OWASP CLASP turvallisten web sovellusten takaajana
|
|
- Ilmari Lehtinen
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 OWASP CLASP turvallisten web sovellusten takaajana Antti Laulajainen Nixu Oy & OWASP Helsinki Public 1
2 Agenda Mikä ihmeen OWASP? CLASP taustat Rakenne Käyttöönottomalleja Yhteenveto Public 2
3 OWASP esittely Open Web Application Security Project, OWASP, on avoin riippumaton kansainvälinen sovellustietoturva yhteisö, Keskittyy auttamaan organisaatioita hankkimaan, kehittämään ja ylläpitämään turvallisia sovelluksia. Käytännön toiminta on työkalujen, dokumentaation ja keskustelukanavien kehittäminen sekä paikallisten jaostojen toiminta. Helsingin paikallisjaosto pyrkii kokoontumaan säännöllisesti, kokoukset julkaistaan wiki-sivuilla Public 3
4 CLASP taustat Public 4
5 CLASP taustat CLASP, Comprehensive Lightweight Application Security Process OWASP projekti Tavoitteena toteuttaa sovellustietoturva säännönmukaisena, toistettavana ja mitattavana prosessina Pyrkii olemaan ymmärrettävä ja asteittain käyttöönotettava prosessi Sovellettavissa nykyisiin organisaation prosesseihin Public 5
6 CLASP taustat Toteutuksen perusideana on eri roolit ja näille määritellyt tietoturva-aktiviteetit sekä aktiviteetteja tukevat resurssit Hyödyntää osaamistietokantoja, prosessin mukana tulee muutamia CLASP Haavoittuvuusluokittelu Parhaat käytännöt Määritellyt tietoturvapalvelut Korostaa automaattisten työkalujen tai prosessien käyttöä Public 6
7 CLASP parhaat käytännöt Luo tietoisuusohjelma Arvioi sovelluksen tietoturvaa Tunnista tietoturvavaatimukset Ota käyttöön turvallinen sovelluskehitysprosessi Rakenna haavoittuvuuksien hallintakäytännöt Määrittele ja seuraa mittareita Määrittele ja julkaise turvallisen ylläpidon ohjeet Public 7
8 CLASP tietoturvapalvelut Keskeiset tietoturvatavoitteet jotka pitää saavuttaa jokaisessa järjestelmän resurssissa Valtuutus Todennus Luottamuksellisuus Eheys Saatavuus Seurattavuus Kiistämättömyys Public 8
9 CLASP rakenne Public 9
10 CLASP rakenne CLASP prosessi voidaan esittää eri tasoisina näkyminä jotka linkittyvät toisiinsa. Consepts View tarjoaa yleisnäkymän koko prosessiin Role-Based View määrittelee tarvittavat roolit prosessissa Activity-Assessment View arvioi tietoturva-aktiviteetteja joita kehityksen aika tarvitaan Activity-Implementation View ottaa käyttöön tietoturva-aktiviteetit jotka on arvioitu sopiviksi prosessille Vulnerability View luokittelee haavoittuvuudet järjestelmällisesti eri luokkien perusteella Lisäksi tukidokumentaatiot Public 10
11 CLASP roolit ja tehtäviä (Role-Based view) CLASP toimii roolien ja näiden tehtävien avulla Rooli-näkymä määrittelee roolit ja näiden tehtävät Tietoturva-aktiviteetit liitetään rooleihin, ei sovelluksen elinkaaren vaiheeseen Prosessin toimivuuden kannalta olennaista, että roolit tunnetaan ja näiden tehtävät Yksittäinen henkilö voi olla useassa roolissa Public 11
12 CLASP roolit ja tehtäviä (Role-Based view) Projektipäällikkö Moottori prosessin toteutuksen takana Huolehtii tietoisuuskoulutuksista Seuraa mittareita Määrittelijä Määrittelee tietoturvavaatimukset Luo väärinkäyttötapaukset Arkkitehti Tunnistaa ja dokumentoi valittujen teknologioiden tietoturvavaatimukset Auttaa muita ymmärtämään kuinka resurssit kommunikoivat keskenään Public 12
13 CLASP roolit ja tehtäviä (Role-Based view) Suunnittelija Tärkeimpiä rooleja tietoturvan kannalta Valitsee teknologiat jotka täyttävät tietoturvavaatimukset Päättää kuinka havaitut haavoittuvuudet käsitellään Kehittäjä Noudattaa määriteltyjä turvallisen kehityksen vaatimuksia, menettelytapoja ja standardeja Osallistuu tietoturvatietoisuuskoulutukseen Raportoi mahdolliset havainnot tietoturvapuutteista Public 13
14 CLASP roolit ja tehtäviä (Role-Based view) Testaaja Tietoturvatestaus osana muuta testausta Tietoturva on osa laadunvarmistusta! Tietoturvakatselmoija Päättelee tietoturvavaatimusten riittävyyden ja kattavuuden Analysoi suunnitelman riskit Etsii haavoittuvuudet toteutuksesta perustuen poikkeamiin määrityksistä tai vaatimuksista Public 14
15 Tietoturva-aktiviteettien arviointi (Activity-Assessment view) CLASP määrittelee 24 erilaista tietoturvaaktiviteettia joita voidaan sisällyttää kehitysprosessiin Arvioinnilla voidaan tunnistaa projektikohtaisesti mitä aktiviteettejä on tarpeen toteuttaa Arvioinnin apuna ovat valmiit lomakkeet Lomakkeilla voi arvioida aktiviteettien: Tarpeellisuutta Riskejä jos aktiviteettia ei toteuteta Käyttöönoton kustannuksia Roolit jotka toteuttavat aktiviteetit Public 15
16 Esimerkit arviointilomakkeista CLASP Activity Institute security awareness program Monitor security metrics Specify operational environment Identify global security policy Identify resources and trust boundaries Identify user roles and resource capabilities Document security-relevant requirements Detail misuse cases Identify attack surface Apply security principles to design Research and assess security posture of technology solutions Annotate class designs with security properties Specify database security configuration Related Project Role Project Manager Project Manager Owner: Requirements Specifier Key Contributor: Architect Requirements Specifier Owner: Architect Key Contributor: Requirements Speci-fier Owner: Architect Key Contributor: Requirements Speci-fier Owner: Requirements Specifier Key Contributor: Architect Owner: Requirements Specifier Key Contributor: Stakeholder Designer Designer Owner: Designer Key Contributor: Component Vendor Designer Database Designer Institute security awareness program Purpose: Ensure project members consider security to be an important project goal through training and account-ability. Owner: Key contributors: Applicability: Relative impact: Risks in omission: Activity frequency: Approximate man hours: Ensure project members have enough exposure to security to deal with it effectively. Project Manager All projects Very high Ongoing Other activities promoting more secure software are less likely to be applied effectively. Accountability for mistakes is not reasonable. 160 hours for instituting programs. 4 hours up-front per person. 1 hour per month per person for maintenance Public 16
17 Aktiviteettien käyttöönotto (Activity-Implementation view) Määrittelee tietoturva-aktiviteeteille tavoitteen ja tarkentaa tavoitteita, esimerkiksi: Kouluta kaikki projektin jäsenet Nimitä projektille tietoturvavastaava Kuvaa yksityiskohtaisesti kuinka tehtävät tulisi suorittaa tai miten saavuttaa asetetut tavoitteet Tarkentaa kuinka hyödyntää resursseja kuten esimerkiksi: Haavoittuvuuskirjastoa arvioimaan kehitysprosessin turvallisuutta Tietoturvapalveluja resursseja uhkia analysoimaan (uhkamallinnus) Public 17
18 Aktiviteettien käyttöönotto, esimerkki Perform security analysis of system requirements and design (threat modeling) Develop an understanding of the system Determine and validate securityrelevant assumptions Review non-security requirements Assess completeness of security requirements Identify threats on assets/capabilities Determine level of risk Identify compensating controls Evaluate findings Public 18
19 Haavoittuvuuksien luokittelu ja hallinta (Vulnerability view) Pyrkii luokittelemaan havaitut ongelmat, virheet järjestelmällisesti Lähdekoodin ongelmat eivät välttämättä itse muodosta tietoturvahaavoittuvuutta; usein kyseessä on yhdistelmä eri ongelmista jotka aiheuttavat haavoittuvuuksia Luokittelun avulla voidaan tunnistaa ongelmat ja näiden vaikutukset eli johtaa ne mahdollisiksi haavoittuvuuksiksi Luokittelun apuna on tietokanta jossa mukana 104 erilaista ongelmaa Public 19
20 Haavoittuvuuksien luokittelu Ongelmatyypit: Perussyyt ongelmiin Esimerkiksi puskuriylivuoto Luokat: Skaala ja tyyppivirheet Ympäristötekijöiden ongelmat Synkronointi ja ajoitusongelmat Protokollavirheet Yleiset logiikkavirheet Altistumisaika Sovelluksen elinkaaren vaihe Seuraukset Perustietoturvapalvelu jota haavoittuvuus koskee Alusta Käyttöjärjestelmä, ohjelmointikieli Hyökkäyksen resurssit Riskin arviointi Vakavuus Todennäköisyys Välttäminen & pienennys Lisätiedot Public 20
21 Haavoittuvuuskäyttötapaukset Kuvaa esimerkkien avulla miten sovellus voi olla haavoittuvainen Yhdistää yleisnäkymän haavoittuvuusluokitteluun Public 21
22 CLASP resurssidokumentaatiot Sovellustietoturvan pääperiaatteet ja esimerkit Keskeiset tietoturvapalvelut Esimerkit koodausperiaatteista lomakkeina Järjestelmäarviointilomake pohjia Esimerkit CLASPin käyttöönotosta Prosessien kehityssuunnitelman tukidokumentti Prosessikehitysryhmän kokoamisen tukidokumentti Tietoturvasanasto Public 22
23 CLASP Käyttöönottomalleja Public 23
24 CLASPin osien käyttöesimerkki Public 24
25 Perinteinen käyttöönottomalli Pieni vaikutus käynnissä oleviin projekteihin tai toimintatapoihin 12 kohdan ohjelma Mukana vain keskeiset tietoturva- aktiviteetit Avainkohdat: Tietoisuudenkohotus Turvallisuuden arviointi (uhka-analyysi) Lähdekoodin analyysi Public 25
26 Perinteinen käyttöönottomalli Public 26
27 Puhtaalta pöydältä - malli Suositus uuden sovelluksen kehitykseen ja iteratiivisiin menetelmiin Pyrkii holistiseen lähestymiseen sovellustietoturvassa 20 kohdan ohjelma Avainkohdat: Tietoisuusohjelma Mittarit Tietoturvaan liittyvät suunnittelu Tietoturvaperiaatteet Uhkamallinnus Lähdekoodin analyysi Tietoturvan arviointi Public 27
28 Puhtaalta pöydältä - malli Public 28
29 Yhteenveto Public 29
30 CLASP yhteenveto CLASP on roolipohjainen prosessi turvalliseen ohjelmistokehitykseen joka voidaan ottaa käyttöön iteratiivisesti CLASP ei ole oikotie onneen Dokumentaatio on ilmaista Käyttöönotto vaatii kuitenkin panostuksia; aikaa ja rahaa Panostus palkitaan kuitenkin laadukkaammilla sovelluksilla joita käyttö on turvallista ja haluttua Public 30
31 Lisätietoja OWASP Linkit P_Project Sovellustietoturva Public 31
Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation
Sovellustietoturvallisuus 7.2.2012 Petteri Arola Chapter Leader Nixu Oy petteri.arola@owasp.org Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the
LisätiedotAutomaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat
Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat Teollisuusautomaation tietoturvaseminaari Purchasing Manager, Hydro Lead Buyer, Industrial Control Systems 1 Agenda / esityksen tavoite
LisätiedotSisäänrakennettu tietosuoja ja ohjelmistokehitys
Sisäänrakennettu tietosuoja ja ohjelmistokehitys Petri Strandén 14. kesäkuuta, 2018 Petri Strandén Manager Cyber Security Services Application Technologies Petri.stranden@kpmg.fi Petri vastaa KPMG:n Technology
LisätiedotSOA ja/tai tietoturva?
SOA ja/tai tietoturva? Kim Westerlund, johtava konsultti Nixu Oy 6/2/09 Nixu Oy 1 Aiheeni Taustaa SOA:sta Teesi: SOA kiertää useimmat tietoturvaarkkitehtuurin kontrollit? Miten varautua SOA:aan? Mitä tietoturvapalveluita
LisätiedotUbicom tulosseminaari
ITEA2 project #11011 2012 2015 Ubicom tulosseminaari Pertti Kortejärvi, Pohto Oy Helsinki 03.10.2013 Taustaa ja tavoitteita Nykyisin monien systeemien (teollisuusautomaatio, kommunikaatioverkot, jne.)
LisätiedotTietoturvallisuuden johtaminen
Tietoturvallisuuden johtaminen Juha Fiskari 10.11.2010 11/15/2010 Nixu Oy Agenda Tieto ja sen merkitys organisaatiolle Tiedon turvallisuuden hallinta & johtaminen Nixun näkymä Tiedon turvallisuuden hallinta
LisätiedotCopernicus, Sentinels, Finland. Erja Ämmälahti Tekes,
Copernicus, Sentinels, Finland Erja Ämmälahti Tekes, 24.5.2016 Finnish Space industry in the European context European Space industry has been constantly growing and increasing its direct employment in
LisätiedotArkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä
Arkkitehtuuritietoisku eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä Esikysymys Kuinka moni aikoo suunnitella projektityönsä arkkitehtuurin? Onko tämä arkkitehtuuria?
LisätiedotVerkkosovellusten tietoturvastrategia
Verkkosovellusten tietoturvastrategia Information Security konferenssi 20.4.2010 Jari Pirhonen Turvallisuusjohtaja Samlink Sisältö Nykyaikaisten verkkosovellusten tietoturvaaminen on haastavampaa kuin
Lisätiedot7. Product-line architectures
7. Product-line architectures 7.1 Introduction 7.2 Product-line basics 7.3 Layered style for product-lines 7.4 Variability management 7.5 Benefits and problems with product-lines 1 Short history of software
LisätiedotKYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut
KYBERTURVAPALVELUT VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta Kyberhyökkäykset ovat yleistyneet huolestuttavalla vauhdilla. Liiketoiminnan jatkuvuuden turvaaminen edellyttää
LisätiedotHyökkäysten havainnoinnin tulevaisuus?
Hyökkäysten havainnoinnin tulevaisuus? Intrusion Detection,Kontakti.net, 2.6.2004 Jari Pirhonen Tietoturvallisuuskonsultti, CISSP, CISA Netsol Solutions www.netsol.fi jari.pirhonen@netsol.fi - www.iki.fi/japi/
LisätiedotTech Conference Office 365 tietoturvan heikoin #TechConfFI
Tech Conference 28.-29.5.2015 Office 365 tietoturvan heikoin lenkki? @NestoriSyynimaa #TechConfFI Puhujasta Senior-konsultti Nestori Syynimaa, PhD MCT, MCSA (Office 365) www.linkedin.com/in/nestori Luennon
LisätiedotISACA Finland 24.1.2008 OWASP 24.1.2008. The OWASP Foundation. Timo Meriläinen Antti Laulajainen. http://www.owasp.org
ISACA Finland 24.1.2008 Timo Meriläinen Antti Laulajainen 24.1.2008 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation
LisätiedotTilannetietoisuus rajaturvallisuuden johtamisessa
Tilannetietoisuus rajaturvallisuuden johtamisessa Kapteeni Mika Suomalainen 25.8.2010 1 Core Concept, Comprehensive Border Security Management 2 Strategic risk analysis 3 National border security strategy
LisätiedotSOA SIG SOA Tuotetoimittajan näkökulma
SOA SIG SOA Tuotetoimittajan näkökulma 12.11.2007 Kimmo Kaskikallio IT Architect Sisältö IBM SOA Palveluiden elinkaarimalli IBM Tuotteet elinkaarimallin tukena Palvelukeskeinen arkkitehtuuri (SOA) Eri
LisätiedotKyberturvallisuus kiinteistöautomaatiossa
Kyberturvallisuus kiinteistöautomaatiossa Harri Hamberg Country Security Manager Schneider Electric Finland Oy Tähän voit laittaa yrityksen/organisaation logon ja halutessasi oman kuvasi Kiinteistönhallinnan
LisätiedotMillainen on onnistunut ICT-projekti?
Millainen on onnistunut ICT-projekti? Ohjelmistotuotannon lehtori Tero Tensu Ahtee Ohjelmistotekniikan laitoksella 1990- Projektityö-kurssilla 1991- pesunkestävä yliopistohampuusi ei päivääkään oikeissa
LisätiedotKOMPETENSSIT. Koulutus Opiskelija Tuuttori. Business Information Technologies. NQF, Taso 6 - edellyttävä osaaminen
Koulutus Opiskelija Tuuttori Business Information Technologies NQF, Taso 6 - edellyttävä osaaminen Ammattikorkeakoulututkinto ja alempi korkeakoulututkinto Hallitsee laaja-alaiset ja edistyneet oman alansa
LisätiedotEstimointityökalut. Pekka Forselius, Senior Advisor Finnish Software Measurement Association FiSMA ry
Estimointityökalut Pekka Forselius, Senior Advisor Finnish Software Measurement Association FiSMA ry 1 Työkalujen rooli ohjelmistotyössä A fool with a tool is still a fool! Ohjelmistotyökalujen käyttäminen
LisätiedotTietojenkäsittelytieteiden koulutusohjelma. Tietojenkäsittelytieteiden laitos Department of Information Processing Science
Tietojenkäsittelytieteiden koulutusohjelma Tietojenkäsittelytieteet Laskennallinen data-analyysi Ohjelmistotekniikka, käyttöjärjestelmät, ihminen-kone -vuorovaikutus Teoreettinen tietojenkäsittelytiede
Lisätiedot1. Tietokonejärjestelmien turvauhat
1 1. Tietokonejärjestelmien turvauhat Kun yhteiskunta tulee riippuvaisemmaksi tietokoneista, tietokonerikollisuus ei tule ainoastaan vakavammaksi seurauksiltaan vaan myös houkuttelevammaksi rikollisille.
LisätiedotProjektinhallinta: riskeihin varautuminen
Projektinhallinta: riskeihin varautuminen 581259 Ohjelmistotuotanto 325 Riskienhallinta Projektin valmistuminen pyritään takaamaan myös tilanteissa, joissa tapahtuu jotakin, mikä uhkaa projektin onnistumista
LisätiedotNESTE ENGINEERING SOLUTIONS
NESTE ENGINEERING SOLUTIONS Functional safety assessment ASAF teemapäivä Jari Koivuvirta Automation, Functional Safety Neste Engineering Solutions Mobile: +358 50 458 9756 e-mail: jari.koivuvirta@neste.com
LisätiedotAalto-yliopiston laatujärjestelmä ja auditointi. Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support
Aalto-yliopiston laatujärjestelmä ja auditointi Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support 16.11.2016 The quality policy principles governing the activities of Aalto University
LisätiedotKäyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot
Käyttäjähallinta liiketoiminnan selkärankana Internet Expo 2000 24.8.2000 Jari Pirhonen Konsultti, CISSP AtBusiness Communications Oyj www.atbusiness.com Copyright 2000 AtBusiness Communications Oyj /
LisätiedotYlläpitäjät, järjestelmäarkkitehdit ja muut, jotka huolehtivat VMwareinfrastruktuurin
KOULUTUSTIEDOTE 1(6) VMWARE VSPHERE 5: INSTALL, CONFIGURE AND MANAGE II Tavoite Koulutuksen jälkeen osallistujat hallitsevat VMware vsphere -ympäristön asennuksen, konfiguroinnin ja hallinnan. Koulutus
LisätiedotAttribuuttipohjainen käyttövaltuuksien hallinta Case Dreamspark Premium
Attribuuttipohjainen käyttövaltuuksien hallinta Case Dreamspark Premium Jari Kotomäki Aalto University IT Käyttövaltuuksien hallinta eli auktorisointi Prosessi, jossa on kyse käyttäjän tunnistamisen (autentikoinnin,
LisätiedotOpas verkkopalvelun tietoturvan varmentamiseen
Opas verkkopalvelun tietoturvan varmentamiseen Haavoittuvuustutkimustiimi - 2NS www.2ns.fi 2/10 Johdanto Olemme vuodesta 2005 lähtien toteuttaneet yli 1000 verkkopalvelun haavoittuvuustestausta ja auditointia
LisätiedotAluksi. Riskien hallinta. Riskityyppejä. Riskillä on kaksi ominaisuutta. Reaktiivinen strategia. Proaktiivinen strategia
Aluksi Riskien hallinta Sami Kollanus TJTA330 Ohjelmistotuotanto 24.1.2007 Reaktiivinen strategia Indiana Jones -tyyli Ei huolehdita ongelmista ennen kuin ne tapahtuu Proaktiivinen strategia Tunnistetaan
LisätiedotWP3 Decision Support Technologies
WP3 Decision Support Technologies 1 WP3 Decision Support Technologies WP Leader: Jarmo Laitinen Proposed budget: 185 000, VTT 100 000, TUT 85 000. WP3 focuses in utilizing decision support technologies
LisätiedotEnterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri
Enterprise Architecture TJTSE25 2009 Yrityksen kokonaisarkkitehtuuri Jukka (Jups) Heikkilä Professor, IS (ebusiness) Faculty of Information Technology University of Jyväskylä e-mail: jups@cc.jyu.fi tel:
LisätiedotTietojärjestelmä uusiksi? Toimijaverkostot, niiden haasteet ja ratkaisut
Tietojärjestelmä uusiksi? Toimijaverkostot, niiden haasteet ja ratkaisut Samuli Pekkola Aki Alanne Taru Salmimaa Novi Research Center Tampereen teknillinen yliopisto Sisältö tausta, motiivi ja konteksti
LisätiedotTIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo
TIEKE Verkottaja Service Tools for electronic data interchange utilizers Heikki Laaksamo TIEKE Finnish Information Society Development Centre (TIEKE Tietoyhteiskunnan kehittämiskeskus ry) TIEKE is a neutral,
LisätiedotTietoturvallinen liikkuva työ. Juha Tschokkinen
Tietoturvallinen liikkuva työ Juha Tschokkinen Legacy environment Customers Partners Azure Windows Server Active Directory Microsoft Azure Active Directory Public cloud Cloud BYO On-premises VPN Classic
LisätiedotCo-Design Yhteissuunnittelu
Co-Design Yhteissuunnittelu Tuuli Mattelmäki DA, associate professor Aalto University School of Arts, Design and Architecture School of Arts, Design and Architecture design with and for people Codesign
LisätiedotJussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO
Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO Opinnäytetyö KESKI-POHJANMAAN AMMATTIKORKEAKOULU Puutekniikan koulutusohjelma Toukokuu 2009 TIIVISTELMÄ OPINNÄYTETYÖSTÄ Yksikkö Aika Ylivieska
LisätiedotCollaborative & Co-Creative Design in the Semogen -projects
1 Collaborative & Co-Creative Design in the Semogen -projects Pekka Ranta Project Manager -research group, Intelligent Information Systems Laboratory 2 Semogen -project Supporting design of a machine system
LisätiedotSmart specialisation for regions and international collaboration Smart Pilots Seminar
Smart specialisation for regions and international collaboration Smart Pilots Seminar 23.5.2017 Krista Taipale Head of Internaltional Affairs Helsinki-Uusimaa Regional Council Internationalisation
LisätiedotUUSIA TYÖPROSESSEJA PISTEPILVIMALLIN HYÖDYNTÄMISESSÄ NAVISWORKS ALUSTALLA
UUSIA TYÖPROSESSEJA PISTEPILVIMALLIN HYÖDYNTÄMISESSÄ NAVISWORKS ALUSTALLA TOKA-Projektin päätösseminaari Saimaan AMK 04.12.2014 Ari Puuskari, Profox Companies Oy Miikka Vehkaoja, Profox Companies Oy Profox
LisätiedotTestauksen suunnittelu ja dokumentointi ketterässä testauksessa Tutkimustuloksia
Testauksen suunnittelu ja dokumentointi ketterässä testauksessa Tutkimustuloksia Nina Perta, Senior quality consultant Knowit Oy Elina Varteva, QA Specialist Knowit Oy Copyright Knowit Oy 2014 Nina Perta
LisätiedotTietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1
TietoEnator Pilot Ari Hirvonen Senior Consultant, Ph. D. (Economics) TietoEnator Oyj presentation TietoEnator 2003 Page 1 Sallikaa minun kysyä, mitä tietä minun tulee kulkea? kysyi Liisa. Se riippuu suureksi
LisätiedotHAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI
HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI VIHOLLISET EIVÄT TARVITSE USEITA HAAVOITTUVUUKSIA YKSI RIITTÄÄ 90 MIN välein löytyy uusia haavoittuvuuksia 8000 haavoittuvuutta julkaistaan joka
LisätiedotVERKKOPALVELUN TIETOTURVAN VARMENTAMINEN
VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN Tietoturvaopas1 2NS - Haavoittuvuustutkimustiimi www.2ns.fi 2/10 Johdanto Olemme vuodesta 2005 lähtien toteuttaneet yli 1000 verkkopalvelun haavoittuvuustestausta
LisätiedotTIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA
TTL 60 vuotta Roadshow, Tampere 5.11.2013 TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA Antti Pirinen, Tietoturva ry Antti Pirinen Tietoturva ry Hallituksessa 2009 -> Sihteeri 2013 Työkokemus: 2012 -> KPMG:n
LisätiedotJärjestelmäarkkitehtuuri (TK081702) Yritysarkkitehtuuri. Muutostarpeet
Järjestelmäarkkitehtuuri (TK081702) Ympäristö Muutostarpeet ja niihin vastaaminen Yritysarkkitehtuuri Liiketoiminta-arkkitehtuuri Tavoitteet, Palvelut, Prosessit Informaatioarkkitehtuuri Tietotarpeet,
LisätiedotT Iteration demo. T Final Demo. Team Balboa
T-76.4115 Final Demo Team Balboa 23.2.2010 Agenda Introduction Demo! Goals and results Quality metrics Resource usage Technical architecture Risks Tools used in the project 2 Introduction to the project
LisätiedotIndoor Environment 2011-2015
Indoor Environment 2011-2015 18.4.2013 Risto Kosonen Ohjelma on investointinäkökulmasta edennyt pääosin suunnitelman mukaisesti Työpaketti Kumulatiiviset kustannukset 1.5.2011 31.8.2012 Kumulatiiviset
LisätiedotSecurity server v6 installation requirements
CSC Security server v6 installation requirements Security server version 6.4-0-201505291153 Pekka Muhonen 8/12/2015 Date Version Description 18.12.2014 0.1 Initial version 10.02.2015 0.2 Major changes
LisätiedotKetterämpi Sonera Matka on alkanut!
Ketterämpi Sonera Matka on alkanut! Muutamme maailmaa Asiakkaidemme ehdoilla Anne Rahkonen New Generation Telco Agenda Sonera tänään Matkalla muutokseen Digitalisaation ytimessä Globaali verkko maailma
LisätiedotTUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen
TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen ON OLEMASSA KAHDENLAISIA YRITYKSIÄ: 1. NE JOIHIN ON MURTAUDUTTU 2. NE JOTKA EIVÄT VIELÄ TIEDÄ SITÄ
LisätiedotKatselupalvelujen INSPIRE-yhteensopivuuden testaus
Katselupalvelujen INSPIRE-yhteensopivuuden testaus Infrastruktuuri-ryhmä 19.10.2011 Jani Kylmäaho 1 Miksi? Sisältö Yleisimmät ongelmat rajapintapalvelujen yhteensopivuudessa WMS-standardiin Yleisimmät
LisätiedotKyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.
Kyber- hyökkäykset Mitä on opittu? @saynajarvi #kyberturvallisuus #CyberSecurity www.cgi.fi/kyber www.cgi.fi/kybertutkimus 19.10.2016 Jens Säynäjärvi Director, Security Advisory CGI Group Inc. 2014 Onko
LisätiedotITK130 Ohjelmistojen luonne
ITK130 Ohjelmistojen luonne Luennon sisältö Ohjelmistotekniikka ja vaatimukset Ohjelmistotuote Ei-toiminnallisten vaatimusten luokittelu Sisäiset ja ulkoiset vaatimukset Oikeellisuus Luotettavuus Kestävyys
LisätiedotSecurity server v6 installation requirements
CSC Security server v6 installation requirements Security server version 6.x. Version 0.2 Pekka Muhonen 2/10/2015 Date Version Description 18.12.2014 0.1 Initial version 10.02.2015 0.2 Major changes Contents
LisätiedotEnterprise SOA. Nyt. Systeemi-integraattorin näkökulma
Enterprise SOA. Nyt. Systeemi-integraattorin näkökulma 12.11.2007 Janne J. Korhonen 12.11.2007 Agenda 1. Prosessit ja palvelut, BPM ja SOA 2. BPM-projekteista yleensä 3. Prosessin elinkaarimalli 4. Kokemuksia
LisätiedotThe Enterprise Architecture Journey
The Enterprise Architecture Journey Aalto IT architecture team Petri Mustajoki IT Architect Aalto-yliopisto on teknisten tieteiden, kauppatieteiden ja taideteollisen alan monialainen tiede- ja taideyhteisö.
LisätiedotBDD (behavior-driven development) suunnittelumenetelmän käyttö open source projektissa, case: SpecFlow/.NET.
BDD (behavior-driven development) suunnittelumenetelmän käyttö open source projektissa, case: SpecFlow/.NET. Pekka Ollikainen Open Source Microsoft CodePlex bio Verkkosivustovastaava Suomen Sarjakuvaseura
LisätiedotArcGIS.com. uusia tapoja jakaa paikkatietoa
ArcGIS.com uusia tapoja jakaa paikkatietoa Mikä on ArcGIS.com? ArcGIS.com on online-foorumi, jossa voidaan jakaa paikkatietoa ja tehdä yhteistyötä karttojen avulla. ArcGIS.com on maksuton ja avoin kaikille.
LisätiedotSuunnittelun ja rakentamisen nykytila
"MUUTTUVA SUUNNITTELUPROSESSI" Integroitu suunnitteluprosessi - mahdollisuus liiketoiminnan laajentamiseen? Reijo Hänninen Toimitusjohtaja Insinööritoimisto Olof Granlund Oy VERA - SEMINAARI Dipoli, Espoo
LisätiedotTietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari 26.11.2013 avs@iki.
Tietoturvan ja -etosuojan suhde sovelluskehityksessä An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari 26.11.2013 avs@iki.fi, TwiHer @an6vs TIETOTURVAN JA TIETOSUOJAN OLEMUKSIEN EROT Tietoturva LuoHamuksellisuus
LisätiedotWAMS 2010,Ylivieska Monitoring service of energy efficiency in housing. 13.10.2010 Jan Nyman, jan.nyman@posintra.fi
WAMS 2010,Ylivieska Monitoring service of energy efficiency in housing 13.10.2010 Jan Nyman, jan.nyman@posintra.fi Background info STOK: development center for technology related to building automation
LisätiedotPCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1
PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 Nixu 2014 1 Yleistä PCI DSS standardin kehittämisestä PCI SSC (Payment Card Industry Security Standards Council)
LisätiedotTietojenkäsittelyopin pääaineesta valmistuneiden työelämään sijoittuminen
Tietojenkäsittelyopin pääaineesta valmistuneiden työelämään sijoittuminen Sijoittumistiedot koskevat vuosina 2000 2008 tietojenkäsittelyopin oppiaineesta valmistuneita, jotka ovat saaneet työllisyystilannetta
LisätiedotTurvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure
Turvallisen sovelluskehityksen käsikirja Antti Vähä-Sipilä, F-Secure antti.vaha-sipila@f-secure.com, Twitter @anttivs Tavoitteet Käsikirjan tavoitteena on tukea nykyaikaista, DevOps-henkistä ketterää ohjelmistotuotantoa
LisätiedotTeknologia-arkkitehtuurit. Valinta ja mallinnus
Teknologia-arkkitehtuurit Valinta ja mallinnus ENTERPRISE ARCHITECTURE - A FRAMEWORK TM DATA What FUNCTION How NETWORK Where PEOPLE Who When MOTIVATION Why T IM E SCOPE (CONTEXTUAL) List of Things Important
LisätiedotNovell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren
Novell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren pekka.lindqvist@novell.com markku.wallgren@novell.com Sisältö Novell Access Manager Toimintaperiaate Federoinnit Novell
LisätiedotProjektin suunnittelu A71A00300
Projektin suunnittelu A71A00300 PESTLE-malli Poliittinen - mitä poliittisia riskejä projektiin voi liittyä? (verotus, hallinto ) Ekonominen - mitä taloudellisia riskejä projektiin liittyy? (työvoiman saatavuus,
LisätiedotJärjestelmätoimitusprosessin tietoturva Mikko Jylhä
Järjestelmätoimitusprosessin tietoturva 30.9.2009 Mikko Jylhä mikko.jylha@deloitte.fi Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin
LisätiedotEsitykset jaetaan tilaisuuden jälkeen, saat linkin sähköpostiisi. Toivottavasti vastaat myös muutamaan kysymykseen tapahtumasta Have a lot of fun!
SUSEtoberfest 2017 #SUSEtoberfest @SUSESuomi Wifi saatavilla SSID:Korjaamonavoin salasana: korjaamo Finceptum koulutuksen ständi Lasse Paavola SUSE ja Micro Focus Secure -tiimi Esitykset jaetaan tilaisuuden
LisätiedotTietojärjestelmien itsepuolustus Reaktiivisuudesta ennakointiin
Tietojärjestelmien itsepuolustus Reaktiivisuudesta ennakointiin IBM Tietoliikennepalvelut Sami Kuronen, CCIE#4522 Agenda IBM ja -lyhyt historiikki Tietoturvaratkaisujen haasteet n visio tietoturvasta IBM
LisätiedotAPI:Hack Tournee 2014
apisuomi API:Hack Tournee 2014 #apihackfinland Twitter: @ApiSuomi API:Suomi - Suomen metarajapinta apisuomi Apisuomi kerää vertailutietoa ja arvosteluja rajapinnoista madaltaen avoimen datan uudelleenkäytön
LisätiedotMarket. Need Market Research New Needs. Technical Research. Current Technological Level
! "! #$$#$$ $%% Market Need Market Research New Needs Idea Product Development Use of Products Possibilities Technical Research New Possibilities Current Technological Level (Jaakkola & Tunkelo 1987) Preliminary
LisätiedotKoulutuksen nimi Koulutuksen kuvaus Tavoite Esitiedot Alkaa Päättyy Viim.ilm.päivä
Tulevat ITIL Service Design (jatkokoulutus) paikka Jyväskylän yliopisto, Agora (Mattilanniemi 2) agb301 tausta ja tavoitteet ITIL on globaalisti hyödynnetty, ITalan parhaista käytännöistä
LisätiedotKysymys 5 Compared to the workload, the number of credits awarded was (1 credits equals 27 working hours): (4)
Tilasto T1106120-s2012palaute Kyselyn T1106120+T1106120-s2012palaute yhteenveto: vastauksia (4) Kysymys 1 Degree programme: (4) TIK: TIK 1 25% ************** INF: INF 0 0% EST: EST 0 0% TLT: TLT 0 0% BIO:
LisätiedotOhjelmien kehittämisstudiot varmistavat laadukkaat ja linjakkaat maisteriohjelmat Maire Syrjäkari ja Riikka Rissanen
Ohjelmien kehittämisstudiot varmistavat laadukkaat ja linjakkaat maisteriohjelmat 18.8.2016 Maire Syrjäkari ja Riikka Rissanen Miksi ja miten studiot? Todellinen tarve: uudet maisteriohjelmat alkamassa
LisätiedotFujitsu SPICE Lite. Kimmo Vaikkola Fujitsu Finland Oy Laatu ja liiketoimintatavat. Copyright 2010 FUJITSU
Fujitsu SPICE Lite Kimmo Vaikkola Fujitsu Finland Oy Laatu ja liiketoimintatavat Copyright 2010 FUJITSU Laatu ja prosessit Fujitsussa Laatujärjestelmän rakentaminen ja systemaattinen prosessijohtaminen
LisätiedotFROM VISION TO CRITERIA: PLANNING SUSTAINABLE TOURISM DESTINATIONS Case Ylläs Lapland
FROM VISION TO CRITERIA: PLANNING SUSTAINABLE TOURISM DESTINATIONS Case Ylläs Lapland Tiina Merikoski, Landscape Architect (M.Sc) Aalto University School of Science and Technology Department of Architecture
Lisätiedot1 TILATAR. 1.1 Yleistä. 1.2 Projektiorganisaatio
1 TILATAR 1.1 Yleistä TILATAR-projektin tehtävänä oli toteuttaa Tampereen Työväenyhdistys ry:lle Tampereen työväentalon kokous-, ryhmätyö- sekä juhlatilojen ja näiden tilavarausten hallinnointiin sopiva
LisätiedotTietojärjestelmän osat
Analyysi Yleistä analyysistä Mitä ohjelmiston on tehtävä? Analyysin ja suunnittelun raja on usein hämärä Ei-tekninen näkökulma asiakkaalle näkyvien pääkomponenttien tasolla Tietojärjestelmän osat Laitteisto
LisätiedotKoekysymyksiä. Ohjelmistoprosessit ja ohjelmistojen laatu Ohjelmistojen suorituskyky
Koekysymyksiä Ohjelmistoprosessit ja ohjelmistojen laatu 30.4.2015 58153003 Ohjelmistojen suorituskyky 1 Kurssikokeeseen tulee neljä koetilaisuudessa vastattavaa kysymystä KOKEESSA VASTATTAVAT KYSYMYKSET
LisätiedotPikaopas. Tietoturva, GDPR ja NIS. Version 3.0
Pikaopas Tietoturva, GDPR ja NIS Version 3.0 GDPR henkilötietojen suojaus EU:n uusi tietosuoja-asetus tuli voimaan 25.5.2018 kaikissa EU-valtioissa. Asetus syrjäyttää ja korvaa aikaisemman henkilötietojen
Lisätiedot7.4 Variability management
7.4 Variability management time... space software product-line should support variability in space (different products) support variability in time (maintenance, evolution) 1 Product variation Product
LisätiedotSuomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari
Suomi.fi - Tietoturvallisuus sovelluskehityksessä VAHTI sähköisen asioinnin tietoturvaseminaari 3.10.2017 YLEISTÄ Suomi.fi-palvelut esuomi.fi Tietoturvallisuus sovelluskehityksessä Yleisiä periaatteita
LisätiedotHELIA 1 (11) Outi Virkki Tiedonhallinta 4.11.2000
HELIA 1 (11) Access 1 ACCESS...2 Yleistä...2 Access-tietokanta...3 Perusobjektit...3 Taulu...5 Kysely...7 Lomake...9 Raportti...10 Makro...11 Moduli...11 HELIA 2 (11) ACCESS Yleistä Relaatiotietokantatyyppinen
LisätiedotLiiku Terveemmäksi LiikuTe 2010. Yleiset periaatteet vuoden 2010 järjestelyille
Liiku Terveemmäksi LiikuTe 2010 Yleiset periaatteet vuoden 2010 järjestelyille LiikuTe Neuvottelukunta 02 03 2010 Vuoden 2010 lähtöruutu 1. Edetään vuosien 2007 2009 kokemusten pohjalta 2. Tapahtumia toukokuussa
LisätiedotToiminnallinen turvallisuus
Toiminnallinen turvallisuus Mitä uutta standardeissa IEC 61508 Tekn.lis. Matti Sundquist, Sundcon Oy www.sundcon.fi matti.sundquist@sundcon.fi Mitä uutta standardeissa IEC 61508-1 ja -4? IEC 61508-1 (yleistä):
LisätiedotXPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy
IBM Collaboration Forum ٨.٣.٢٠١١ XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy ٢٠١١ IBM Corporation Domino-sovelluskehitys Nopea kehitysympäristö (Rapid application development,
LisätiedotStandardi IEC Ohjelmisto
Sundcon Oy Standardi IEC 61508 3 Ohjelmisto muutokset Matti Sundquist Sundcon Oy www.sundcon.fi Standardi IEC 61508 3 (1) Standardissa di esitetään vaatimukset niiden tietojen ja menettelytapojen valmisteluun,
LisätiedotSuomalaisten korkeakoulujen osallistuminen EU-Canada-ohjelmaan: Hankkeet (EU-CANADA cooperation in higher education and vocational training)
Lisätietoa ohjelmasta: http://ec.europa.eu/education/eu-canada/doc1563_en.htm 1996 Hankekuvaukset Euroopan komission verkkopalvelussa: http://ec.europa.eu/education/eu-canada/doc1832_en.htm Promoting student
LisätiedotJulkaisun laji Opinnäytetyö. Sivumäärä 43
OPINNÄYTETYÖN KUVAILULEHTI Tekijä(t) SUKUNIMI, Etunimi ISOVIITA, Ilari LEHTONEN, Joni PELTOKANGAS, Johanna Työn nimi Julkaisun laji Opinnäytetyö Sivumäärä 43 Luottamuksellisuus ( ) saakka Päivämäärä 12.08.2010
LisätiedotHELIA 1 (15) Outi Virkki Tietokantasuunnittelu
HELIA 1 (15) Luento 2.6 Käyttöoikeuksista ja suojauksesta... 2 Suojausten suunnittelu... 3 Käyttäjätunnukset... 4 Tunnuksen luominen... 5 Tunnuksen muuttaminen... 6 Tunnuksen poistaminen... 6 Oikeudet
LisätiedotInfrastruktuurin asemoituminen kansalliseen ja kansainväliseen kenttään Outi Ala-Honkola Tiedeasiantuntija
Infrastruktuurin asemoituminen kansalliseen ja kansainväliseen kenttään Outi Ala-Honkola Tiedeasiantuntija 1 Asemoitumisen kuvaus Hakemukset parantuneet viime vuodesta, mutta paneeli toivoi edelleen asemoitumisen
LisätiedotÄlykkäämpi päätelaitteiden hallinta Juha Tujula, CTO, Enfo Oyj. 2013 IBM Corporation
Älykkäämpi päätelaitteiden hallinta Juha Tujula, CTO, Enfo Oyj 2013 IBM Corporation 3 Enfo Suomessa Markkinat: Suomessa IT-palvelumarkkinan koko on noin 2,5 miljardia euroa ja sen arvioidaan kasvavan pitkällä
LisätiedotKäyttöjärjestelmät(CT50A2602)
V 2.0 Käyttöjärjestelmät(CT50A2602) KÄYTTÖJÄRJESTELMIEN TIETOTURVA Ryhmä: Hauvala, Anssi 0398197 Kellokoski, Keijo, 0398317 Manninen, Jaana 0369498 Manninen, Sami 0315464 Nurmela, Marja-Leena 0398375 Tanttu,
LisätiedotCapacity Utilization
Capacity Utilization Tim Schöneberg 28th November Agenda Introduction Fixed and variable input ressources Technical capacity utilization Price based capacity utilization measure Long run and short run
LisätiedotMicrosoft SQL Server -tietokannan hallinta. Jouni Huotari
Microsoft SQL Server -tietokannan hallinta Jouni Huotari 13.2.2008 Tavoite Saada käsitys SQL Serverin (v. 2005) ominaisuuksista + eri vaihtoehtojen hyvistä ja mahdollisista huonoista puolista Oppia luomaan
LisätiedotLuku 8 Rakennusvaihe. Detailed Design. Programming. Moduulisuunnittelu. Ohjelmointi
Luku 8 Rakennusvaihe Moduulisuunnittelu Detailed Design Programming Ohjelmointi Teknisen Complete suunnittelun Technical viimeistely Design Suunnittelukatselmuksen Design Perform suorittaminen Review Yhteisen
LisätiedotExpression of interest
Expression of interest Avoin hakemus tohtorikoulutettavaksi käytäntö Miksi? Dear Ms. Terhi virkki-hatakka I am writing to introduce myself as a volunteer who have the eagerness to study in your university.
LisätiedotTietohallinnon liiketoimintalähtöinen toiminnanohjaus IT-ERP
Tietohallinnon liiketoimintalähtöinen toiminnanohjaus IT-ERP 27.9.2007 Juha Berghäll Efecte Oy juha.berghall@efecte.fi / +358 40 589 5121 Kuka puhuu? z Juha Berghäll z Country Manager Finland z Laaja kokemus
Lisätiedot