kenelle, kuinka tärkeä Pakolliset tiedot • Tiedon laatu, tietosuojan alaista tietoa? Asiakas ja vain asiakas • Muuta luottamuksellista tai sisäistä tietoa: tietää oikean tilinpäätöstietoa, sopimuksia, tutkimustietoa. käyttötarpeen mutta • käyttäjät, vain henkilökunta, koko Aalto? pitää osata kysyä oikeat kysymykset • Materiaalin dynaamisuus? Onko materiaali tallennettu myös toiseen järjestelmään? • Käyttäjien määrä? Tietoturvaryhmä voi osallistua Jos kohtuullisella työllä selvitettävissä, keskusteluihin. (HUOM! • Käytettävyysvaatimuksia, (järjestelmän Jos on resursseja..). saatavuus) • Alustava tekninen kuvaus järjestelmästä (jos tiedossa), verkkoyhteydet, tietokannat?
Esiselvitys jatkuu Esiselvitys vaiheessa on ”pakko” selvittää myös järjestelmän alustava tärkeysluokka yhteistyössä asiakkaan ja tietoturvaryhmän kanssa. Tärkeysluokalla on suuri vaikutus tietoturvavaatimuksiin ja tarvittavaan dokumentaatioon. Perustuu yliopiston omaan tärkeysluokitukseen ”Järjestelmän merkitys tutkimukselle ja opetukselle” Liian suuret vaatimukset esimerkiksi varmistusten suhteen nostavat kustannuksia
Seuraava vaihe, vaatimukset Tyypillisesti Kun tiedetään mitä, kenelle ja kuinka Projekti/hanke tärkeä järjestelmä on, voidaan edetä päällikkö vastuussa yksityiskohtaisten vaatimusten määrittelyyn. Vaatimusmäärittelyt Kilpailutuksen valmistelu • Tietoturvavaatimusten pohjana käytetään yhteistyönä tehtyä pohjaa. Vaatimusten teossa mukana, Projektipäällikkö, hankinta, tietoturva, arkkitehdit) • Järjestelmästä riippuen vaatimusten Tietoturvaryhmä avustaa tarpeen iterointi voi viedä viikkoja. mukaan. • Lopulliset vaatimusmäärittelyt on aina tarkistutettava Tietoturvaryhmän projektivastaavalla.
Vaatimukset kerätään taulukkoon (tietoturvavaatimuksia 54 kpl..) Joka vaatimukselle pyritään kertomaan peruste, miksi vaaditaan, tai lisätietoa miten voidaan toteuttaa, linkkejä, (ei toimittajalle)
Vaatimukset ja muu dokumentaatio valmis edetään Hankintaan Toteutus • Markkinoiden kartoitus (Projektipäällikkö) • Osallistuu : Hankinta, tietoturva, arkkitehdit, IT Kilpailutus Sopimukset • Hankinnan valmistelu Tekninen suunnittelu • Kilpailutus (julkinen minimissään 3kk) Asennukset • Toimittajakeskustelut … • Tarkennuksia, vastauksia Huonosti tehty kilpailutus ja vaatimukset voivat johtaa markkinaoikeuteen tai Tietoturvaryhmä käyttökelvottomaan järjestelmään! osallistuu kaikkiin vaiheisiin tarpeen mukaan.
Jos hankinta onnistui... käyttöönotto Projektipäällikön tietoturvaohje: Sopimukset Tekninen suunnittelu • Poikkeamien käsittely Asennukset • Riskianalyysit … • NDA-sopimukset • Määrittää projektin aikaiset vastuut, oikeudet ja periaatteet. • Vastaa työhön osallistuvan henkilöstön ohjeistamisesta, kouluttamisesta sekä Tietoturvaryhmän rooli: valvonnasta. osallistuu kaikkiin • Tietoturvakäytännöt, tilat, dokumenttie vaiheisiin tarpeen mukaan. n käsittely, varmistukset….
Ja viimeisenä, lopetusvaihe Lopetus Projektipäällikön tietoturvaohje: • Kaikkeen aineistoon ja työmateriaaleihin on Siirtyy asiakkaalle merkitty turvallisuusluokitus. Käyttöönotto Testaus • Hävitettäväksi päätetty aineisto on hävitetty Ohjeet asianmukaisesti Muut dokumentit • Kaikki taltioitava aineisto on luovutettu Rekisteriselosta päätetyille tahoille. … • Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut. • Järjestelmälle tehdään tarvittaessa tietoturva- Tietoturvaryhmä auditointi. avustaa. • ... Voi auditoida
Lopetusvaihe, tietoturvan tarkistuslista (24 kohtaa) 1 Projektin tarkistuslista 1.1 Projektin aloitus Projektin vastuut on sovittu OK tietoturvaryhmän projektivastaava OK projektipäällikkö OK 1.2 Projektin valmisteluvaihe - projektille on määritelty ohjausryhmän tai vastaavan hyväksymä turvallisuustaso 1.3 Suunnitteluvaihe - Vaatimusmäärittelyt tarkistettu ja hyväksytetty - Riskianalyysi on tehty ja riskien seuranta ja niihin reagointi on sovitusti vastuutettu 1.4 Toteutusvaihe - Projektin henkilöt on nimetty ja ulkopuolisien kanssa on tehty NDA-sopimukset OK - Järjestelmälle tehdään tarvittaessa tietoturva-auditointi 1.5 Projektin lopetus - Hävitettäväksi päätetty aineisto on hävitetty asianmukaisesti - Kaikki taltioitava aineisto on luovutettu päätetyille tahoille. - Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut.
Polku B– valitse ja käytä eli Aalto Pilvi  Jos palvelua tarvitaan pienen yhteisön ”Just use” käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • materiaalin jako https://wiki.aalto.fi/display/ • verkkotyöskentely AaltoPilvi/Home • ”Web presence” • henkilökohtainen verkkopalvelu • bloggaus • Secondlife • yhteisötyöskentely • Yammer • Facebook Palveluiden Wiki-sivu • ehdotukset uusista • GoogleDocs palveluista, pyynnöt ohjautuvat • Doodle aiheesta vastaavalle yksikölle • lista hyväksytyistä ja suositelluista • … palveluista • ohjeistuksia
KIITOKSET!

Recommended

Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenTomppa Järvinen
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriThomas Malmberg
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tomppa Järvinen
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010Kim Westerlund
 
When Do Stormwater Ulitilities Make Sense?
When Do Stormwater Ulitilities Make Sense?When Do Stormwater Ulitilities Make Sense?
When Do Stormwater Ulitilities Make Sense?sneapa
 
Shipping and freight
Shipping and freightShipping and freight
Shipping and freightCele Ko
 
Shipping and freight
Shipping and freightShipping and freight
Shipping and freightCele Ko
 

Recommended

Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Tomppa Järvinen
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenTomppa Järvinen
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriThomas Malmberg
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tomppa Järvinen
 
IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010IAM projektit, Tampereen teknillinen yliopisto 2010
IAM projektit, Tampereen teknillinen yliopisto 2010Kim Westerlund
 
When Do Stormwater Ulitilities Make Sense?
When Do Stormwater Ulitilities Make Sense?When Do Stormwater Ulitilities Make Sense?
When Do Stormwater Ulitilities Make Sense?sneapa
 
Shipping and freight
Shipping and freightShipping and freight
Shipping and freightCele Ko
 
Shipping and freight
Shipping and freightShipping and freight
Shipping and freightCele Ko
 
Production of front cover.doc
Production of front cover.docProduction of front cover.doc
Production of front cover.dochanzypoo
 
Дмитрий Селезнев
Дмитрий СелезневДмитрий Селезнев
Дмитрий СелезневOleg Samoilow
 
Reliability Evaluation of Combinational Circuits from a Standard Cell Library
Reliability Evaluation of Combinational Circuits from a Standard Cell LibraryReliability Evaluation of Combinational Circuits from a Standard Cell Library
Reliability Evaluation of Combinational Circuits from a Standard Cell LibraryYgor Aguiar
 
Pristatymas 1
Pristatymas 1Pristatymas 1
Pristatymas 1Darelas
 
Vampire weekend
Vampire weekend Vampire weekend
Vampire weekend Tyler Alexander-Abt
 
Andellac2013
Andellac2013Andellac2013
Andellac2013hmnava
 
Terriersanddachshunds
TerriersanddachshundsTerriersanddachshunds
Terriersanddachshundsphobbles
 
Happy Birthday!
Happy Birthday!Happy Birthday!
Happy Birthday!Jo-Ann Criss
 
Tailioring Civic Engagement_
Tailioring Civic Engagement_Tailioring Civic Engagement_
Tailioring Civic Engagement_sneapa
 
Main task
Main taskMain task
Main taskhanzypoo
 
Excel screen shot info 2
Excel screen shot info 2Excel screen shot info 2
Excel screen shot info 2Bob Hibson
 
презентация Алексея Розумовича
презентация Алексея Розумовичапрезентация Алексея Розумовича
презентация Алексея РозумовичаOlya Maiboroda
 
Energía fotovoltaica
Energía fotovoltaicaEnergía fotovoltaica
Energía fotovoltaicaTecnología IES Ciudad de Dalías
 
Julia Pavlenko
Julia PavlenkoJulia Pavlenko
Julia PavlenkoOleg Samoilow
 
Product+strategy+f2012
Product+strategy+f2012 Product+strategy+f2012
Product+strategy+f2012 Emma Daly
 
101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilveeToni Rantanen
 
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatVerkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatPerttu Tolvanen
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaTelia Inmics-Nebula
 
Tietohallinto PK-yrityksessä
Tietohallinto PK-yrityksessäTietohallinto PK-yrityksessä
Tietohallinto PK-yrityksessäJanne Kivinen
 
Pragmatic Agile - Aamiaistilaisuus
Pragmatic Agile - AamiaistilaisuusPragmatic Agile - Aamiaistilaisuus
Pragmatic Agile - AamiaistilaisuusNitor
 
Kehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfKehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfkauttil1
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 

More Related Content

Viewers also liked

Production of front cover.doc
Production of front cover.docProduction of front cover.doc
Production of front cover.dochanzypoo
 
Дмитрий Селезнев
Дмитрий СелезневДмитрий Селезнев
Дмитрий СелезневOleg Samoilow
 
Reliability Evaluation of Combinational Circuits from a Standard Cell Library
Reliability Evaluation of Combinational Circuits from a Standard Cell LibraryReliability Evaluation of Combinational Circuits from a Standard Cell Library
Reliability Evaluation of Combinational Circuits from a Standard Cell LibraryYgor Aguiar
 
Pristatymas 1
Pristatymas 1Pristatymas 1
Pristatymas 1Darelas
 
Andellac2013
Andellac2013Andellac2013
Andellac2013hmnava
 
Terriersanddachshunds
TerriersanddachshundsTerriersanddachshunds
Terriersanddachshundsphobbles
 
Tailioring Civic Engagement_
Tailioring Civic Engagement_Tailioring Civic Engagement_
Tailioring Civic Engagement_sneapa
 
Excel screen shot info 2
Excel screen shot info 2Excel screen shot info 2
Excel screen shot info 2Bob Hibson
 
презентация Алексея Розумовича
презентация Алексея Розумовичапрезентация Алексея Розумовича
презентация Алексея РозумовичаOlya Maiboroda
 
Product+strategy+f2012
Product+strategy+f2012 Product+strategy+f2012
Product+strategy+f2012 Emma Daly
 

Viewers also liked (15)

Production of front cover.doc
Production of front cover.docProduction of front cover.doc
Production of front cover.doc
 
Дмитрий Селезнев
Дмитрий СелезневДмитрий Селезнев
Дмитрий Селезнев
 
Reliability Evaluation of Combinational Circuits from a Standard Cell Library
Reliability Evaluation of Combinational Circuits from a Standard Cell LibraryReliability Evaluation of Combinational Circuits from a Standard Cell Library
Reliability Evaluation of Combinational Circuits from a Standard Cell Library
 
Pristatymas 1
Pristatymas 1Pristatymas 1
Pristatymas 1
 
Vampire weekend
Vampire weekend Vampire weekend
Vampire weekend
 
Andellac2013
Andellac2013Andellac2013
Andellac2013
 
Terriersanddachshunds
TerriersanddachshundsTerriersanddachshunds
Terriersanddachshunds
 
Happy Birthday!
Happy Birthday!Happy Birthday!
Happy Birthday!
 
Tailioring Civic Engagement_
Tailioring Civic Engagement_Tailioring Civic Engagement_
Tailioring Civic Engagement_
 
Main task
Main taskMain task
Main task
 
Excel screen shot info 2
Excel screen shot info 2Excel screen shot info 2
Excel screen shot info 2
 
презентация Алексея Розумовича
презентация Алексея Розумовичапрезентация Алексея Розумовича
презентация Алексея Розумовича
 
Energía fotovoltaica
Energía fotovoltaicaEnergía fotovoltaica
Energía fotovoltaica
 
Julia Pavlenko
Julia PavlenkoJulia Pavlenko
Julia Pavlenko
 
Product+strategy+f2012
Product+strategy+f2012 Product+strategy+f2012
Product+strategy+f2012
 

Similar to Pilvipalveluhanke tietoturvan nakokulmasta

101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilveeToni Rantanen
 
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatVerkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatPerttu Tolvanen
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaTelia Inmics-Nebula
 
Tietohallinto PK-yrityksessä
Tietohallinto PK-yrityksessäTietohallinto PK-yrityksessä
Tietohallinto PK-yrityksessäJanne Kivinen
 
Pragmatic Agile - Aamiaistilaisuus
Pragmatic Agile - AamiaistilaisuusPragmatic Agile - Aamiaistilaisuus
Pragmatic Agile - AamiaistilaisuusNitor
 
Kehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfKehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfkauttil1
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Granlund Virtual Property
Granlund Virtual PropertyGranlund Virtual Property
Granlund Virtual PropertyTero Järvinen
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Testaus 2013 Antti Auer Kettera hyväksymistestaus
Testaus 2013 Antti Auer Kettera hyväksymistestausTestaus 2013 Antti Auer Kettera hyväksymistestaus
Testaus 2013 Antti Auer Kettera hyväksymistestausTieturi Oy
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020japijapi
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Asiakirjarakenteiden statukset ja niiden kehittämispolku
Asiakirjarakenteiden statukset ja niiden kehittämispolkuAsiakirjarakenteiden statukset ja niiden kehittämispolku
Asiakirjarakenteiden statukset ja niiden kehittämispolkuTHL
 
Scrumin nykytila ja kehitys
Scrumin nykytila ja kehitysScrumin nykytila ja kehitys
Scrumin nykytila ja kehitysSovelto
 
COSS koulutus 20161124 avoimen koodin hankkiminen
COSS koulutus 20161124 avoimen koodin hankkiminen COSS koulutus 20161124 avoimen koodin hankkiminen
COSS koulutus 20161124 avoimen koodin hankkiminen willebra
 
Avoin koodi pähkinänkuoressa - Avoimen koodin hankkiminen
Avoin koodi pähkinänkuoressa - Avoimen koodin hankkiminenAvoin koodi pähkinänkuoressa - Avoimen koodin hankkiminen
Avoin koodi pähkinänkuoressa - Avoimen koodin hankkiminenCOSS
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021japijapi
 
Agile ClearCase Rwsug.fi 2009
Agile ClearCase Rwsug.fi 2009Agile ClearCase Rwsug.fi 2009
Agile ClearCase Rwsug.fi 2009mteinonen
 
ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)
ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)
ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)ValueFrame Oy
 

Similar to Pilvipalveluhanke tietoturvan nakokulmasta (20)

101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee
 
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopatVerkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
Verkkopalveluprojektin hankkeistaminen ja yleisimmät sudenkuopat
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
 
Tietohallinto PK-yrityksessä
Tietohallinto PK-yrityksessäTietohallinto PK-yrityksessä
Tietohallinto PK-yrityksessä
 
Pragmatic Agile - Aamiaistilaisuus
Pragmatic Agile - AamiaistilaisuusPragmatic Agile - Aamiaistilaisuus
Pragmatic Agile - Aamiaistilaisuus
 
Kehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfKehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdf
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
Granlund Virtual Property
Granlund Virtual PropertyGranlund Virtual Property
Granlund Virtual Property
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Testaus 2013 Antti Auer Kettera hyväksymistestaus
Testaus 2013 Antti Auer Kettera hyväksymistestausTestaus 2013 Antti Auer Kettera hyväksymistestaus
Testaus 2013 Antti Auer Kettera hyväksymistestaus
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
ICT PK-Yrityksessä
ICT PK-YrityksessäICT PK-Yrityksessä
ICT PK-Yrityksessä
 
Asiakirjarakenteiden statukset ja niiden kehittämispolku
Asiakirjarakenteiden statukset ja niiden kehittämispolkuAsiakirjarakenteiden statukset ja niiden kehittämispolku
Asiakirjarakenteiden statukset ja niiden kehittämispolku
 
Scrumin nykytila ja kehitys
Scrumin nykytila ja kehitysScrumin nykytila ja kehitys
Scrumin nykytila ja kehitys
 
COSS koulutus 20161124 avoimen koodin hankkiminen
COSS koulutus 20161124 avoimen koodin hankkiminen COSS koulutus 20161124 avoimen koodin hankkiminen
COSS koulutus 20161124 avoimen koodin hankkiminen
 
Avoin koodi pähkinänkuoressa - Avoimen koodin hankkiminen
Avoin koodi pähkinänkuoressa - Avoimen koodin hankkiminenAvoin koodi pähkinänkuoressa - Avoimen koodin hankkiminen
Avoin koodi pähkinänkuoressa - Avoimen koodin hankkiminen
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021
 
Agile ClearCase Rwsug.fi 2009
Agile ClearCase Rwsug.fi 2009Agile ClearCase Rwsug.fi 2009
Agile ClearCase Rwsug.fi 2009
 
ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)
ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)
ValueFrame - myynnistä toimitukseen -seminaari 17.11.2011 (id 2134) (id 2212)
 

More from Tomppa Järvinen

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Tomppa Järvinen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016Tomppa Järvinen
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for developmentTomppa Järvinen
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research dataTomppa Järvinen
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in PracticeTomppa Järvinen
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloudTomppa Järvinen
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Tomppa Järvinen
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_shTomppa Järvinen
 

More from Tomppa Järvinen (9)

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research data
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in Practice
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloud
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_sh
 

Pilvipalveluhanke tietoturvan nakokulmasta

  • 1. LUONNOS! Tietoturvallisen PiPa:n hankinta tai oikeastaan mikä vaan hanke, projekti.. HUOM! Powerpointissa asiat käydään läpi tietoturvallisuutta korostaen 26.03.2012
  • 2. Pilvi, Kaikilla osapuolilla erilaiset mielipiteet Accenture: ”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. Käyttäjät Ilmaisia, halpoja, helppoja käyttää, ei turhia tietoturvahömpötyksiä, ei tarvita IT:tä… IT Harmia
  • 3. Toimittajalla ja asiakkaalla erilaiset toiveet Toimittaja tarjoaa • Pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja • Mahdollisimman pitkä sopimus • Dynaaminen nopea hinnantarkistus Asiakas toivoo • Räätälöitävät, helposti muokattavat ratkaisut • Varmuus, mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu. • Vakaa hinnoittelu.
  • 4. Pilvipalveluiden tietoturvaongelmia • Tiedon häviäminen tai tietovuoto • Toimittajaan liittyvät riskit (exit plan) • Ongelmien selvittäminen, forensiikka • Tunnusten kaappaaminen • Pilviteknologiasta aiheutuvat haavoittuvuudet • Omien tietoturvakäytäntöjen ulottaminen ulkopuoliseen palveluun, (esim. pääsynhallinnan käytännöt) • Jaettu alusta, tiedon eristäminen tai salaaminen.
  • 5. Tyypilliset sidosryhmät hankkeen aikana • Asiakkaat, yksiköt, laitokset, käyttäjät • Innolla hankkimassa jotain • Asiakkuuspäällikkö, tai muu Asiakkaan kontaktipiste,” IT palveluiden myyjä” • Projektipäällikkö Kun todetaan että hyvä juttu, projekti alkaa • Hankinta, hankintaosaajat, • Pohditaan, tarkistetaan, kilpailutetaan… • Tietoturvaryhmä (TTR) • Kommentoidaan, autetaan, auditoidaan.. • IT • Asentaa ja ylläpitää…
  • 6. Asiakkaalla joku Idea tai tarve Lähtee liikkeelle vaatimusten perusteella Polku A - virallinen IT:n-tukema Polku B - Kevyt Jos käyttöön järjestelmä” liittyy jotain seuraavista Jos palvelua tarvitaan pienen yhteisön • Henkilötietoja, salassa pidettävää käyttöön tai tarve on henkilökohtaiselle • Pankkitietoja palvelulle, esim: • Käytettävyys 24/7 • Materiaalin jako • Lisenssikustannuksia • Verkkotyöskentely • suuri käyttäjämäärä, useita • ”Web presence”, yhteisöt yksiköitä… • Bloggaus.. Aina yhteys asiakkuuspäälliköihin Ratkaisu löytyy: Wiki-sivu - • Uusi ratkaisu, hankinta tehtävä Pilvi.aalto.fi yhteistyössä asiakkuuspäällikön • Lista hyväksytyistä ja suositelluista kanssa palveluista • Tai sopiva käytössä oleva palvelu, • Ohjeistuksia AM osaavat myös hyödyntää ja • Ehdotukset uusista ohjata käytössä oleviin palveluihin. palveluista, pyynnöt ohjautuvat aiheesta vastaavalle yksikölle
  • 7. Edellisen kalvon ”Polku A” – oikein viedyn hankkeen vaiheet lyhyesti Esiselvitys Toteutus Lopetus (Asiakkuuspäällikkö) (Projektipäällikkö) (Projektipäällikkö) OK juttu, aletaan Varsinainen projekti Siirtyy asiakkaalle tekemään.. alkaa.. mm: Mm. nämä tehtävä: • Käyttöönotto Asiakkuuspäällikkö ja • Vaatimusmäärittelyt • Testaus asiakas: • Kilpailutus • Ohjeet Selvitetään, • Sopimukset • Muut dokumentit mitä, kenelle, kuinka • Tekninen suunnittelu • Rekisteriseloste tärkeä, SLA • Asennukset … … (Pyrkimys) Tietoturva, IT arkkitehdit Tietoturvaryhmä, IT Aina tiedoksi osallistuu kaikkiin vaiheisiin arkkitehdit, muu IT tietoturvaryhmälle, IT tarpeen mukaan. avustaa. arkkitehdeille, muut Voidaan myös olennaiset ryhmät, jotta auditoida, oma tiedetään mitä tekeillä. tietoturvaryhmä tai ulkopuolinen
  • 8. Esiselvitys tarkemmin Esiselvitys Esiselvityksen helpottamiseksi on tehty ) tarkistuslista, mitä pitää ottaa huomioon kun Asiakkuuspäällikkö ja keskustellaan asiakkaan kanssa? asiakas keskustelevat: Selvitetään, Selvitettävä asiakkaan kanssa: mitä, kenelle, kuinka tärkeä Pakolliset tiedot • Tiedon laatu, tietosuojan alaista tietoa? Asiakas ja vain asiakas • Muuta luottamuksellista tai sisäistä tietoa: tietää oikean tilinpäätöstietoa, sopimuksia, tutkimustietoa. käyttötarpeen mutta • käyttäjät, vain henkilökunta, koko Aalto? pitää osata kysyä oikeat kysymykset • Materiaalin dynaamisuus? Onko materiaali tallennettu myös toiseen järjestelmään? • Käyttäjien määrä? Tietoturvaryhmä voi osallistua Jos kohtuullisella työllä selvitettävissä, keskusteluihin. (HUOM! • Käytettävyysvaatimuksia, (järjestelmän Jos on resursseja..). saatavuus) • Alustava tekninen kuvaus järjestelmästä (jos tiedossa), verkkoyhteydet, tietokannat?
  • 9. Esiselvitys jatkuu Esiselvitys vaiheessa on ”pakko” selvittää myös järjestelmän alustava tärkeysluokka yhteistyössä asiakkaan ja tietoturvaryhmän kanssa. Tärkeysluokalla on suuri vaikutus tietoturvavaatimuksiin ja tarvittavaan dokumentaatioon. Perustuu yliopiston omaan tärkeysluokitukseen ”Järjestelmän merkitys tutkimukselle ja opetukselle” Liian suuret vaatimukset esimerkiksi varmistusten suhteen nostavat kustannuksia
  • 10. Seuraava vaihe, vaatimukset Tyypillisesti Kun tiedetään mitä, kenelle ja kuinka Projekti/hanke tärkeä järjestelmä on, voidaan edetä päällikkö vastuussa yksityiskohtaisten vaatimusten määrittelyyn. Vaatimusmäärittelyt Kilpailutuksen valmistelu • Tietoturvavaatimusten pohjana käytetään yhteistyönä tehtyä pohjaa. Vaatimusten teossa mukana, Projektipäällikkö, hankinta, tietoturva, arkkitehdit) • Järjestelmästä riippuen vaatimusten Tietoturvaryhmä avustaa tarpeen iterointi voi viedä viikkoja. mukaan. • Lopulliset vaatimusmäärittelyt on aina tarkistutettava Tietoturvaryhmän projektivastaavalla.
  • 11. Vaatimukset kerätään taulukkoon (tietoturvavaatimuksia 54 kpl..) Joka vaatimukselle pyritään kertomaan peruste, miksi vaaditaan, tai lisätietoa miten voidaan toteuttaa, linkkejä, (ei toimittajalle)
  • 12. Vaatimukset ja muu dokumentaatio valmis edetään Hankintaan Toteutus • Markkinoiden kartoitus (Projektipäällikkö) • Osallistuu : Hankinta, tietoturva, arkkitehdit, IT Kilpailutus Sopimukset • Hankinnan valmistelu Tekninen suunnittelu • Kilpailutus (julkinen minimissään 3kk) Asennukset • Toimittajakeskustelut … • Tarkennuksia, vastauksia Huonosti tehty kilpailutus ja vaatimukset voivat johtaa markkinaoikeuteen tai Tietoturvaryhmä käyttökelvottomaan järjestelmään! osallistuu kaikkiin vaiheisiin tarpeen mukaan.
  • 13. Jos hankinta onnistui... käyttöönotto Projektipäällikön tietoturvaohje: Sopimukset Tekninen suunnittelu • Poikkeamien käsittely Asennukset • Riskianalyysit … • NDA-sopimukset • Määrittää projektin aikaiset vastuut, oikeudet ja periaatteet. • Vastaa työhön osallistuvan henkilöstön ohjeistamisesta, kouluttamisesta sekä Tietoturvaryhmän rooli: valvonnasta. osallistuu kaikkiin • Tietoturvakäytännöt, tilat, dokumenttie vaiheisiin tarpeen mukaan. n käsittely, varmistukset….
  • 14. Ja viimeisenä, lopetusvaihe Lopetus Projektipäällikön tietoturvaohje: • Kaikkeen aineistoon ja työmateriaaleihin on Siirtyy asiakkaalle merkitty turvallisuusluokitus. Käyttöönotto Testaus • Hävitettäväksi päätetty aineisto on hävitetty Ohjeet asianmukaisesti Muut dokumentit • Kaikki taltioitava aineisto on luovutettu Rekisteriselosta päätetyille tahoille. … • Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut. • Järjestelmälle tehdään tarvittaessa tietoturva- Tietoturvaryhmä auditointi. avustaa. • ... Voi auditoida
  • 15. Lopetusvaihe, tietoturvan tarkistuslista (24 kohtaa) 1 Projektin tarkistuslista 1.1 Projektin aloitus Projektin vastuut on sovittu OK tietoturvaryhmän projektivastaava OK projektipäällikkö OK 1.2 Projektin valmisteluvaihe - projektille on määritelty ohjausryhmän tai vastaavan hyväksymä turvallisuustaso 1.3 Suunnitteluvaihe - Vaatimusmäärittelyt tarkistettu ja hyväksytetty - Riskianalyysi on tehty ja riskien seuranta ja niihin reagointi on sovitusti vastuutettu 1.4 Toteutusvaihe - Projektin henkilöt on nimetty ja ulkopuolisien kanssa on tehty NDA-sopimukset OK - Järjestelmälle tehdään tarvittaessa tietoturva-auditointi 1.5 Projektin lopetus - Hävitettäväksi päätetty aineisto on hävitetty asianmukaisesti - Kaikki taltioitava aineisto on luovutettu päätetyille tahoille. - Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut.
  • 16. Polku B– valitse ja käytä eli Aalto Pilvi  Jos palvelua tarvitaan pienen yhteisön ”Just use” käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • materiaalin jako https://wiki.aalto.fi/display/ • verkkotyöskentely AaltoPilvi/Home • ”Web presence” • henkilökohtainen verkkopalvelu • bloggaus • Secondlife • yhteisötyöskentely • Yammer • Facebook Palveluiden Wiki-sivu • ehdotukset uusista • GoogleDocs palveluista, pyynnöt ohjautuvat • Doodle aiheesta vastaavalle yksikölle • lista hyväksytyistä ja suositelluista • … palveluista • ohjeistuksia