TIETOTURVAN PARANTAMINEN: LÄHTÖKOHTANA ASIAKKAAN TAHTOTILAN PAREMPI YMMÄRTÄMINEN Juho Ranta Rasmus Roiha tweets: @juhoranta | @rasmusroiha

MIKÄ ON NYKYINEN TILANNE ASIAKKAIDEN JA TOIMITTAJIEN VÄLILLÄ TIETOTURVAN OSALTA?

Mikä on nykyinen tilanne asiakkaiden ja toimittajien välillä? • Asiakkaan ja toimittajan välillä on harvoin sovittu yksiselitteisiä ja kattavia tietoturvavaatimuksia • Toimittaja ei tiedä, mikä asiakkaan tahtotila on • Asiakas ei osaa ostaa • Asiakas ei saa sitä, mitä haluaa

VASTUUT: TIETOTURVA RÄÄTÄLÖIDYISSÄ SOVELLUKSISSA VS. SAAS?

Tietoturva räätälöidyissä sovelluksissa vs. SaaS? • Räätälöity sovellus • Asiakas vastuussa sovelluksen käytöstä • Asiakas määrittää vaatimukset • Asiakas vastaa ylläpidosta • SaaS • Toimittaja vastuussa sovelluksesta • Toimittajalla tarve osoittaa tietoturvan taso • Toimittaja vastaa ylläpidosta

MYYNTITILANTEESSA TIETOTURVA MAKSAA – MIKSI NOSTAISIN HINTAA?

Tietoturva maksaa – miksi nostaisin hintaa? Risk amount Cost of taking risk Cost of mitigating risk Total cost

MIKSI KYSYÄ TARVITTAVAN TIETOTURVAN TASOSTA JA VAATIMUKSISTA ASIAKKAALTA?

Miksi selvittää asiakkaalta? • Toimittaja ei voi tietää asiakkaan sidosryhmien vaatimuksia/ odotuksia • Asiakas kantaa riskin omista tiedoistaan • Nämä muodostavat pohjan tietoturvavaatimuksille • Sovellus on ylläpidettävä tulevaisuudessa – mikä on asiakkaan kyvykkyys • Pyri saamaan em. asiat tarjouspyyntöihin

MITÄ JOS ASIAKAS EI HALUA / OSAA VAATIA TIETOTURVAA?

Jos asiakas ei halua/osaa vaatia tietoturvaa? • Jokaisessa projektissa tulisi huomioida tietoturvan perusasiat • Avaintekijänä turvallinen sovelluskehitysprosessi (SDL) • Prosessi varmistaa myös, että asiakkaan vaatimukset kommunikoidaan kehitystiimille

MIKÄ SDL?

Mikä SDL? • SDL – Security Development Lifecycle • Liittää tietoturvan sovelluskehitysprosessiin • Sisältää useita toimia, joilla pyritään varmentamaan järjestelmän tietoturva

MITÄ TÄMÄ KAIKKI EDELLYTTÄÄ?

Mitä tämä kaikki edellyttää? • Sidosryhmien tarpeiden ymmärtämistä • Henkilöstön kouluttamista • Tietoturvaa tukevien prosessien luomista • Tarvittavien resurssien allokoimista

MILLOIN OLEN VASTUUSSA TIETOTURVAN YLLÄPIDOSTA?

Milloin olen vastuussa tietoturvan ylläpidosta? • Toimit henkilötietojen käsittelijän roolissa (GDPR) • Tarjoat asiakkaalle SaaS-palvelua • Asiakas ostaa ylläpitoa palveluna

MITEN TIETOTURVA PITÄÄ HUOMIOIDA YLLÄPIDOSSA?

Miten tietoturva pitää huomioida ylläpidossa? • Jatkokehityksessä tietoturvan huomiointi • Sovelluskomponenttien ylläpito • Poikkeamiin reagointi

MITÄ ON POIKKEAMIIN REAGOINTI?

Mitä on poikkeamiin reagointi? • Kyky reagoida raportoituihin haavoittuvuuksiin • Kyky auttaa asiakasta tietoturvapoikkeamien selvittämisessä (räätälöidyt sovellukset) • Kyky selvittää tietoturvapoikkeamat (SaaS)

YHTEENVETONA TOP 3

Mitkä ovat kolme tärkeintä asiaa? 1. Asiakkaan sidosryhmien tarpeiden / vaatimusten selvittäminen 2. Tietoturvavaatimusten saaminen mukaan tarjouspyyntöihin 3. Turvallinen sovelluskehitysprosessi (SDL)

No content