Slide 1

Slide 1 text

TIETOTURVAN PARANTAMINEN: LÄHTÖKOHTANA ASIAKKAAN TAHTOTILAN PAREMPI YMMÄRTÄMINEN Juho Ranta Rasmus Roiha tweets: @juhoranta | @rasmusroiha

Slide 2

Slide 2 text

MIKÄ ON NYKYINEN TILANNE ASIAKKAIDEN JA TOIMITTAJIEN VÄLILLÄ TIETOTURVAN OSALTA?

Slide 3

Slide 3 text

Mikä on nykyinen tilanne asiakkaiden ja toimittajien välillä? • Asiakkaan ja toimittajan välillä on harvoin sovittu yksiselitteisiä ja kattavia tietoturvavaatimuksia • Toimittaja ei tiedä, mikä asiakkaan tahtotila on • Asiakas ei osaa ostaa • Asiakas ei saa sitä, mitä haluaa

Slide 4

Slide 4 text

VASTUUT: TIETOTURVA RÄÄTÄLÖIDYISSÄ SOVELLUKSISSA VS. SAAS?

Slide 5

Slide 5 text

Tietoturva räätälöidyissä sovelluksissa vs. SaaS? • Räätälöity sovellus • Asiakas vastuussa sovelluksen käytöstä • Asiakas määrittää vaatimukset • Asiakas vastaa ylläpidosta • SaaS • Toimittaja vastuussa sovelluksesta • Toimittajalla tarve osoittaa tietoturvan taso • Toimittaja vastaa ylläpidosta

Slide 6

Slide 6 text

MYYNTITILANTEESSA TIETOTURVA MAKSAA – MIKSI NOSTAISIN HINTAA?

Slide 7

Slide 7 text

Tietoturva maksaa – miksi nostaisin hintaa? Risk amount Cost of taking risk Cost of mitigating risk Total cost

Slide 8

Slide 8 text

MIKSI KYSYÄ TARVITTAVAN TIETOTURVAN TASOSTA JA VAATIMUKSISTA ASIAKKAALTA?

Slide 9

Slide 9 text

Miksi selvittää asiakkaalta? • Toimittaja ei voi tietää asiakkaan sidosryhmien vaatimuksia/ odotuksia • Asiakas kantaa riskin omista tiedoistaan • Nämä muodostavat pohjan tietoturvavaatimuksille • Sovellus on ylläpidettävä tulevaisuudessa – mikä on asiakkaan kyvykkyys • Pyri saamaan em. asiat tarjouspyyntöihin

Slide 10

Slide 10 text

MITÄ JOS ASIAKAS EI HALUA / OSAA VAATIA TIETOTURVAA?

Slide 11

Slide 11 text

Jos asiakas ei halua/osaa vaatia tietoturvaa? • Jokaisessa projektissa tulisi huomioida tietoturvan perusasiat • Avaintekijänä turvallinen sovelluskehitysprosessi (SDL) • Prosessi varmistaa myös, että asiakkaan vaatimukset kommunikoidaan kehitystiimille

Slide 12

Slide 12 text

MIKÄ SDL?

Slide 13

Slide 13 text

Mikä SDL? • SDL – Security Development Lifecycle • Liittää tietoturvan sovelluskehitysprosessiin • Sisältää useita toimia, joilla pyritään varmentamaan järjestelmän tietoturva

Slide 14

Slide 14 text

MITÄ TÄMÄ KAIKKI EDELLYTTÄÄ?

Slide 15

Slide 15 text

Mitä tämä kaikki edellyttää? • Sidosryhmien tarpeiden ymmärtämistä • Henkilöstön kouluttamista • Tietoturvaa tukevien prosessien luomista • Tarvittavien resurssien allokoimista

Slide 16

Slide 16 text

MILLOIN OLEN VASTUUSSA TIETOTURVAN YLLÄPIDOSTA?

Slide 17

Slide 17 text

Milloin olen vastuussa tietoturvan ylläpidosta? • Toimit henkilötietojen käsittelijän roolissa (GDPR) • Tarjoat asiakkaalle SaaS-palvelua • Asiakas ostaa ylläpitoa palveluna

Slide 18

Slide 18 text

MITEN TIETOTURVA PITÄÄ HUOMIOIDA YLLÄPIDOSSA?

Slide 19

Slide 19 text

Miten tietoturva pitää huomioida ylläpidossa? • Jatkokehityksessä tietoturvan huomiointi • Sovelluskomponenttien ylläpito • Poikkeamiin reagointi

Slide 20

Slide 20 text

MITÄ ON POIKKEAMIIN REAGOINTI?

Slide 21

Slide 21 text

Mitä on poikkeamiin reagointi? • Kyky reagoida raportoituihin haavoittuvuuksiin • Kyky auttaa asiakasta tietoturvapoikkeamien selvittämisessä (räätälöidyt sovellukset) • Kyky selvittää tietoturvapoikkeamat (SaaS)

Slide 22

Slide 22 text

YHTEENVETONA TOP 3

Slide 23

Slide 23 text

Mitkä ovat kolme tärkeintä asiaa? 1. Asiakkaan sidosryhmien tarpeiden / vaatimusten selvittäminen 2. Tietoturvavaatimusten saaminen mukaan tarjouspyyntöihin 3. Turvallinen sovelluskehitysprosessi (SDL)

Slide 24

Slide 24 text

No content