$30 off During Our Annual Pro Sale. View Details »

Katsaus Suomen kansalliseen kyberturvallisuustilanteeseen | Juho Ranta | 2NS

Katsaus Suomen kansalliseen kyberturvallisuustilanteeseen | Juho Ranta | 2NS

Ohjelmisto- ja e-business
PRO

June 16, 2020
Tweet

More Decks by Ohjelmisto- ja e-business

Other Decks in Business

Transcript

  1. TIETOTURVAN PARANTAMINEN: LÄHTÖKOHTANA ASIAKKAAN TAHTOTILAN PAREMPI YMMÄRTÄMINEN Juho Ranta Rasmus

    Roiha tweets: @juhoranta | @rasmusroiha
  2. MIKÄ ON NYKYINEN TILANNE ASIAKKAIDEN JA TOIMITTAJIEN VÄLILLÄ TIETOTURVAN OSALTA?

  3. Mikä on nykyinen tilanne asiakkaiden ja toimittajien välillä? • Asiakkaan

    ja toimittajan välillä on harvoin sovittu yksiselitteisiä ja kattavia tietoturvavaatimuksia • Toimittaja ei tiedä, mikä asiakkaan tahtotila on • Asiakas ei osaa ostaa • Asiakas ei saa sitä, mitä haluaa
  4. VASTUUT: TIETOTURVA RÄÄTÄLÖIDYISSÄ SOVELLUKSISSA VS. SAAS?

  5. Tietoturva räätälöidyissä sovelluksissa vs. SaaS? • Räätälöity sovellus • Asiakas

    vastuussa sovelluksen käytöstä • Asiakas määrittää vaatimukset • Asiakas vastaa ylläpidosta • SaaS • Toimittaja vastuussa sovelluksesta • Toimittajalla tarve osoittaa tietoturvan taso • Toimittaja vastaa ylläpidosta
  6. MYYNTITILANTEESSA TIETOTURVA MAKSAA – MIKSI NOSTAISIN HINTAA?

  7. Tietoturva maksaa – miksi nostaisin hintaa? Risk amount Cost of

    taking risk Cost of mitigating risk Total cost
  8. MIKSI KYSYÄ TARVITTAVAN TIETOTURVAN TASOSTA JA VAATIMUKSISTA ASIAKKAALTA?

  9. Miksi selvittää asiakkaalta? • Toimittaja ei voi tietää asiakkaan sidosryhmien

    vaatimuksia/ odotuksia • Asiakas kantaa riskin omista tiedoistaan • Nämä muodostavat pohjan tietoturvavaatimuksille • Sovellus on ylläpidettävä tulevaisuudessa – mikä on asiakkaan kyvykkyys • Pyri saamaan em. asiat tarjouspyyntöihin
  10. MITÄ JOS ASIAKAS EI HALUA / OSAA VAATIA TIETOTURVAA?

  11. Jos asiakas ei halua/osaa vaatia tietoturvaa? • Jokaisessa projektissa tulisi

    huomioida tietoturvan perusasiat • Avaintekijänä turvallinen sovelluskehitysprosessi (SDL) • Prosessi varmistaa myös, että asiakkaan vaatimukset kommunikoidaan kehitystiimille
  12. MIKÄ SDL?

  13. Mikä SDL? • SDL – Security Development Lifecycle • Liittää

    tietoturvan sovelluskehitysprosessiin • Sisältää useita toimia, joilla pyritään varmentamaan järjestelmän tietoturva
  14. MITÄ TÄMÄ KAIKKI EDELLYTTÄÄ?

  15. Mitä tämä kaikki edellyttää? • Sidosryhmien tarpeiden ymmärtämistä • Henkilöstön

    kouluttamista • Tietoturvaa tukevien prosessien luomista • Tarvittavien resurssien allokoimista
  16. MILLOIN OLEN VASTUUSSA TIETOTURVAN YLLÄPIDOSTA?

  17. Milloin olen vastuussa tietoturvan ylläpidosta? • Toimit henkilötietojen käsittelijän roolissa

    (GDPR) • Tarjoat asiakkaalle SaaS-palvelua • Asiakas ostaa ylläpitoa palveluna
  18. MITEN TIETOTURVA PITÄÄ HUOMIOIDA YLLÄPIDOSSA?

  19. Miten tietoturva pitää huomioida ylläpidossa? • Jatkokehityksessä tietoturvan huomiointi •

    Sovelluskomponenttien ylläpito • Poikkeamiin reagointi
  20. MITÄ ON POIKKEAMIIN REAGOINTI?

  21. Mitä on poikkeamiin reagointi? • Kyky reagoida raportoituihin haavoittuvuuksiin •

    Kyky auttaa asiakasta tietoturvapoikkeamien selvittämisessä (räätälöidyt sovellukset) • Kyky selvittää tietoturvapoikkeamat (SaaS)
  22. YHTEENVETONA TOP 3

  23. Mitkä ovat kolme tärkeintä asiaa? 1. Asiakkaan sidosryhmien tarpeiden /

    vaatimusten selvittäminen 2. Tietoturvavaatimusten saaminen mukaan tarjouspyyntöihin 3. Turvallinen sovelluskehitysprosessi (SDL)
  24. None