Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Koko: px

Aloita esitys sivulta:

Download "Järjestelmätoimitusprosessin tietoturva Mikko Jylhä"

Tyyne Sipilä
7 vuotta sitten
Katselukertoja:

1 Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

2 Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin liittyvät tietoturvanäkökulmat 15 min Keskustelu 5 min A) B)

3 Toimitussisällöstä sopiminen tietoturvanäkökulmasta Deloitte & Touche Oy, Group of Companies

4 Nykytila Tällä hetkellä tietoturvaan liittyvät asiat sovitaan liian myöhään järjestelmä-toimitusprosessissa Asioista aletaan keskustella vasta, kun ollaan jo pitkällä toimitusprosessin puolella Ongelmia: Järjestelmätoimittaja törmää tilaajan erilaiseen kulttuuriin Politiikat, ohjeistukset, käytännöt, prosessit, ohjeet ovat ristiriidassa ja / tai niitä ei ole kommunikoitu Tilarajoitteet, verkkorajoitteet, palomuurit jne. Tavoite on kuitenkin saada järjestelmä turvallisesti toimitettua! Deloitte & Touche Oy, Group of Companies

5 Nykytila vs.

6 Tahtotila Tietoturvaan liittyvät asiat pitää saada aikaisemmassa vaiheessa mukaan Sisältää toimittajan ja tilaajan välisen sovittamisen: Vastuiden kirjaaminen ja aikataulutus Johdon tuki Tilaajan ja toimittajan johto sopii Valtuutus ja delegointi Sopimukset Tietoturvapolitiikkojen, ohjeiden, käytäntöjen, prosessien soveltaminen / sovittaminen toimituksessa Varsinaiset tekijät samaan pöytään IT-infra ja sinne hallittu tuleminen Esim. Hallintakäytännöt Sopimusasiat, vastuut ja kustannusten jako A ccess M anagem ent A ccess M anagem ent A ccess M anagem ent A ccess M anagem ent A ccess M anagem ent Supervision & O v ersight Organization & Process Data Ownership Inputs/ O utputs/ Interfaces Ap plicatio ns Data Ownership Logging & Monitoring Databases & App. Services Encryption Encryption Digital Signatures Operating System s Digital Signatures Netw ork Digital Signatures Balancing & Reconciliations Change Management Policies & Param eters W ireless Security Processing & Reporting Processing & Reporting Network Security Architecture Network Security Architecture Network Security Architecture Deloitte & Touche Oy, Group of Companies

7 Toimitusprosessiin liittyvät tietoturvanäkökulmast Deloitte & Touche Oy, Group of Companies

8 Peruspalikoita toimitusprosessin tietoturvaan liittyen Jo myynti/ostovaiheessa tehdyt sopimukset ja työnjaot toimivat pohjana Toimitettavaan järjestelmään ja toimitusprosessiin kohdistetaan riskikartoitus Riskipohjaisesti määritetään tilaajan vaatimusten pohjalta haluttu tietoturvataso Mikä on arvokasta? Mikä on kriittistä? Mikä ei saa joutua kilpailijalle? Mikä ei saa joutua medialle? Mikä ei saa joutua 10

9 Tietoturvallisuuden organisointi Toimitusprojektille sovitaan tilaajan ja toimittajan kanssa alkuvaiheessa nimetty tietoturvaorganisaatio ja vastuut Jonkun pitää johtaa myös tietoturvallisuuden toteutuminen järjestelmätoimitusprosessin aikana Hanke-/projektiorganisointi toimitusprosessissa Oma polku tietoturvalle Osallistuttava hanke/projektijohdon kokouksiin Haasteena kommunikointi kaikkien tarvittavien tahojen kanssa Tietoturvallisuus sinänsä ei ole rakettitiedettä 11

10 Tietoturvallisuuden osa-alueet, joihin pitää ottaa ainakin kantaa Tilaturvallisuus Kulunvalvonta? Seuranta? Tilasuojaus? Henkilöstöturvallisuus Taustaselvitykset? Tietoaineistoturvallisuus Tiedon luokittelu? Käsittelysäännöt ja ohjeet? Tiedon elinkaari Ohjelmistoturvallisuus Opensource? Closed Source? Code review? Tietoliikenneturvallisuus ja Laitteistoturvallisuus Valtavasti kohtia 12

11 Tiedon vuotaminen varaudu siihen Kouluta oma ja vieras henkilökunta Prosessit, toimintaohjeet jne. Kuten edellä, riskipohjaisesti kartoita kriittiset tietovuodon paikat Luokittele tieto Huolehdi peruskontrolleista luottamuksellisuus, eheys, saatavuus Hyödynnä teknologiaa turvaamaan tietoa Varaudu tietovuotoon Prosessi tilanteen varalle. Mille taholle tieto vuosi, miten toimitaan, kuka toimii, jne. (Information Security Forum & muut)

tietoturvallisuuden taso pitää mitoittaa riskiperustaisesti hallitulle ja

12 Pääasiat, jotka pitää muistaa Tietoturvaan liittyvät asiat pitää saada aikaisemmassa vaiheessa mukaan Jo osto/myyntivaiheessa Toimitusprosessin aikainen tietoturvallisuuden taso pitää mitoittaa riskiperustaisesti hallitulle ja halutulle tasolle Tietoturvallisuutta myös pitää johtaa järjestelmähankinnassa ja toimituksessa 14

13 Deloitte & Touche Oy, Group of Companies

Samankaltaiset tiedostot

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos Tietoturvapolitiikat Riitta Mäkinen Extended Abstract Helsinki 4.3.2003 HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos Tietoturva nykyaikaisessa liiketoimintaympäristössä -seminaari 1. Johdanto 1