SlideShare a Scribd company logo

Tietoturvan huomiointi järjestelmähankinnoissa

2NS
2NS

Miten tietoturva huomioidaan tietojärjestelmähankkeissa elinkaaren ajalla

Internet
1 of 20
Download to read offline
SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Second Nature Security Tietoturvan  huomioinI   järjestelmähankinnoissa  
Second Nature Security Sisältö   §  EsiOely   §  NykyIlanne   §  Tietoturvan  oikea  taso   §  Mitä  huomioida  tarjouspyynnössä?   §  Uhkamallinnus  
Second Nature Security Puhuja   Juho  Ranta   CTO,  Vanhempi  Ietoturva-­‐asiantunIja   TwiOer:  twiOer.com/JuhoRanta  
Second Nature Security 2NS  –  Second  Nature  Security  Oy   §  Tietoturva-­‐auditoinnit   §  OrganisaaIon  Ietoturvan   kehiOäminen   §  Sovelluskehityksen  Ietoturva   Second Nature Security
Second Nature Security Asiakkaita   Satoja  asiakkaita  vuosien  aikana   §  Pienet  ja  suuret  yritykset   §  Julkishallinto   §  Ohjelmistoyritykset   §  Pankki-­‐  ja  vakuutuslaitokset   §  Kauppa   §  Teollisuus  
Second Nature Security Nyky;lanne   Lähes  kaikki  tarkastamamme  palvelut  sisältävät   haavoiOuvuuksia  –  näistä  merkiOävässä  osassa  on   krii_siä  haavoiOuvuuksia.     Yhteistä  monilla  palveluilla  on  se,  eOei  Ietoturvaa  ole   huomioitu  järjestelmää  hankkiessa.  
Second Nature Security Miksi  huomioida  ;etoturva  jo   hankintavaiheessa?   Kun  Ietoturva  huomioidaan  järjestelmiä  hankkiessa,  on   siihen  panostaminen  kehitysvaiheessa  helpompaa.     Tällöin  myös  haavoiOuvuuksien  määrä  jää  merkiOäväsI   pienemmäksi.  
Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä  
Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä   Vähemmän  kontrolleja   à  Riskitaso  kasvaa   à  Hyväksikäytön  todennäköisyys  kasvaa    
Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä   Kontrollien  määrä  kasvaa   à  Riskitaso  pienenee   à  Kustannukset  riskitason  pienentämiselle  kasvavat    
Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä   Riski  on  sopivalla  tasolla  
Second Nature Security Tietoturvavaa;mukset  kehiteCävälle   järjestelmälle   Tarjouspyyntö   Valmiit  ohjeistukset  /   listaukset:   VahI   OWASP  Top   10   SANS/CWE   Top  25   Uhkat  /  ulkopuoliset   vaaImukset   Laki   Sopimukset  /   Standardit   Muut   havaitut   uhkat  
Second Nature Security Tietoturvavaa;mukset  ylläpitoon   VaadiOu  vasteaika  korjauksille  tulee  perustua   haavoiOuvuuksien  krii_syyteen.  
Second Nature Security Tietoturvavaa;mukset  jatkokehityksessä   Samat  vaaImukset  koskevat  myös   jatkokehitysprosesseja  –  tämän  lisäksi  on  suositeltavaa   päiviOää  vaaImukset  säännöllisin  välein.  
Second Nature Security Uhkamallinnus   Uhkamallinnuksen  tavoiOeena  on  kartoiOaa   järjestelmän  kannalta  krii_simmät  riskit  sekä  selviOää   menetelmät,  joilla  pienennetään  riskejä.  
Second Nature Security Uhkamallinnus   Uhkien  kartoitus   Kartoitetaan   toteutumisvaaImukset   uhkille   Miten  uhkan   toteutuminen  voidaan   estää?  
Second Nature Security Uhkamallinnus   Kontrolli   Toteutumisen  ehdot   Uhka   KäyOäjän   Ietojen   lukeminen   Pääsy  toisen   käyOäjän   profiiliin   PuuOeellinen   auktorisoinI   Pyyntöjen   auktorisoinI   Pääsy   Ietokantaan   SQL-­‐injekIo   Prepared   statemenIen   käyOö   Palvelimelle   pääsy   Palvelimen   kovetus   Uhrin   työasemalle   pääsy   VälimuisIn   lukeminen   VälimuisIin   tallentamisen   estäminen  
Second Nature Security Valmiit  ohjeistukset  ja  listaukset   Älä  keksi  pyörää  uudestaan  –  valmiita  ohjeistuksia  sekä   haavoiOuvuuslistauksia  on  suositeltavaa  käyOää.  
Second Nature Security Yhteenveto   §  Huomioi  Ietoturva  jo  tarjouspyynnöissä   §  Mitä  krii_sempi  järjestelmä,  sitä  enemmän  Ietoturvaan  tulee  panostaa   §  Tarjouspyyntöön:   –  Hyödynnä  valmista  materiaalia   –  Uhkamallinnuksen  tulokset   –  VaaImukset  lakien,  sopimusten  ja  standardien  noudaOamiseksi   –  Vasteajat  korjaukselle,  mikäli  kumppani  tulee  ylläpitämään  järjestelmää  
SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Second Nature Security Kiitos  mielenkiinnosta!     twiOer.com/JuhoRanta  

Recommended

Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun
2NS
 
Verkkokampanjointi Kepa 26.10. 2011
Verkkokampanjointi Kepa 26.10. 2011Verkkokampanjointi Kepa 26.10. 2011
Verkkokampanjointi Kepa 26.10. 2011
Perttu Iso-Markku
 
C2 ÄfterWörk – Tapahtumamarkkinointi
C2 ÄfterWörk – TapahtumamarkkinointiC2 ÄfterWörk – Tapahtumamarkkinointi
C2 ÄfterWörk – Tapahtumamarkkinointi
C2 Advertising
 
Hakukoneoptimointi helposti ja ilmaiseksi
Hakukoneoptimointi helposti ja ilmaiseksiHakukoneoptimointi helposti ja ilmaiseksi
Hakukoneoptimointi helposti ja ilmaiseksi
Susanna Neiglick
 
Sosiaalisen median rooli ja merkitys
Sosiaalisen median rooli ja merkitysSosiaalisen median rooli ja merkitys
Sosiaalisen median rooli ja merkitys
C2 Advertising
 
Sosiaalinen media & sisältömarkkinointi
Sosiaalinen media & sisältömarkkinointiSosiaalinen media & sisältömarkkinointi
Sosiaalinen media & sisältömarkkinointi
C2 Advertising
 
Avoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimana
Avoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimanaAvoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimana
Avoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimana
Otto Kekäläinen
 

Recommended

Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun
2NS
 
Verkkokampanjointi Kepa 26.10. 2011
Verkkokampanjointi Kepa 26.10. 2011Verkkokampanjointi Kepa 26.10. 2011
Verkkokampanjointi Kepa 26.10. 2011
Perttu Iso-Markku
 
C2 ÄfterWörk – Tapahtumamarkkinointi
C2 ÄfterWörk – TapahtumamarkkinointiC2 ÄfterWörk – Tapahtumamarkkinointi
C2 ÄfterWörk – Tapahtumamarkkinointi
C2 Advertising
 
Hakukoneoptimointi helposti ja ilmaiseksi
Hakukoneoptimointi helposti ja ilmaiseksiHakukoneoptimointi helposti ja ilmaiseksi
Hakukoneoptimointi helposti ja ilmaiseksi
Susanna Neiglick
 
Sosiaalisen median rooli ja merkitys
Sosiaalisen median rooli ja merkitysSosiaalisen median rooli ja merkitys
Sosiaalisen median rooli ja merkitys
C2 Advertising
 
Sosiaalinen media & sisältömarkkinointi
Sosiaalinen media & sisältömarkkinointiSosiaalinen media & sisältömarkkinointi
Sosiaalinen media & sisältömarkkinointi
C2 Advertising
 
Avoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimana
Avoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimanaAvoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimana
Avoimet innovaatiot tietoyhteiskunnan eteenpäin vievänä voimana
Otto Kekäläinen
 
Wordpress -sivusto nollabudjetilla
Wordpress -sivusto nollabudjetillaWordpress -sivusto nollabudjetilla
Wordpress -sivusto nollabudjetilla
LumoLink
 
Salasanahygienia - jokamiehen kybervelvollisuus
Salasanahygienia - jokamiehen kybervelvollisuusSalasanahygienia - jokamiehen kybervelvollisuus
Salasanahygienia - jokamiehen kybervelvollisuus
Otto Kekäläinen
 
Top 8 priorities for websites in 2014
Top 8 priorities for websites in 2014Top 8 priorities for websites in 2014
Top 8 priorities for websites in 2014
Otto Kekäläinen
 
Verkkosivujen 8 tärkeintä asiaa 2014
Verkkosivujen 8 tärkeintä asiaa 2014Verkkosivujen 8 tärkeintä asiaa 2014
Verkkosivujen 8 tärkeintä asiaa 2014
Otto Kekäläinen
 
Luvut ja numerot tekstissä
Luvut ja numerot tekstissäLuvut ja numerot tekstissä
Luvut ja numerot tekstissäkrakova
 
Wordpress tutuksi päivässä
Wordpress tutuksi päivässäWordpress tutuksi päivässä
Wordpress tutuksi päivässä
LumoLink
 
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassaAvointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Otto Kekäläinen
 
Testing and updating WordPress - Advanced techniques for avoiding regressions
Testing and updating WordPress - Advanced techniques for avoiding regressionsTesting and updating WordPress - Advanced techniques for avoiding regressions
Testing and updating WordPress - Advanced techniques for avoiding regressions
Otto Kekäläinen
 
Esiintymiskoulutus
EsiintymiskoulutusEsiintymiskoulutus
Esiintymiskoulutus
Enerzia Koulutus ja Viestintä
 
Markkinointisuunnitelma
MarkkinointisuunnitelmaMarkkinointisuunnitelma
Markkinointisuunnitelma
Tero Strand
 
Markkinointisuunnitelma 101
Markkinointisuunnitelma 101Markkinointisuunnitelma 101
Markkinointisuunnitelma 101
C2 Advertising
 
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
Otto Kekäläinen
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
japijapi
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva
2NS
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Kiwa Inspecta Suomi
 
Combitech Lassie esittely
Combitech Lassie esittely Combitech Lassie esittely
Combitech Lassie esittely
Combitech Oy
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
Jyrki Kontio
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Kiwa Inspecta Suomi
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
CGI Suomi
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
Nordnet Suomi
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Teemu Tiainen
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Sovelto
 

More Related Content

Viewers also liked

Wordpress -sivusto nollabudjetilla
Wordpress -sivusto nollabudjetillaWordpress -sivusto nollabudjetilla
Wordpress -sivusto nollabudjetilla
LumoLink
 
Salasanahygienia - jokamiehen kybervelvollisuus
Salasanahygienia - jokamiehen kybervelvollisuusSalasanahygienia - jokamiehen kybervelvollisuus
Salasanahygienia - jokamiehen kybervelvollisuus
Otto Kekäläinen
 
Top 8 priorities for websites in 2014
Top 8 priorities for websites in 2014Top 8 priorities for websites in 2014
Top 8 priorities for websites in 2014
Otto Kekäläinen
 
Verkkosivujen 8 tärkeintä asiaa 2014
Verkkosivujen 8 tärkeintä asiaa 2014Verkkosivujen 8 tärkeintä asiaa 2014
Verkkosivujen 8 tärkeintä asiaa 2014
Otto Kekäläinen
 
Luvut ja numerot tekstissä
Luvut ja numerot tekstissäLuvut ja numerot tekstissä
Luvut ja numerot tekstissäkrakova
 
Wordpress tutuksi päivässä
Wordpress tutuksi päivässäWordpress tutuksi päivässä
Wordpress tutuksi päivässä
LumoLink
 
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassaAvointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Otto Kekäläinen
 
Testing and updating WordPress - Advanced techniques for avoiding regressions
Testing and updating WordPress - Advanced techniques for avoiding regressionsTesting and updating WordPress - Advanced techniques for avoiding regressions
Testing and updating WordPress - Advanced techniques for avoiding regressions
Otto Kekäläinen
 
Esiintymiskoulutus
EsiintymiskoulutusEsiintymiskoulutus
Esiintymiskoulutus
Enerzia Koulutus ja Viestintä
 
Markkinointisuunnitelma
MarkkinointisuunnitelmaMarkkinointisuunnitelma
Markkinointisuunnitelma
Tero Strand
 
Markkinointisuunnitelma 101
Markkinointisuunnitelma 101Markkinointisuunnitelma 101
Markkinointisuunnitelma 101
C2 Advertising
 
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
Otto Kekäläinen
 

Viewers also liked (12)

Wordpress -sivusto nollabudjetilla
Wordpress -sivusto nollabudjetillaWordpress -sivusto nollabudjetilla
Wordpress -sivusto nollabudjetilla
 
Salasanahygienia - jokamiehen kybervelvollisuus
Salasanahygienia - jokamiehen kybervelvollisuusSalasanahygienia - jokamiehen kybervelvollisuus
Salasanahygienia - jokamiehen kybervelvollisuus
 
Top 8 priorities for websites in 2014
Top 8 priorities for websites in 2014Top 8 priorities for websites in 2014
Top 8 priorities for websites in 2014
 
Verkkosivujen 8 tärkeintä asiaa 2014
Verkkosivujen 8 tärkeintä asiaa 2014Verkkosivujen 8 tärkeintä asiaa 2014
Verkkosivujen 8 tärkeintä asiaa 2014
 
Luvut ja numerot tekstissä
Luvut ja numerot tekstissäLuvut ja numerot tekstissä
Luvut ja numerot tekstissä
 
Wordpress tutuksi päivässä
Wordpress tutuksi päivässäWordpress tutuksi päivässä
Wordpress tutuksi päivässä
 
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassaAvointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
Avointen ja ilmaisten ohjelmien hyödyntäminen järjestötoiminnassa
 
Testing and updating WordPress - Advanced techniques for avoiding regressions
Testing and updating WordPress - Advanced techniques for avoiding regressionsTesting and updating WordPress - Advanced techniques for avoiding regressions
Testing and updating WordPress - Advanced techniques for avoiding regressions
 
Esiintymiskoulutus
EsiintymiskoulutusEsiintymiskoulutus
Esiintymiskoulutus
 
Markkinointisuunnitelma
MarkkinointisuunnitelmaMarkkinointisuunnitelma
Markkinointisuunnitelma
 
Markkinointisuunnitelma 101
Markkinointisuunnitelma 101Markkinointisuunnitelma 101
Markkinointisuunnitelma 101
 
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
WordPress security 101 - WP Jyväskylä Meetup 21.3.2017
 

Similar to Tietoturvan huomiointi järjestelmähankinnoissa

Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
japijapi
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva
2NS
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Kiwa Inspecta Suomi
 
Combitech Lassie esittely
Combitech Lassie esittely Combitech Lassie esittely
Combitech Lassie esittely
Combitech Oy
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
Jyrki Kontio
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Kiwa Inspecta Suomi
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
CGI Suomi
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
Nordnet Suomi
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Teemu Tiainen
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Sovelto
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturva
Finceptum Oy
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
Kimmo Vesajoki
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
japijapi
 
Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanPietari Sarjakivi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
japijapi
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdf
japijapi
 
Riskien arviointi ja hallinta 20160518
Riskien arviointi ja hallinta 20160518Riskien arviointi ja hallinta 20160518
Riskien arviointi ja hallinta 20160518
Eija Kupi
 
004 Hallitus ja riskianalyysi
004 Hallitus ja riskianalyysi004 Hallitus ja riskianalyysi
004 Hallitus ja riskianalyysi
Erkki J. Anttila
 

Similar to Tietoturvan huomiointi järjestelmähankinnoissa (20)

Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
 
Combitech Lassie esittely
Combitech Lassie esittely Combitech Lassie esittely
Combitech Lassie esittely
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturva
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
 
Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaan
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdf
 
Riskien arviointi ja hallinta 20160518
Riskien arviointi ja hallinta 20160518Riskien arviointi ja hallinta 20160518
Riskien arviointi ja hallinta 20160518
 
004 Hallitus ja riskianalyysi
004 Hallitus ja riskianalyysi004 Hallitus ja riskianalyysi
004 Hallitus ja riskianalyysi
 
Ruokanen_AO_OP2015
Ruokanen_AO_OP2015Ruokanen_AO_OP2015
Ruokanen_AO_OP2015
 

Tietoturvan huomiointi järjestelmähankinnoissa

  • 1. SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Second Nature Security Tietoturvan  huomioinI   järjestelmähankinnoissa  
  • 2. Second Nature Security Sisältö   §  EsiOely   §  NykyIlanne   §  Tietoturvan  oikea  taso   §  Mitä  huomioida  tarjouspyynnössä?   §  Uhkamallinnus  
  • 3. Second Nature Security Puhuja   Juho  Ranta   CTO,  Vanhempi  Ietoturva-­‐asiantunIja   TwiOer:  twiOer.com/JuhoRanta  
  • 4. Second Nature Security 2NS  –  Second  Nature  Security  Oy   §  Tietoturva-­‐auditoinnit   §  OrganisaaIon  Ietoturvan   kehiOäminen   §  Sovelluskehityksen  Ietoturva   Second Nature Security
  • 5. Second Nature Security Asiakkaita   Satoja  asiakkaita  vuosien  aikana   §  Pienet  ja  suuret  yritykset   §  Julkishallinto   §  Ohjelmistoyritykset   §  Pankki-­‐  ja  vakuutuslaitokset   §  Kauppa   §  Teollisuus  
  • 6. Second Nature Security Nyky;lanne   Lähes  kaikki  tarkastamamme  palvelut  sisältävät   haavoiOuvuuksia  –  näistä  merkiOävässä  osassa  on   krii_siä  haavoiOuvuuksia.     Yhteistä  monilla  palveluilla  on  se,  eOei  Ietoturvaa  ole   huomioitu  järjestelmää  hankkiessa.  
  • 7. Second Nature Security Miksi  huomioida  ;etoturva  jo   hankintavaiheessa?   Kun  Ietoturva  huomioidaan  järjestelmiä  hankkiessa,  on   siihen  panostaminen  kehitysvaiheessa  helpompaa.     Tällöin  myös  haavoiOuvuuksien  määrä  jää  merkiOäväsI   pienemmäksi.  
  • 8. Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä  
  • 9. Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä   Vähemmän  kontrolleja   à  Riskitaso  kasvaa   à  Hyväksikäytön  todennäköisyys  kasvaa    
  • 10. Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä   Kontrollien  määrä  kasvaa   à  Riskitaso  pienenee   à  Kustannukset  riskitason  pienentämiselle  kasvavat    
  • 11. Second Nature Security Tietoturvan  oikea  taso   0   20   40   60   80   100   120   140   1   21   41   61   81   101   Kustannus   Riski    Riskin  odotusarvollinen  tappio    Riskin  pienentämisen  kustannus    Kustannus  yhteensä   Riski  on  sopivalla  tasolla  
  • 12. Second Nature Security Tietoturvavaa;mukset  kehiteCävälle   järjestelmälle   Tarjouspyyntö   Valmiit  ohjeistukset  /   listaukset:   VahI   OWASP  Top   10   SANS/CWE   Top  25   Uhkat  /  ulkopuoliset   vaaImukset   Laki   Sopimukset  /   Standardit   Muut   havaitut   uhkat  
  • 13. Second Nature Security Tietoturvavaa;mukset  ylläpitoon   VaadiOu  vasteaika  korjauksille  tulee  perustua   haavoiOuvuuksien  krii_syyteen.  
  • 14. Second Nature Security Tietoturvavaa;mukset  jatkokehityksessä   Samat  vaaImukset  koskevat  myös   jatkokehitysprosesseja  –  tämän  lisäksi  on  suositeltavaa   päiviOää  vaaImukset  säännöllisin  välein.  
  • 15. Second Nature Security Uhkamallinnus   Uhkamallinnuksen  tavoiOeena  on  kartoiOaa   järjestelmän  kannalta  krii_simmät  riskit  sekä  selviOää   menetelmät,  joilla  pienennetään  riskejä.  
  • 16. Second Nature Security Uhkamallinnus   Uhkien  kartoitus   Kartoitetaan   toteutumisvaaImukset   uhkille   Miten  uhkan   toteutuminen  voidaan   estää?  
  • 17. Second Nature Security Uhkamallinnus   Kontrolli   Toteutumisen  ehdot   Uhka   KäyOäjän   Ietojen   lukeminen   Pääsy  toisen   käyOäjän   profiiliin   PuuOeellinen   auktorisoinI   Pyyntöjen   auktorisoinI   Pääsy   Ietokantaan   SQL-­‐injekIo   Prepared   statemenIen   käyOö   Palvelimelle   pääsy   Palvelimen   kovetus   Uhrin   työasemalle   pääsy   VälimuisIn   lukeminen   VälimuisIin   tallentamisen   estäminen  
  • 18. Second Nature Security Valmiit  ohjeistukset  ja  listaukset   Älä  keksi  pyörää  uudestaan  –  valmiita  ohjeistuksia  sekä   haavoiOuvuuslistauksia  on  suositeltavaa  käyOää.  
  • 19. Second Nature Security Yhteenveto   §  Huomioi  Ietoturva  jo  tarjouspyynnöissä   §  Mitä  krii_sempi  järjestelmä,  sitä  enemmän  Ietoturvaan  tulee  panostaa   §  Tarjouspyyntöön:   –  Hyödynnä  valmista  materiaalia   –  Uhkamallinnuksen  tulokset   –  VaaImukset  lakien,  sopimusten  ja  standardien  noudaOamiseksi   –  Vasteajat  korjaukselle,  mikäli  kumppani  tulee  ylläpitämään  järjestelmää  
  • 20. SECOND  NATURE  SECURITY  OY          I          KEILARANTA  1,  02150  ESPOO,  FINLAND          I          +358  10  322  9000          I          INFO@2NS.FI          I          WWW.2NS.FI   Second Nature Security Kiitos  mielenkiinnosta!     twiOer.com/JuhoRanta