Download - Pilvipalveluhanke tietoturvan nakokulmasta
![Page 1: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/1.jpg)
Tietoturvallisen PiPa:n hankinta
tai oikeastaan mikä vaan hanke, projekti..
26.03.2012
HUOM! Powerpointissa asiat käydään läpi tietoturvallisuutta korostaen
LUONNOS!
![Page 2: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/2.jpg)
Pilvi, Kaikilla osapuolilla erilaiset mielipiteet
Accenture:”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. KäyttäjätIlmaisia, halpoja, helppoja käyttää, ei turhia tietoturvahömpötyksiä, ei tarvita IT:tä…
ITHarmia
![Page 3: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/3.jpg)
Toimittajalla ja asiakkaalla erilaiset toiveet
Toimittaja tarjoaa
• Pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja
• Mahdollisimman pitkä sopimus
• Dynaaminen nopea hinnantarkistus
Asiakas toivoo
• Räätälöitävät, helposti muokattavat ratkaisut
• Varmuus, mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu.
• Vakaa hinnoittelu.
![Page 4: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/4.jpg)
Pilvipalveluiden tietoturvaongelmia
• Tiedon häviäminen tai tietovuoto• Toimittajaan liittyvät riskit (exit plan)• Ongelmien selvittäminen, forensiikka • Tunnusten kaappaaminen• Pilviteknologiasta aiheutuvat haavoittuvuudet • Omien tietoturvakäytäntöjen ulottaminen
ulkopuoliseen palveluun, (esim. pääsynhallinnan käytännöt)
• Jaettu alusta, tiedon eristäminen tai salaaminen.
![Page 5: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/5.jpg)
Tyypilliset sidosryhmät hankkeen aikana
• Asiakkaat, yksiköt, laitokset, käyttäjät• Innolla hankkimassa jotain
• Asiakkuuspäällikkö, tai muu Asiakkaan kontaktipiste,” IT palveluiden myyjä”
• ProjektipäällikköKun todetaan että hyvä juttu, projekti alkaa
• Hankinta, hankintaosaajat, • Pohditaan, tarkistetaan, kilpailutetaan…
• Tietoturvaryhmä (TTR)• Kommentoidaan, autetaan, auditoidaan..
• IT• Asentaa ja ylläpitää…
![Page 6: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/6.jpg)
Asiakkaalla joku Idea tai tarve
Lähtee liikkeelle vaatimusten perusteella
Polku A - virallinen IT:n-tukema järjestelmä”Jos käyttöön liittyy jotain seuraavista
• Henkilötietoja, salassa pidettävää• Pankkitietoja• Käytettävyys 24/7• Lisenssikustannuksia• suuri käyttäjämäärä, useita
yksiköitä…
Aina yhteys asiakkuuspäälliköihin• Uusi ratkaisu, hankinta tehtävä
yhteistyössä asiakkuuspäällikön kanssa
• Tai sopiva käytössä oleva palvelu, AM osaavat myös hyödyntää ja ohjata käytössä oleviin palveluihin.
Polku B - Kevyt
Jos palvelua tarvitaan pienen yhteisön käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • Materiaalin jako• Verkkotyöskentely• ”Web presence”, yhteisöt• Bloggaus..
Ratkaisu löytyy: Wiki-sivu - Pilvi.aalto.fi• Lista hyväksytyistä ja suositelluista
palveluista• Ohjeistuksia• Ehdotukset uusista palveluista,
pyynnöt ohjautuvat aiheesta vastaavalle yksikölle
![Page 7: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/7.jpg)
Lopetus(Projektipäällikkö)
Esiselvitys(Asiakkuuspäällikkö)
Edellisen kalvon ”Polku A” – oikein viedyn hankkeen vaiheet lyhyesti
OK juttu, aletaan tekemään..
Asiakkuuspäällikkö ja asiakas: Selvitetään, mitä, kenelle, kuinka tärkeä, SLA
Tietoturvaryhmä, IT arkkitehdit, muu IT avustaa. Voidaan myös auditoida, oma tietoturvaryhmä tai ulkopuolinen
(Pyrkimys)Aina tiedoksi tietoturvaryhmälle, IT arkkitehdeille, muut olennaiset ryhmät, jotta tiedetään mitä tekeillä.
Toteutus(Projektipäällikkö)
Varsinainen projekti alkaa..Mm. nämä tehtävä:• Vaatimusmäärittelyt• Kilpailutus• Sopimukset• Tekninen suunnittelu• Asennukset…
Tietoturva, IT arkkitehdit osallistuu kaikkiin vaiheisiin tarpeen mukaan.
Siirtyy asiakkaallemm:• Käyttöönotto• Testaus• Ohjeet• Muut dokumentit• Rekisteriseloste…
![Page 8: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/8.jpg)
Esiselvitys tarkemmin
Esiselvityksen helpottamiseksi on tehty tarkistuslista, mitä pitää ottaa huomioon kun keskustellaan
asiakkaan kanssa?
Selvitettävä asiakkaan kanssa:Pakolliset tiedot• Tiedon laatu, tietosuojan alaista tietoa?• Muuta luottamuksellista tai sisäistä tietoa:
tilinpäätöstietoa, sopimuksia, tutkimustietoa.• käyttäjät, vain henkilökunta, koko Aalto?• Materiaalin dynaamisuus? Onko materiaali
tallennettu myös toiseen järjestelmään?• Käyttäjien määrä?
Jos kohtuullisella työllä selvitettävissä, • Käytettävyysvaatimuksia, (järjestelmän
saatavuus)• Alustava tekninen kuvaus järjestelmästä (jos
tiedossa), verkkoyhteydet, tietokannat?
Esiselvitys)
Asiakkuuspäällikkö ja asiakas keskustelevat: Selvitetään, mitä, kenelle, kuinka tärkeä
Asiakas ja vain asiakas tietää oikean käyttötarpeen mutta pitää osata kysyä oikeat kysymykset
Tietoturvaryhmä voi osallistua keskusteluihin. (HUOM! Jos on resursseja..).
![Page 9: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/9.jpg)
Esiselvitys jatkuu
Esiselvitys vaiheessa on ”pakko” selvittää myös järjestelmän alustava tärkeysluokka yhteistyössä asiakkaan ja tietoturvaryhmän kanssa.
Tärkeysluokalla on suuri vaikutus tietoturvavaatimuksiin ja tarvittavaan dokumentaatioon. Perustuu yliopiston omaan tärkeysluokitukseen
”Järjestelmän merkitys tutkimukselle ja opetukselle”
Liian suuret vaatimukset esimerkiksi varmistusten suhteen nostavat kustannuksia
![Page 10: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/10.jpg)
Seuraava vaihe, vaatimukset
Kun tiedetään mitä, kenelle ja kuinka tärkeä järjestelmä on, voidaan edetä yksityiskohtaisten vaatimusten määrittelyyn.
• Tietoturvavaatimusten pohjana käytetään yhteistyönä tehtyä pohjaa.Vaatimusten teossa mukana, Projektipäällikkö, hankinta, tietoturva, arkkitehdit)
• Järjestelmästä riippuen vaatimusten iterointi voi viedä viikkoja.
• Lopulliset vaatimusmäärittelyt on aina tarkistutettava Tietoturvaryhmän projektivastaavalla.
TyypillisestiProjekti/hanke
päällikkö vastuussa
VaatimusmäärittelytKilpailutuksen valmistelu
Tietoturvaryhmä avustaa tarpeen mukaan.
![Page 11: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/11.jpg)
Vaatimukset kerätään taulukkoon (tietoturvavaatimuksia 54 kpl..)
Joka vaatimukselle pyritään kertomaan peruste, miksi
vaaditaan, tai lisätietoa miten voidaan toteuttaa, linkkejä, (ei
toimittajalle)
![Page 12: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/12.jpg)
Vaatimukset ja muu dokumentaatio valmisedetään Hankintaan
• Markkinoiden kartoitus• Osallistuu : Hankinta, tietoturva, arkkitehdit,
IT• Hankinnan valmistelu• Kilpailutus (julkinen minimissään 3kk)• Toimittajakeskustelut
• Tarkennuksia, vastauksia
Toteutus(Projektipäällikkö)
KilpailutusSopimuksetTekninen suunnitteluAsennukset…
Tietoturvaryhmä osallistuu kaikkiin vaiheisiin tarpeen mukaan.
Huonosti tehty kilpailutus ja vaatimukset voivat johtaa markkinaoikeuteen tai käyttökelvottomaan järjestelmään!
![Page 13: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/13.jpg)
Jos hankinta onnistui... käyttöönotto
Projektipäällikön tietoturvaohje: • Poikkeamien käsittely• Riskianalyysit• NDA-sopimukset• Määrittää projektin aikaiset vastuut,
oikeudet ja periaatteet.• Vastaa työhön osallistuvan
henkilöstön ohjeistamisesta, kouluttamisesta sekä valvonnasta.
• Tietoturvakäytännöt, tilat, dokumenttien käsittely, varmistukset….
SopimuksetTekninen suunnitteluAsennukset…
Tietoturvaryhmän rooli: osallistuu kaikkiin vaiheisiin tarpeen mukaan.
![Page 14: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/14.jpg)
Ja viimeisenä, lopetusvaihe
Projektipäällikön tietoturvaohje:
• Kaikkeen aineistoon ja työmateriaaleihin on merkitty turvallisuusluokitus.
• Hävitettäväksi päätetty aineisto on hävitetty asianmukaisesti
• Kaikki taltioitava aineisto on luovutettu päätetyille tahoille.
• Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut.
• Järjestelmälle tehdään tarvittaessa tietoturva-auditointi.
• ...
Lopetus
Tietoturvaryhmä avustaa. Voi auditoida
Siirtyy asiakkaalle KäyttöönottoTestausOhjeetMuut dokumentitRekisteriselosta…
![Page 15: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/15.jpg)
Lopetusvaihe, tietoturvan tarkistuslista (24 kohtaa)
1 Projektin tarkistuslista
1.1 Projektin aloitus
Projektin vastuut on sovittu OK
tietoturvaryhmän projektivastaava OK
projektipäällikkö OK
1.2 Projektin valmisteluvaihe
- projektille on määritelty ohjausryhmän tai vastaavan hyväksymä turvallisuustaso
1.3 Suunnitteluvaihe
- Vaatimusmäärittelyt tarkistettu ja hyväksytetty
- Riskianalyysi on tehty ja riskien seuranta ja niihin reagointi on sovitusti vastuutettu
1.4 Toteutusvaihe
- Projektin henkilöt on nimetty ja ulkopuolisien kanssa on tehty NDA-sopimukset OK
- Järjestelmälle tehdään tarvittaessa tietoturva-auditointi
1.5 Projektin lopetus
- Hävitettäväksi päätetty aineisto on hävitetty asianmukaisesti
- Kaikki taltioitava aineisto on luovutettu päätetyille tahoille.
- Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut.
![Page 16: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/16.jpg)
Polku B– valitse ja käytä eli Aalto Pilvi
Jos palvelua tarvitaan pienen yhteisön käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • materiaalin jako• verkkotyöskentely• ”Web presence”• henkilökohtainen verkkopalvelu• bloggaus• yhteisötyöskentely
Palveluiden Wiki-sivu• ehdotukset uusista palveluista,
pyynnöt ohjautuvat aiheesta vastaavalle yksikölle
• lista hyväksytyistä ja suositelluista palveluista
• ohjeistuksia
”Just use”
https://wiki.aalto.fi/display/AaltoPilvi/Home
• Secondlife• Yammer• Facebook• GoogleDocs• Doodle• …
![Page 17: Pilvipalveluhanke tietoturvan nakokulmasta](https://reader030.vdocuments.pub/reader030/viewer/2022020720/555373b3b4c905da528b4ad6/html5/thumbnails/17.jpg)
KIITOKSET!