Verkkosovellusten tietoturvastrategia

Samankaltaiset tiedostot
Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki

Tietoturvallisuuden ja tietoturvaammattilaisen

Tietoturva ja viestintä

Tietoturvallisuuden ajankohtaiset haasteet Mitä vaaditaan tietoturvaosaamiselta?

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Standardien PCI DSS 3.0 ja Katakri II vertailu

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT

Tietoturvallisia sovelluksia

Tietoturvallisuuden ajankohtaiset haasteet

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

VALVO JA VARAUDU PAHIMPAAN

Standardit tietoturvan arviointimenetelmät

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 6: Katselmointi

Integral Reactive PALVELUKUVAUS

Virtu tietoturvallisuus. Virtu seminaari

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Lapin yliopiston tietoturvapolitiikka

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Dynamo-koulutus Omat laitteet oppimisessa

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Tutkimus web-palveluista (1996)

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

- Jarjestelmaasiantuntija Markku Jaatinen

Järjestelmäarkkitehtuuri (TK081702) Avoimet web-rajapinnat

Tietoturvan huomioon ottaminen tietojärjestelmähankinnassa

Eläketurvakeskuksen tietosuojapolitiikka

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

Tiedon avaamisen työpaja 6.5.

Vesihuolto päivät #vesihuolto2018

Tietoturvapäivä

OWASP CLASP turvallisten web sovellusten takaajana

Hyökkäysten havainnoinnin tulevaisuus?

Kiinteistöjen ylläpito Talotekniikan kipupisteitä ja hyviä käytäntöjä

Kouvolan perusturvan ja Carean potilasturvallisuuspäivä Annikki Niiranen 1

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

Projektinhallintapäivä Päivi Kähönen-Anttila

ipad yrityskäytössä AKVA -seminaari Ilona IT Oy Petra Anttila, /

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

Tuloksellisuutta tekemässä Tietopolitiikka, ICT ja TORI

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Opas verkkopalvelun tietoturvan varmentamiseen

Satakunnan koulutuskuntayhtymä OPPILAITOSTURVALLISUUSSEMINAARI Projektipäällikkö Minna Mari Virtanen

Tietoturvakonsulttina työskentely KPMG:llä

ICT-info opiskelijoille

Uusia tuulia Soneran verkkoratkaisuissa

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

ICT-info opiskelijoille. Syksy 2017

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

30 Opetussuunnitelma OSAAMISEN ARVIOINTI ARVIOINNIN KOHTEET JA AMMATTITAITOVAATIMUKSET OSAAMISEN HANKKIMINEN. järjestelmätyöt: työskentely

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Verkottunut suunnittelu

ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Sisäasianministeriön toimenpiteet henkilöstöhallinnon yhtenäistämiseksi

ICT-info opiskelijoille

Projektinhallinta TARJA NISKANEN LÄHTEENÄ MM. KEHITTÄJÄN KARTTAKIRJA

atbusiness Tietoturvatorstai

Tulityölupa mobiilisovellus CASE Meyer telakka. Tulitöiden kurssinjohtajapäivät 2017

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

Turvallisuuden bisnesmalli

SAFIR2010 loppuseminaari lehdistötilaisuus

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Laitteiden ja tilojen yhteiskäyttö. Eeva Liisa Hartikainen, SYKE FINAS-päivä

IT- palvelua käyttäjille - ei tekniikkaa tietohallinnolle. Jari Taimi Toimitusjohtaja SataCom Oy

(Acerin) Windows 8 tabletti henkilöstön työkäytössä Koonnut Hanna Frilander, Mobiilit ohjaajat hanke

Projektinhallinta SFS-ISO mukaan

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

SATAFOOD KEHITTÄMISYHDISTYS RY. Laatujärjestelmät yrityksen toiminnan tehostajana Marika Kilpivuori ISO 9001 ISO / FSSC ISO 14001

ERÄÄN SYSTEEMITYÖMALLIN ARVIOINTI TIETOTURVANÄKÖKULMASTA

Mobiliteetti ja kommunikaatio

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Merkittävä merkillinen kysymys. Ylijohtaja Marjatta Kimmonen / VTV

Tietoturvapolitiikka

Tästä eteenpäin Tehyn johtamisen ja esimiestyön päivät

Mitä laatu on. Laadunhallinta vesiviljelyssä

PK-yrityksen tietoturvasuunnitelman laatiminen

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Sovelluskehityksen. tietoturvaohje 1/2013 VAHTI. Valtionhallinnon tietoturvallisuuden johtoryhmä

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Kyberturvallisuus kiinteistöautomaatiossa

Käyttövaltuushallinnan hyödyt tehokkaasti käyttöön. Johanna Lampikoski, RM5 Software Juha Arjonranta, TeliaSonera Finland

Oikeat eväät lisäkäsiin. Susanna Rantanen, Emine Oy

Käytännöntoimenpiteet. Hasse Lönnberg Sapa Building System

Yhteiskunnan turvallisuusstrategia 2017 Hyväksytty valtioneuvoston periaatepäätöksenä

VALTIONEUVOSTON PERIAATEPÄÄTÖKSEN PERUSTELUMUISTIO KANSALLISESTA TIETOTURVASTRATEGIASTA Turvallinen arki tietoyhteiskunnassa Ei tuurilla vaan taidolla

Tietoturvallisuuden johtaminen

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

KONTAKTIMATERIAALIEN VALMISTUKSEN TARKASTUS Liite tarkastuskertomukseen (EY-asetus 2023/2006, 1935/2004, 882/2004, Elintarvikelaki 23/2006)

Transkriptio:

Verkkosovellusten tietoturvastrategia Information Security konferenssi 20.4.2010 Jari Pirhonen Turvallisuusjohtaja Samlink Sisältö Nykyaikaisten verkkosovellusten tietoturvaaminen on haastavampaa kuin luuletkaan. Tietoturva on huomioitava kattavasti sovelluskehityksen kaikissa vaiheissa. Käytännön etenemismalli ja havaittuja haasteita It is not enough to do your best; you must know what to do, and then do your best. -- W. Edwards Deming 1

Vuosisadan suunnitteluhaasteet Lähde: http://www.engineeringchallenges.org/ Vuosisadan suunnitteluhaasteet Laitteiden, sovellusten, tiedon ja käyttäjien vahva todentaminen Turvallisten sovellusten tuottaminen ja todentaminen Tietoliikenteen aitouden ja oikeellisuuden varmistaminen Tietoturvaratkaisujen helppokäyttöisyys Kokonaisuuksien turvaaminen Lähde: http://www.engineeringchallenges.org/ 2

Perinteiset lähestymistavat sovellusten turvaamiseen 1. Yritetään kovemmin Luottamus sovelluskehittäjien henkilökohtaiseen osaamiseen Älkää tehkö virheitä Kaikista ei saa tietoturva-asiantuntijaa 2. Korjataan myöhemmin Tietoturvasta ei huolehdita sovelluskehityksen aikana Rakennetaan parempi palomuuri ja laitetaan salaus päälle sovelluspalomuuri, IDS/IPS, SSL, 3. Tarkastetaan lopputulos Palkataan asiantuntija etsimään valmiin sovelluksen tietoturvavirheet Laatua ei saa pelkästään testaamalla/tarkastamalla Nämä tavat eivät toimi! Lähde: http://www.secappdev.org/handouts/2010/matias%20madou/staticanalysis.pdf Tietoturva on huomioitava kokonaisvaltaisesti 3

Tietoturva on huomioitava kokonaisvaltaisesti Käyttäjän tunnistaminen Tapahtumien vahvistus Helppokäyttöisyys ei tietoturvapäätöksiä käyttäjälle Palvelun tunnistaminen Käyttövaltuudet Tietojen oikeellisuuden varmistaminen Tapahtumien kiistämättömyys Sähköinen allekirjoittaminen Häiriöttömyyden varmistaminen Tietoturvatapahtumien seuranta Osapuolten tunnistaminen Käyttäjäidentiteetin ja valtuuksien välitys Tietojen välitys käyttötarpeiden ja valtuuksien mukaisesti Tietojen säilytys luottamuksellisena ja muuttumattomana Tietojen salaus käyttäjältä tietokantaan, tapahtumien aukoton jäljitettävyys koko palveluketjussa, yhteiset tietoturvaperiaatteet, tietoturvallisiksi suunnitellut ja testatut palvelut, tietoturvallisuuden toteutumisen osoittaminen Tietoturva on integroitava systeemityöhön Standardit ja toimialavaatimukset edellyttävät tietoturvan huomioimista systeemityön kaikissa vaiheissa Valmiit mallit/metodologiat keskittyvät toiminnallisuuteen ja kustannustehokkuuteen tietoturva heikosti huomioitu Apua ja ohjeita löytyy jo: BSIMM, SAMM, MS SDL, OWASP, Vältä tietoturvan perisynti tuotelähtöinen suojausajattelu Luo fiksut toimintamallit sen sijaan, että syydät rahaa sovelluksen turvakuorrutukseen Hakkerointi on helppoa, kovat tyypit koodaavat laadukasta softaa Tietoturvahaasteet lisääntyvät entisestään Monimutkaisuus, verkottuminen, ketteryys, uudet ohjelmointikielet ja tekniikat, Tasalaatua keskivertokoodareilla Internet-kupla pilasi ohjelmoijasukupolven Sovelluksen turvallisuus on osoitettava Hyvä menetelmä ja jäljet sen jalkautumisesta Riskiarviot, dokumentit, raportit/mittarit 4

Ensimmäiset askeleet 1. Teetä tietoturvatarkastus Jos et osaa, hanki apua pahimpien virheiden löytämiseksi Optimitilanteessa tarkastuksen tuloksia käytetään oman toiminnan parantamiseen 2. Kouluta sovellustietoturvaa Siis tekemään hyviä sovelluksia, ei hakkerointia Kuinka moni on nähnyt sovelluksesi koodirivit? Ongelmista puolet implementointivirheitä, puolet suunnittelu- tai arkkitehtuurivirheitä 3. Selvitä tietoturvavaatimukset Hyvin suunniteltu on puoliksi tehty Tietoturvariskianalyysi avuksi 4. Tietoturvakatselmoinnit Parantaa tekijöiden asennetta, osaamista ja lopputuloksen laatua 5. Sovellustietoturvaryhmän perustaminen Yhteinen kieli ja sovelluskehityksen ymmärtäminen Lähde: Systeemityö lehti, http://koti.welho.com/jpirhone/docs/sytyke_2010.pdf Case 5

Käytännössä havaittuja haasteita Osaamisen ja asenteiden kehittäminen kaikilla tasoilla Johto, projektipäälliköt, arkkitehdit, sovelluskehittäjät, testaajat, tietoturva-asiantuntijat, Tietoturvavastuu, riskiajattelu, omien ratkaisujen arviointi Systeemityömallin käyttökuri Tietoturva täytyy sisällyttää toimintamalleihin ja mallia on noudatettava Tietoturva-asiantuntija syndrooma Tietoturva ulkoistetaan asiantuntijoille Harva sovellus aloitetaan tyhjältä pöydältä Tukeudutaan olemassa oleviin ratkaisuihin liian helposti Tarkistuslistafetissi Halutaan tarkistuslistoja - jääkö tilaa omalle ajattelulle? Yhteenveto Nykyaikaisten verkkosovellusten tietoturvaaminen on haastavampaa kuin luuletkaan. Tarvitaan kokonaisarkkitehtuurinäkemystä, monipuolista osaamista ja tietoturvaspesifistä osaamista. Tietoturva on huomioitava kattavasti sovelluskehityksen kaikissa vaiheissa. Tämä vaatii merkittäviä ponnistuksia ja yrityksen sitoutumista. Kulttuurimuutosta. Hyviä käytäntöjä löytyy tueksi, mutta ne on sovitettava omaan yrityksen toimintatapoihin. Käytännön etenemismalli ja havaittuja haasteita Älä haukkaa liikaa kerralla, hae pikavoitot ja suurimmat hyödyt. Vaadi tietoturvajälkiä. 6

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute