O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Tietovastuu - Pilvipalveluiden turvallisuus

  • Seja o primeiro a comentar

Tietovastuu - Pilvipalveluiden turvallisuus

  1. 1. TIEDON DIGITAALISET KUVIOT JA VARAUTUMISEN ASKELMERKIT Pilvipalveluiden turvallisuus Mikko Larikka / Nixu Oy20.11.2012 © Nixu 2012 1
  2. 2. Nixu Oy  Pohjoismaiden suurin tietoturvakonsultointiin erikoistunut asiantuntijayritys: liikevaihto 14m€ (2011) ja henkilöstö 135.  Nixu – ohjeistaa, rakentaa, kehittää ja tarkastaa asiakkaidensa tietoturvaa riippumattomana neuvonantajana.  Tavoitteena on varmistaa asiakkaiden toiminnan jatkuvuus sekä sähköisten palvelujen toimivuus ennakoimalla ja ehkäisemällä tietoturvaan liittyviä riskejä.20.11.2012 © Nixu 2012 2
  3. 3. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto20.11.2012 © Nixu 2012 3
  4. 4. Pilvipalveluiden riskit 1 - 4  Pilvipalvelujen käyttöönotto hallitsemattomasti, johdon tietämättä – Ulkoisen hankinnan periaatteet ja prosessit, pilviturvallisuuskulttuuri – Käytössä olevien pilvipalveluiden tunnistaminen, sopimusten rekisteröinti  Turvallisuusvaatimukset eivät ole osa sopimusta – Riskien arviointi, alihankkijat (ketjutus), muutoshallinta – Turvallisuusvaatimusten määrittely ja mittaaminen säännöllisesti  Turvallisuustasosta vähän tai ei lainkaan tietoa – Riippumaton turvallisuusarviointi, sertifioinnit – Reaaliaikainen valvonta, säännöllinen sisäinen turvallisuusarviointi  Informaation siirtyminen lainvastaisesti – Laista johtuvat tiedon sijainnin rajoitukset – Laista johtuva turvallisuustasovaatimus (esim. tietoturvatasot)20.11.2012 © Nixu 2012 4
  5. 5. Pilvipalveluiden riskit 5 - 7  Tiedon turvallisuustason epäjohdonmukaisuudet – Tiedon pääsynhallinta, tarvittaessa salaaminen, elinkaari – Tiedon turvallisuustasovaatimus, turvallisuustasoehto  Turvallisuusarkkitehtuuri ei kata pilvipalveluja – Organisaation pääsynhallinnan ulottaminen pilvipalveluihin – Reaaliaikaisen valvonnan välineet, erityisesti tietovuotojen seuraaminen  Saatavuuden häiriötilanteet – Saatavuustason määrittely, tekniset käytännön järjestelyt (siirrettävyys) – Tietoturvaloukkauksen aiheuttamat häiriötilanteet, jatkuvuussuunnittelu20.11.2012 © Nixu 2012 5
  6. 6. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto20.11.2012 © Nixu 2012 6
  7. 7. Pilvipalveluiden sopimukset  Asiakokonaisuudet – Pilvipalveluntarjoajasopimukset, rinnastuvat ulkoistussopimuksiin – Innovaatio, keksintö, menetelmä- ja yksityisen tiedon turvaaminen – Pilvipalvelun lainmukaisuus kohteena olevan palvelun näkökulmasta  Tehtäväkokonaisuudet – Pilvipalveluun siirtyvän tiedon dokumentointi ja turvallisuusluokittelu – Laista johtuvat tiedon sijainnin rajoitukset ja turvallisuustasovaatimus – Kokonaisuudelta vaadittavan turvallisuustason ja –ehdon määrittäminen – Strategia tietomurron aiheuttaman kustannuksen ja vaikutuksen vähentämiseksi (esim. tiedon minimointi, rajaaminen, reagointi) – Pilvipalvelusopimuksen turvallisuusarviointi20.11.2012 © Nixu 2012 7
  8. 8. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto20.11.2012 © Nixu 2012 8
  9. 9. Pilvipalveluiden jatkuvuus  Asiakokonaisuudet – Liiketoimintavaatimukset saatavuudelle ja jatkuvuudelle – Onko kyseessä liiketoimintakriittinen palvelu?  Kukaan pilvipalvelutarjoaja ei voi taata 100% saatavuutta – Onko pilvipalveluiden siirto toiselle toimittajalle mahdollista?  Tehtäväkokonaisuudet – Liiketoimintavaatimuksien dokumentointi ja analysointi (BIA, työpajat) – Kokonaisuudelta vaadittavan jatkuvuustason ja –ehdon määrittäminen – Strategia tietomurron aiheuttaman tuotantokatkoksen vähentämiseksi (esim. palautumissuunnitelma) – Pilvipalvelusopimuksen jatkuvuusarviointi20.11.2012 © Nixu 2012 9
  10. 10. Pilvipalveluiden Pilvipalveluiden Pilvipalveluiden riskit sopimukset jatkuvuus Yhteenveto20.11.2012 © Nixu 2012 10
  11. 11. Yhteenveto  Riskinotto on osa normaalia liiketoimintaa – ja riskienhallinta on oleellinen osa liiketoimintaa  Pilvipalvelut voiva lisätä arvoketjun tuottavuutta ulkoistuksen keinoin – myös riskit ovat ulkoistukselle tyypillisiä.  Oleellista on riskien arviointi tapauskohtaisesti, tehokkaiden kontrollien määritys ja toteutus.  Turvallisuusperiaatteet ja –ohjeet ovat perusta organisaation turvallisuuskulttuurille ja riskienhallinnalle.20.11.2012 © Nixu 2012 11
  12. 12. Nixu Oy P.O. Box 39 (Keilaranta 15) FI-02150 Espoo Finland Tel +358 9 478 1011 Fax +358 9 478 103020.11.2012 © Nixu 2012 12

    Seja o primeiro a comentar

    Entre para ver os comentários

  • TimoVehvilainen

    Apr. 16, 2013

Vistos

Vistos totais

900

No Slideshare

0

De incorporações

0

Número de incorporações

13

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

1

×