T Yritysturvallisuuden seminaari. Enterprise Security Architecture, A Business Driven Approach. Esitys 1: luvut 1-4. Atte Kokkinen, 49302U

Samankaltaiset tiedostot
Teknologia-arkkitehtuurit. Valinta ja mallinnus

Enterprise Security Architecture, A Business Driven Approach Kappaleet 7 ja 8

Yritysarkkitehtuuri. Hypeä vai asiaa? Jari Isokallio. Copyright 2004 TietoEnator Corporation

IoT-platformien vertailu ja valinta erilaisiin sovelluksiin / Jarkko Paavola

SOA SIG SOA Tuotetoimittajan näkökulma

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

7. Product-line architectures

Arkkitehtuurimenetelmistä osana toiminnan kehittämistä. KAOS: Syksyn aloitustilaisuus Timo Itälä

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

Tietojärjestelmä uusiksi? Toimijaverkostot, niiden haasteet ja ratkaisut

T Yritysturvallisuuden seminaari

Liiketoimintajärjestelmien integrointi

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

Koulutuksen nimi Koulutuksen kuvaus Tavoite Esitiedot Alkaa Päättyy Viim.ilm.päivä

7.4 Variability management

Liiketoimintaprosessien ja IT -palvelujen kytkentä Palveluntarjoaja katalysaattorina

Liiketoiminta-arkkitehtuuri

Liiketoimintajärjestelmien integrointi

Ketterämpi Sonera Matka on alkanut!

Agora Center - Monitieteiset projektit

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Tietoturvallisuuden johtaminen

Palvelut yritysarkkitehtuurin keskiössä: OP-Pohjola-ryhmän matkakokemuksia

LIIKETOIMINNAN JATKUVUUDEN VARMISTAVAT PALVELURATKAISUT Simo Leisti Myyntijohtaja, IBM teknologiapalvelut

Enhancing our Heritage Toolkit. Työkalupakki

PARTNERSHIP MONITOR. POTRA-NIS Oy I I

Kokonaisarkkitehtuurin omaksuminen: Mahdollisia ongelmakohtia ja tapoja päästä niiden yli

Enterprise SOA. Nyt. Palvelukeskeisen yritysarkkitehtuurin rakentajan näkökulma

Ubicom tulosseminaari

Collaborative & Co-Creative Design in the Semogen -projects

RAIN RAKENTAMISEN INTEGRAATIOKYVYKKYYS

RAKENNETUN(OMAISUUDEN( DIGITALISAATIO

Katsaus ohjelmavalmisteluihin. Dr. Anssi Salonen

Where Research Comes To Life TBRC TBRC KOULUTUS- JA KEHITTÄMISKESKUS

WP5: Järjestelmäintegraatio. Ilkka Tikanmäki ja Ville Roisko

.NET 2006 ja sen jälkeen

PALVELUKULTTUURIN JA MINDSETIN KEHITTÄMINEN 3 STEP IT Step IT Group / Palvelukulttuuri / Artti Aurasmaa

Sosiaali- ja terveysalan toimialamalli tiedolla johtamisen avuksi

Tieto ja järjestelmät integroituvat asiakaslähtöisiksi palveluiksi. JHS-seminaari Jukka Ahtikari

MIHIN SUUNTAAN ARVIOINTI KEHITTYY MAAILMALLA? Didaktiikan teemapäivä, , Turun yliopisto Petri Uusikylä, Suomen arviointiyhdistys

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

KOMPETENSSIT. Koulutus Opiskelija Tuuttori. Business Information Technologies. NQF, Taso 6 - edellyttävä osaaminen

Tärkeimpien ICS- tietoturvastandardien soveltaminen Fortumissa. Tietoturvaa teollisuusautomaatioon (TITAN) Seminaari,

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

Innovation Platform Thinking Jukka P. Saarinen Mika M. Raunio Nadja Nordling Taina Ketola Anniina Heinikangas Petri Räsänen

Strategiset kyvykkyydet robotiikan aikakaudella

CIO muutosjohtajana yli organisaatiorajojen

Langattomat ubi-teknologiat sovelluksia ja liiketoimintamahdollisuuksia. Juha Miettinen Ohjelmajohtaja Jokapaikan tietotekniikan klusteriohjelma

HP OpenView ratkaisut toiminnan jatkuvuuden turvaajina

KAOS 2015: Integraatioiden standardointi suunnittelumallien avulla. Ilkka Pirttimaa, Chief ICT Architect, Stockmann ICT

Projektin tavoitteet

IP-verkkojen luotettavuus huoltovarmuuden näkökulmasta. IPLU-II-projektin päätösseminaari Kari Wirman

ja itsenäisen harjoittelun jälkeen Microsoftin koe Luennot ja käytännön harjoitukset lähiopetusjaksolla

LIIKENNEDATA HYÖTYKÄYTTÖÖN

Muutoksen hallittu johtaminen ja osaamisen varmistaminen

HELSINKI AREA TESTBED. Martti Mäntylä, HIIT

Perinteisesti käytettävät tiedon (datan) tyypit

Enterprise Architectures

PALVELUKULTTUURI KASVUN MOOTTORINA Step IT Group / Palvelukulttuuri / Artti Aurasmaa

FROM VISION TO CRITERIA: PLANNING SUSTAINABLE TOURISM DESTINATIONS Case Ylläs Lapland

Jussi Jyrinsalo Neuvottelutoimikunta Fingridin toiminta kansainvälisessä ympäristössä

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

TEOLLINEN KILPAILUKYKY PALAAKO TUOTANTO SUOMEEN?

Tietohallintomalli Kokemukset ja yhteensopivuus kansainvälisiin käytäntöihin Katri Riikonen, Head of CIO Innovation Center

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

Heidi Kantell- Yancik WORKSHOP/CASE: LähiTapiola: IT- palveluiden hallinta monitoimilajaympäristössä

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Johtamisen haaste kokonaisarkkitehtuuri menestyksen mahdollistajako?

Miten strategiset muutokset saadaan parhaiten aikaan - Tunnista myös kompastuskivet

Ympäristöinnovaatioiden mahdollisuudet

Sähkönjakeluverkon hallinnan arkkitehtuuri. Sami Repo

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

J u k k a V i i t a n e n R e s o l u t e H Q O y C O N F I D E N T I A L

SMART BUSINESS ARCHITECTURE

Tietoturvallisuuden ja tietoturvaammattilaisen

Internet of Things. Ideasta palveluksi IoT:n hyödyntäminen teollisuudessa. Palvelujen digitalisoinnista 4. teolliseen vallankumoukseen

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

Augmented Reality (AR) in media applications

ITKE54 Kehittämismenetelmät ja arkkitehtuurit liiketoiminnassa. ITK E54 v. 2004

Tietoturvallinen liikkuva työ. Juha Tschokkinen

VBE II, vaihe 1:

Tavaraliikenteen telematiikka-arkkitehtuuri Tavaraliikenteen TelemArk

Fimecc - Mahdollisuus metallialalle. Fimecc, CTO Seppo Tikkanen

Master-opinnot Haaga-Heliassa. Avoin AMK infoilta Koulutusasiantuntija Sanna Heiniö

Bimodaalisuus IT Palvelunhallinnassa Case UPM

Kuluttajat ja uuden teknologian hyväksyminen. Kuluttajan ja markkinoijan suhde tulevaisuudessa Anu Seisto, VTT

Enterprise Security Architecture. Luvut T Yritysturvallisuuden seminaari Mats Malmstén

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Ohjelmistoarkkitehtuuriin vaikuttavia tekijöitä. Kari Suihkonen

Smart cities - nyt ja huomenna

Kuinka tehostat asiakashankintaa ja myyntiä markkinoinnin automaatiolla? Copyright Element AB, All rights reserved.

JTC1 SC7 kuulumiset: Keskeiset työkohteet ja tulokset. SFS:n IT-seminaari Risto Nevalainen, Senior Advisor FiSMA

Hieman lisää malleista ja niiden hyödyntämisestä

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Kuinka rakentaa globaaleja verkostoja - kommenttipuheenvuoro

Tietohallinnon liiketoimintalähtöinen toiminnanohjaus IT-ERP

The Enterprise Architecture Journey

T Tietojärjestelmien hankinta ja johtaminen

Transkriptio:

T-110.5690 Yritysturvallisuuden seminaari Enterprise Security Architecture, A Business Driven Approach Esitys 1: luvut 1-4 Atte Kokkinen, 49302U 24.9.2007

Sisältö Luku 1: Turvallisuuden merkitys Luku 2: Arkkitehtuurin merkitys Luku 3: Turvallisuusarkkitehtuurin malli Luku 4: Esimerkkitapauksen esittely 2

Luku 1: Turvallisuuden merkitys Käsiteltävät asiat: Käsitteen määrittely Ristiriita: bisnes-väki vs. turvaihmiset Turvatoimien mitoitus ja tarkoitus Mahdollistaja vs. kustannus? 3

Turvallisuus-käsite Monia merkityksiä, riippuu asiayhteydestä Kirjan kontekstissa: protection of the business Business laajassa merkityksessä, ei pelkkää liiketoimintaa 4

Turvallisuus-käsite Usein epäselvä ristiriitoja perinteinen kulttuuriero Ei pelkät tekniset ominaisuudet Suhteellinen käsite! Aina suhteessa riskiin ja suojeltavan asian arvoon 5

Riski Uhka (%) Haavoittuvuus Vahinko ( ) Riski Riskin pienentäminen Riskin poistaminen Riskin siirtäminen Riskin hyväksyminen Lähde: T-110.5600 luentokalvot 2007 6

Turvatoimien mitoitus Riskien tunnistaminen ja priorisointi Riskeille oltava oma arviointiprosessinsa Tarkemmin kirjan luvussa 15 Tuloksena joukko toiminnan vaatimuksia Abstraktiona: Control Objectives Asenne Enablement Objectives Toimenpiteet mitoitettava riskien mukaan 7

Edistäjä vai estäjä? Uusia teknologioita uusia bisneksiä B2C sekä B2B Paljon riskejä ja haavoittuvuuksia Henkilökohtaisten tietojen vuotaminen Petolliset myyjät ja/tai ostajat Maksutietojen anastus Virheet ja väärinkäsitykset Kiistojen selvittelyn vaikeus, kenen vastuu Ei toimi turhautuminen, luottamuspula 8

Mahdollisuuksia Kaupankäynti Lisäarvopalvelut Valta kuluttajalle Suhteen suojaaminen Luottamuksen laajentaminen 9

Mitä tarvitaan? Teknologia yksin ei riitä! Toiminnan tarpeet ja riskit tunnettava Strateginen arkkitehtuuri Projektinhallinta Järjestelmien integrointi Turvallisuuspolitiikat ja käytännöt Turvallisuuskulttuuri ja -infra (koko firma) 10

Yhteenveto (tieto)turvallisuudesta Turvallisuuden tarkoitus suojella bisneksen tavoitteita ja voimavaroja Riskit ovat monimutkaisia Turvatoimien pitää pienentää riskiä ja siten mahdollistaa liiketoiminta, ei estää sitä Mahdollistaa lisäarvopalvelut Voimaannuttaa asiakkaan Suojelee ja laajentaa luottamusta 11

Luku 2: Arkkitehtuurin merkitys Käsiteltävät asiat: Käsitteen määrittely Referenssimallit / viitekehykset Vaatimukset ja lähestymistavat Hyvä arkkitehti ja 10 käskyä 12

Arkkitehtuuri käsitteenä Perinteinen merkitys Monimutkaisuuden hallinta, suuntaviivat Kerrosajattelu Modulaarisuus Vastaavasti tietojärjestelmien luomisessa Tavoitteet, ympäristö, tekniset kyvyt Vajavainen ymmärrys ei riitä Tällöin usein pelkkä tekninen tarkastelu 13

Referenssimalli / viitekehys Korkean tason referenssimalli liiketoimintajärjestelmien arkkitehtuurille Liiketoiminta-arkkitehtuuri Informaatioarkkitehtuuri Sovellusarkkitehtuuri Riskienhallintaarkkitehtuuri Infrastruktuuriarkkitehtuuri Johtamis- ja hallintoarkkitehtuuri 14

Infra-arkkitehtuurin referenssimalli Infrastruktuuri on monikerroksinen tekninen arkkitehtuuri Security Services Directory Services Applications Service Management Services Integration Information Transfer Data Processing Operational Services 15

Yritysturvallisuuden arkkitehtuuri Perinteisesti: ei arkkitehtuuria Yksittäisratkaisut tilanteisiin Kokonaiskustannukset ei hallinnassa Ratkaisu: arkkitehtuuri Kokonaisratkaisu toiminnan tarpeista lähtien Tarpeet toiminta- / yrityskohtaisia Usein ristiriitaiset tarpeet / vaatimukset Holistinen lähestymistapa edellytys 16

Ristiriitaiset vaatimukset Esimerkiksi tietoturvallisuudessa: Turvallisuus Kustannus Käytettävyys 17

Hyvä arkkitehti Kohtaa laaja-alaiset vaatimukset Fokus bisnekseen Luonteenlujuutta ja kommunikointikykyä Ylimmän johdon tuki Kymmenen käskyä: 18

Arkkitehdin 10 käskyä 1. Kuuntele ja opi 2. Johda diplomaattisesti 3. Keskity ydinosaamiseen ja verkotu 4. Muista toistettavuus 5. Tunne markkinat (eri ratkaisut) 6. Tunne bisnes (asiakkaan) 7. Hyväksytä suunnitelmat 8. Käytä maalaisjärkeä 9. Valitse parhaiten sopiva ratkaisu 10. Vältä väliaikaisia järjestelmiä 19

Arkkitehtuurin yhteenveto Tarkoituksena varmistaa monimutkaisen kokonaisuuden yhtenäisyys Keinoina referenssimallit ja niiden tasot Bisnesnäkökulmasta, huomioiden ristiriitaiset vaatimukset Ei tilkkutäkki-ratkaisuja Holistinen, yrityksen laajuinen näkemys Hyvän arkkitehdin tärkeät ominaisuudet 20

Luku 3: Turvallisuusarkkitehtuurin SABSA-malli Käsiteltävät asiat: SABSA-malli, kuusi tasoa Tasojen kuvaus, kuusi kysymystä SABSA-matriisi, 6 x 6 SABSA = Sherwood Applied Business Security Architecture 21

SABSA-malli (1/2) Kuusi arkkitehtuurin tasoa, verrattavissa talonrakennuksen tasoihin The Business View The Architect s View The Designer s View The Builder s View The Tradesman s View The Facilities Manager s View Contextual Security Architecture Conceptual Security Architecture Logical Security Architecture Physical Security Architecture Component Security Architecture Operational Security Architecture 22

SABSA-malli (2/2) Tasojen suhde toisiinsa Contextual Security Architecture Conceptual Security Architecture Logical Security Architecture Physical Security Architecture Component Security Architecture Operational Security Architecture 23

Kuusi kysymystä Joka tasolla käsitellään kuutta kysymystä: 1. Mitä suojellaan? 2. Miksi tehdään niin kuin tehdään? 3. Kuinka se tehdään? 4. Kuka tekee? 5. Missä näin toimitaan? 6. Milloin tehdään? 24

Turvallisuusarkkitehtuurin 1. Kontekstin taso tasojen kuvaus (1/2) Saadaan toiminnan vaatimukset Usein jätetään huomiotta ei voi toimia 2. Käsitteellinen taso Määrittelee periaatteet ja konseptit 3. Looginen taso Ylempien tasojen asiat esitetään loogisina abstraktioina 25

Turvallisuusarkkitehtuurin 4. Fyysinen taso tasojen kuvaus (2/2) Kuvaa teknologiamallin ja eri komponenttien toiminnalliset vaatimukset 5. Komponenttitaso Tuotteet ja työkalut (sekä HW että SW) 6. Operatiivinen taso Varmistaa toiminnan jatkuvuus Lisäksi ilmenemiset muilla tasoilla 26

SABSA-matriisi Assets (What) Motivation (Why) Contextual The Business Business Risk Model Conceptual Logical Physical Business Attributes Profile Business Information Model Business Data Model Control Objectives Process (How) Business Process Model Security Strategies and Architectual Layering People (Who) Business Organisation and Relationships Security Entity Model and Trust Framework Security Policies Security Services Entity Schema and Priviledge Profiles Security Rules, Practices and Procedures Security Mechanisms Users, Applications and the User Interface Location (Where) Business Geography Security Domain Model Security Domain Definitions and Associations Platform and Network Infrastructure Time (When) Business Time Dependencies Security-Related Lifetimes and Deadlines Security Processing Cycle Control Structure Execution Component Detailed Data Structures Security Standards Security Products and Tools Identities, Functions, Actions and ACLs Processes, Modes, Addresses and Protocols Security Step Timing and Sequencing Operational Assurance of Operational Continuity Operational Risk Management Security Service Management and Support Application and User Management Support Security of Sites, Networks and Platforms Security Operations Schedule 27

Luku 4: Esimerkkitapaus Pienten esimerkkien lisäksi yksi isompi case, johon palataan läpi kirjan Monet piirteet yhdistetty tähän esimerkkiin: Intergalactic Banking and Financial Services Inc. Lyhyt yleinen kuvaus Johtohenkilöiden haastatteluja 28

Esimerkin tarkoitus on: Luoda käytännöllinen kuvaus yrityksen turvallisuusarkkitehtuurin rakentamisesta Antaa lukijalle yleisen tason kehysrakenne, jota hän voi soveltaa mihin tahansa tapaukseen Myös eri aloille kuin IFBS 29

IBFS (1/2) Yritys ja henkilöt puhtaasti kuvitteellisia Yhteydet tosielämän henkilöihin sattumaa Todellisten tapausten yhdistelmänä luotu 30

IBFS (2/2) Globaali yritysryhmä, 84 maata omat ongelmansa: eri kulttuurit, kielet ja ajat Toimii kaikilla (?) pankki- ja finanssialan liiketoimintasektoreilla Monipuolinen (= -mutkainen) myyntiverkko Entuudestaan pieniä paikallisia websovelluksia Tarvitsee strategisen näkökulman 31

Kiitos! Keskustelua, kommentteja, kysymyksiä? 32

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute