T-110.5690 Yritysturvallisuuden seminaari



Samankaltaiset tiedostot
Enterprise Security Architecture, A Business Driven Approach Kappaleet 7 ja 8

Green Growth Sessio - Millaisilla kansainvälistymismalleilla kasvumarkkinoille?

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

Johtamisen haaste kokonaisarkkitehtuuri menestyksen mahdollistajako?

7. Product-line architectures

T Yritysturvallisuuden seminaari. Enterprise Security Architecture, A Business Driven Approach. Esitys 1: luvut 1-4. Atte Kokkinen, 49302U

7.4 Variability management

Teknologia-arkkitehtuurit. Valinta ja mallinnus

Markkinoinnin perusteet, verkkokurssi Juho-Petteri Huhtala Markkinoinnin laitos

Innovative and responsible public procurement Urban Agenda kumppanuusryhmä. public-procurement

Miten saan käytännössä kaupan käyntiin halutussa. maassa? & Case Intia

Ostamisen muutos muutti myynnin. Technopolis Business Breakfast

IBM Iptorin pilven reunalla

Internet of Things. Ideasta palveluksi IoT:n hyödyntäminen teollisuudessa. Palvelujen digitalisoinnista 4. teolliseen vallankumoukseen

CALL TO ACTION! Jos aamiaistilaisuudessa esillä olleet aiheet kiinnostavat syvemminkin niin klikkaa alta lisää ja pyydä käymään!

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Tekes the Finnish Funding Agency for Technology and Innovation. Copyright Tekes

Missä mennään BI? Mikko Kontio

Network to Get Work. Tehtäviä opiskelijoille Assignments for students.

VALVO JA VARAUDU PAHIMPAAN

Kilpailukyky, johtaminen ja uusi tietotekniikka. Mika Okkola, liiketoimintajohtaja, Microsoft Oy

Sosiaali- ja terveysalan toimialamalli tiedolla johtamisen avuksi

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

Strategiset kyvykkyydet kilpailukyvyn mahdollistajana Autokaupassa Paula Kilpinen, KTT, Tutkija, Aalto Biz Head of Solutions and Impact, Aalto EE

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

Smart specialisation for regions and international collaboration Smart Pilots Seminar

(Core) & (Test Manager). Sertifikaattikoe klo

Tutkimus web-palveluista (1996)

Co-Design Yhteissuunnittelu

Hankkeiden vaikuttavuus: Työkaluja hankesuunnittelun tueksi

MARKET OPPORTUNITIES

Logistiikan turvallisuus arvon tuotto LogProof-seminaari Mervi Murtonen, VTT

Sosiaalisen median liiketoimintamallit ja käyttöön oton suunnitelma 9/23/2012

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Esitykset jaetaan tilaisuuden jälkeen, saat linkin sähköpostiisi. Toivottavasti vastaat myös muutamaan kysymykseen tapahtumasta Have a lot of fun!

Genbu Oy 2019,

Capacity Utilization

Constructive Alignment in Specialisation Studies in Industrial Pharmacy in Finland

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Turvallisuustoimijoiden ekosysteemi Alustat - tilaaja toimittaja-vuoropuhelutilaisuus Sami Kilkkilä Liiketoimintajohtaja

Kyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.

Arkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä

Millainen on viihtyisä kaupunki ja miten sitä mitataan?

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

Palveluliiketoimintaa verkostoitumalla

Lab SBS3.FARM_Hyper-V - Navigating a SharePoint site

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

Työeläkeyhtiö Varma. IBM Software Day Tuukka Tusa, Digia

Ohjelmien kehittämisstudiot varmistavat laadukkaat ja linjakkaat maisteriohjelmat Maire Syrjäkari ja Riikka Rissanen

A Plan vs a Roadmap. This is a PLAN. This is a ROADMAP. PRODUCT A Version 1 PRODUCT A Version 2. PRODUCT B Version 1.1. Product concept I.

TAVOITTEIDEN ASETTAMINEN JA MITTAAMINEN

Tehosta toimintaasi oikealla tiedonhallinnalla Helsinki, TIVIAn tapahtuma Jussi Salmi

Olisiko vihdoin aika teollistaa taloushallinnon prosessit? Taloussanomat seminaari Jari Annala, varatoimitusjohtaja, Itella Information Oy

LYTH-CONS CONSISTENCY TRANSMITTER

Taloudelliset väärinkäytökset: kansainvälinen uhka liiketoiminnalle Whistleblowing

24/7 Dialogi Konepajalta palveluyritykseen. Minna Lenander

ISSRC Information Systems Security Research Center. University of Oulu, Department of Information Processing Science T.Wiander, M.

1. Tietokonejärjestelmien turvauhat

Tietojärjestelmä uusiksi? Toimijaverkostot, niiden haasteet ja ratkaisut

F-Secure Oyj. Yhtiökokous Toimitusjohtaja Christian Fredrikson

Security server v6 installation requirements

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Toimitusketjun vastuullisuus ja riskien hallinta

Uuden sukupolven soteratkaisut

Tietoturvallisuuden ja tietoturvaammattilaisen

The Truth in Information

RAIN RAKENTAMISEN INTEGRAATIOKYVYKKYYS

Ketterämpi Sonera Matka on alkanut!

Tieto ja sen mallinnus Fonectalla - Teemme tiedosta arvokasta. Aija Palomäki, TDWI jäsenkokous

Nuku hyvin, pieni susi -????????????,?????????????????. Kaksikielinen satukirja (suomi - venäjä) ( (Finnish Edition)

Visualisoinnin aamu 16.4 Tiedon visualisointi. Ari Suominen Tuote- ja ratkaisupäällikkö Microsoft

Returns to Scale II. S ysteemianalyysin. Laboratorio. Esitelmä 8 Timo Salminen. Teknillinen korkeakoulu

Atostek. KanTa-konseptin tuotteistaminen ja vienti ulkomaille

TIETOKANTOJEN PERUSTEET MARKKU SUNI

Teollinen Internet & Digitalisaatio 2015

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

HITSAUKSEN TUOTTAVUUSRATKAISUT

PALVELUKULTTUURIN JA MINDSETIN KEHITTÄMINEN 3 STEP IT Step IT Group / Palvelukulttuuri / Artti Aurasmaa

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Projektin ohjausryhmä, onnistumisen luojana strategisille tavoitteille

Innovation Platform Thinking Jukka P. Saarinen Mika M. Raunio Nadja Nordling Taina Ketola Anniina Heinikangas Petri Räsänen

Uusi Ajatus Löytyy Luonnosta 4 (käsikirja) (Finnish Edition)

Rakentamisen 3D-mallit hyötykäyttöön

Hiilineutraali tulevaisuus uhka vai mahdollisuus Suomen teollisuudelle?

Miten luodaan tehokas ja sertifioitu laatujärjestelmä?

Enterprise GIS Strategy

Presented by: Date: Juha Salmi Welcome to SYMFONI. IT mene rahan luo!

Augmented Reality (AR) in media applications

Data protection template

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Sähköjärjestelmän käyttövarmuus & teknologia Käyttövarmuuspäivä

Kokonaisarkkitehtuurin omaksuminen: Mahdollisia ongelmakohtia ja tapoja päästä niiden yli

SCM Tuloskortti. Toimitusketjun hallinnan itsearviointi. Pekka Aaltonen Logistiikan Koulutuskeskus ECL Oy Ab alkaen LOGY Competence Oy

Agora Center - Monitieteiset projektit

Efficiency change over time

Knowledge Management (KM) eli. tiedon/tietämyksen hallinta

Transkriptio:

T-110.5690 Yritysturvallisuuden seminaari Enterprise Security Architecture (SABSA) Chapter 9: Contextual Security Architecture 15.10.2007 Jari Utriainen SABSA Matrix Chap. 9 Chap. 10 Chap. 11 Chap. 12 Chap. 13 Part 4 Lähde: www.sabsa.org 1

Contextual Security Architecture Jotta voidaan ratkaista liiketoiminnan ongelmia pitää ensin ymmärtää liiketoimintaan liittyviä ongelmia SABSA-metodin onnistumisen edellytyksenä ovat: liiketoimintalähtöisyys (Business-driven) liiketoimintakeskeisyys (Business-focused) Contextual Security Architecture on liiketoiminnan kuvaamista ja analysointia Liiketoimintastrategia, tavoitteet, asiakas- ja liiketoimintasuhteet, riskit, rajoitukset ja mahdollisuudet Lopputuloksena saadaan selville millaisen turvallisuusarkkitehtuurin (Security Architecture) yritys tarvitsee Contextual Security Architecture Nykyaikaiset yritykset ovat täysin riippuvaisia tietotekniikasta ja erityisesti sen kautta saatavasta tiedosta (ICT on levinnyt kaikkialle) Tietoturvan arvo määritellään sen perusteella, mikä on sen suojaaman liiketoiminnan arvo Luku 9 esittelee tarkistuslistan asioista, joita haluat luultavasti tutkia myös omassa yrityksessäsi 2

The Business (What) ICT mahdollistaa täysin uusia liiketoimintamalleja Mutta samalla se tarjoaa myös uusia tapoja toteuttaa vanhoja liiketoimintamalleja Esimerkkejä turvallisuudesta liiketoiminnan mahdollistajana Sähköinen julkaiseminen (e-kirjat) On-Demand viihdepalvelut (musiikki, videot) Erilaiset hyödylliset tietopalvelut (osakekurssitiedot) Prosessien etähallinta (tehtaat, valmistusprosessit) Jakeluketjun hallinta (kauppojen alihankintaketjut) Erilaiset tutkimukset ja tietojen kerääminen (erityisesti luotettavan tiedon kerääminen ja julkaisu) The Business (What) Digital Business E-Business (tekniikkalähtöisyys) Digital Business (liiketoimintalähtöisyys) Verkkopankit ovat olleet edelläkävijöitä Uusia hyökkäystapoja kuten phishing-hyökkäykset Sähköiset hankintapalvelut Automatisoidut tilausjärjestelmät (tilaukset ja niiden seuranta, lähetteet, erilaiset raportit) Saavutettu jopa 20-40% säästöt villien hankintojen estämisellä (ostot vain sopimuskumppaneilta) Sähköinen hallinto Tietojen vaihto virastojen välillä ja näin asioinnin helpottaminen Isoveli valvoo -yhteiskunta / identiteettivarkaudet 3

The Business (What) Liiketoiminnan jatkuvuus ja vakaus Tulojen jatkuvuus & kassavirta (millainen katkos kestetään) Asiakaspalvelun toimivuus (voi olla kilpailuvaltti) Yrityksen maine Liiketoiminnan johtaminen (tarkka ja ajan tasalla oleva tieto) Toimiluvat ja säädökset (terveydenhoito, ilmailu, pankit) Työntekijöiden luottamus (luottamus johtoa kohtaan, työntekijöiden kohtelu potentiaalisina rikollisina) Osakkeenomistajien luottamus (seurattava ja otettava huomioon erilaiset markkina-analyysit) Muut osakkaat (kansalaiset virastojen tapauksessa, valtapuolueen vaihtuminen vaaleissa) The Business (What) Turvallisuuteen liittyvät järjestelmät (Safety-Critical Dependencies) Ongelmat järjestelmissä voivat aiheuttaa ihmisten loukkaantumisen tai kuoleman Etäyhteydet turvallisuuteen liittyviin järjestelmiin Etähallintayhteydet (tehtaat, robotit, voimalaitokset) Yhteyksien autentikointi (lähetettyjen komentojen autentikointi, yhteyksien kaappaamisen estäminen) Dokumenttien aitous esimerkiksi lentokoneiden huoltoohjeiden jakelussa Toiminnan varmistaminen (System Assurance) Estettävä toimintahäiriöt myös odottamattomissa tilanteissa (rajaton määrä mahdollisia syötteitä) 4

Business Risk Model (Why) Muutamia avainalueita, joilla yritys voi kohdata riskejä ja joihin halutaan kehittää ratkaisuja Brändin suojeleminen (pitkän ajan investointi) Huijausten estäminen (ICT mahdollistaa uusia tapoja toteuttaa pieniä ja suuria huijauksia) Tappioiden estäminen (monet riskit aiheuttavat tappioita) Liiketoiminnan jatkuvuus (usein avainalue yritykselle) Yrityksen strategiat ja arkkitehtuurin tuki strategioille Lakivelvoitteet (ovat erilaisia eri maissa) Avainosakkaiden luottamus Asiakkaat, toimittajat, työntekijät, sijoittajat, pankit, virastot, hallintoviranomaiset Business Process Model (How) Liiketoimintaprosessit edellyttävät: Entiteetin (ihminen, yritys, ohjelmisto) tunnistamista Entiteetin autentikointia Entiteetin valtuuksien määrittelyä Yritysviestintä Viestintämenetelmillä (puhelin, verkko, fax) ja käytetyillä sovelluksilla (verkkopankki, email, tietojen siirto) on suuri vaikutus yrityksen turvallisuusarkkitehtuuriin Liiketoiminnan tapahtumat / transaktiot On olemassa monenlaisia sähköisiä liiketoimintatapahtumia (tilaukset, lähetteet, tietojen toimittaminen, maksuliikenne) Tarkastele tapahtumia tarkasti, jotta voit määritellä niiden turvallisuusvaatimukset 5

Business Organisation and Relationships (Who) Organisaatiolähtöiset tietoturvavaatimukset Hallinnon hierarkia ja sen vaikutukset arkkitehtuuriin Toimitusketjun integraatiot Yhteydet toimittajien ja asiakkaiden suuntaan ICT-toimintojen ulkoistaminen palveluntarjoajalle Strategiset kumppanuudet Mitä tietoa / kuinka paljon jaetaan kumppanille Yhteisyritykset (Joint Ventures) Kumppani voi olla kilpailija toisella alalla Fuusiot ja yrityskaupat Muutosten vaikutukset arkkitehtuuriin ja arkkitehtuurin joustavuus muutostilanteissa Business Geography (Where) Internet on yhteinen maailmanlaajuinen markkinapaikka Enää ei välttämättä tunneta ja nähdä liiketoiminnan toista osapuolta Helppo myös menettää asiakkaita kilpailijoille Etätyöskentely Monet työntekijät tekevät etätyötä / matkustavat maailmalla Eri puolilla maailmaa olevat yrityksen työntekijät muodostavat virtuaalisia tiimejä, jotka voivat kommunikoivat ICT:n avulla keskenään 6

Business Time Dependencies (When) Aikasidonnainen liiketoiminta Transaktioiden vasteajat / asiakaspalvelun vasteajat Määräajat ja aikaleimat esimerkiksi osakekaupassa Vanhoilla medioilla olevien tietojen käytettävyys Markkinoille menoaika (kehitetäänkö täydellinen tietoturva jolloin markkinarako ehtii mennä ohi) Time-Based Security P = Protection Value (time it takes to break into system) D = Detection Value (time it takes to raise the alarm) R = Reaction Value (time it takes to react to an alarm) IF P > D + R (system is secure and the attack will fail) Aim: reduce D and R as close as zero as possible Business Risk Model (Why) (in more detail) Riskien perusmallinnus riskien arvioiminen Auttaa kehittämään yritykselle Business Risk Modelin Riskeihin liittyvät peruskäsitteet (Risk Modelling) Assets (mitä arvokasta halutaan suojella) Threats (vahingolliset tapahtumat jotka vaarantavat assetit) Impacts (mitä aiheutuu kun uhka (threat) toteutuu) Vulnerabilities (heikkoudet ja tietoturva-aukot joiden kautta uhka voi toteutua ja vaarantaa assetit, aiheuttaen impactin) Riskin toteutumisen todennäköisyyteen vaikuttavat Level of threat (hyökkäyksen/uhan todennäköisyys) Level of vulnerability or weakness (hyökkäyksen/uhan onnistumisen todennäköisyys kyseisessä järjestelmässä) 7

Business Risk Model (Why) Riskien arviointi (Risk Assessment) Kirjassa esitellään yksi toteutustapa riskien arviointiin Liiketoiminnan riskien arvioinnin tyypilliset vaiheet Step 1: Identify your assets Step 2: Identify the possible threats againts your assets Step 3: Identify and quantify threat impacts Step 4: Identify and quantify vulnerabilities and weaknesses Step 5: Can you reduce vulnerabilities or weaknesses by introducing additional controls Step 6: Quantify the benefits and costs of these controls Tuloksena ymmärretään riskit paremmin ja voidaan tehdä perusteltuja riskienhallintapäätöksiä Threat Modelling Framework Two-dimensional threat classification scheme: Threat Domains (initial classification) People (past, current or future employees) Processes (employees, customers, suppliers, partners, ) Systems (technical systems) External Events (accidents, natural events, 3rd parties) Threat Categories Threat Category (facilities, strategy, technology, legal ) Domain Mapping (people, processes, systems, ext. events) Description Examples Information Security Mapping 8

Threat Scenarios Select one specific threat from previous framework Describe a threat scenario Specific Threat Threat Agent Capability (finance, software, expertise, literature) Motivation (personal gain, group gain, revenge) Opportunity Catalysts (Step changes in level of technical difficulty) Inhibitors (High level of technical difficulty) Amplifiers (Low level of technical difficulty) Now you can do risk priorisation based on scenarios SABSA Risk Assessment Method Kvalitatiivinen menetelmä riskien luokitteluun Tavoitteena luoda Business Risk Model -taulukko Step 1: Business Drivers and Business Attributes (1-4) Step 2: Threat Assessment (5) Step 3: Impact Assessment (6-7) Impact value: high (H), medium (M), low (L) Step 4: Vulnerability Assessment (8-9) Green field value (ignore controls already done): H, M, L Step 5: Risk Category (10) A (red), B (yellow), C (green), D (blue) Risk Mitigation (11-13) Response to the risk (Conceptual Security Architecture) 9

Luvun 9 yhteenveto SABSA alkaa liiketoiminnan analysoimisesta Mitkä ovat liiketoiminnan pääpilarit, jotka tulee suojata Analysoi uhat luokittele ne priorisoi Lopputuloksena tiedetään: Minkälaisen turvallisuusarkkitehtuurin liiketoiminta tarvitsee Mitkä ovat pääuhat, jotka kohdistuvat liiketoimintaan (järjestettyinä vakavuusjärjestykseen) Seuraavaksi aletaan pohtia ratkaisuja saatuihin ongelmiin luvun 10 myötä (luova vaihe) Conceptual Security Architecture 10

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute