pilvipalveluhanke tietoturvan nakokulmasta
TRANSCRIPT
Tietoturvallisen PiPa:n hankinta
tai oikeastaan mikä vaan hanke, projekti..
26.03.2012
HUOM! Powerpointissa asiat käydään läpi tietoturvallisuutta korostaen
LUONNOS!
Pilvi, Kaikilla osapuolilla erilaiset mielipiteet
Accenture:”Pilvipalvelut ovat palveluntarjoajan IT-resurssien, kuten ohjelmistojen, laitteistojen tai palveluiden dynaamista tarjoamista asiakkaiden käyttöön verkon välityksellä”. KäyttäjätIlmaisia, halpoja, helppoja käyttää, ei turhia tietoturvahömpötyksiä, ei tarvita IT:tä…
ITHarmia
Toimittajalla ja asiakkaalla erilaiset toiveet
Toimittaja tarjoaa
• Pakettiratkaisu ilman asiakaskohtaisia räätälöintejä ja SLA-tasoja
• Mahdollisimman pitkä sopimus
• Dynaaminen nopea hinnantarkistus
Asiakas toivoo
• Räätälöitävät, helposti muokattavat ratkaisut
• Varmuus, mutta joustavuus ja irtisanomismahdollisuus. Helppo palveluntarjoajan vaihto, jotta voidaan varmistaa hyvä palvelu.
• Vakaa hinnoittelu.
Pilvipalveluiden tietoturvaongelmia
• Tiedon häviäminen tai tietovuoto• Toimittajaan liittyvät riskit (exit plan)• Ongelmien selvittäminen, forensiikka • Tunnusten kaappaaminen• Pilviteknologiasta aiheutuvat haavoittuvuudet • Omien tietoturvakäytäntöjen ulottaminen
ulkopuoliseen palveluun, (esim. pääsynhallinnan käytännöt)
• Jaettu alusta, tiedon eristäminen tai salaaminen.
Tyypilliset sidosryhmät hankkeen aikana
• Asiakkaat, yksiköt, laitokset, käyttäjät• Innolla hankkimassa jotain
• Asiakkuuspäällikkö, tai muu Asiakkaan kontaktipiste,” IT palveluiden myyjä”
• ProjektipäällikköKun todetaan että hyvä juttu, projekti alkaa
• Hankinta, hankintaosaajat, • Pohditaan, tarkistetaan, kilpailutetaan…
• Tietoturvaryhmä (TTR)• Kommentoidaan, autetaan, auditoidaan..
• IT• Asentaa ja ylläpitää…
Asiakkaalla joku Idea tai tarve
Lähtee liikkeelle vaatimusten perusteella
Polku A - virallinen IT:n-tukema järjestelmä”Jos käyttöön liittyy jotain seuraavista
• Henkilötietoja, salassa pidettävää• Pankkitietoja• Käytettävyys 24/7• Lisenssikustannuksia• suuri käyttäjämäärä, useita
yksiköitä…
Aina yhteys asiakkuuspäälliköihin• Uusi ratkaisu, hankinta tehtävä
yhteistyössä asiakkuuspäällikön kanssa
• Tai sopiva käytössä oleva palvelu, AM osaavat myös hyödyntää ja ohjata käytössä oleviin palveluihin.
Polku B - Kevyt
Jos palvelua tarvitaan pienen yhteisön käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • Materiaalin jako• Verkkotyöskentely• ”Web presence”, yhteisöt• Bloggaus..
Ratkaisu löytyy: Wiki-sivu - Pilvi.aalto.fi• Lista hyväksytyistä ja suositelluista
palveluista• Ohjeistuksia• Ehdotukset uusista palveluista,
pyynnöt ohjautuvat aiheesta vastaavalle yksikölle
Lopetus(Projektipäällikkö)
Esiselvitys(Asiakkuuspäällikkö)
Edellisen kalvon ”Polku A” – oikein viedyn hankkeen vaiheet lyhyesti
OK juttu, aletaan tekemään..
Asiakkuuspäällikkö ja asiakas: Selvitetään, mitä, kenelle, kuinka tärkeä, SLA
Tietoturvaryhmä, IT arkkitehdit, muu IT avustaa. Voidaan myös auditoida, oma tietoturvaryhmä tai ulkopuolinen
(Pyrkimys)Aina tiedoksi tietoturvaryhmälle, IT arkkitehdeille, muut olennaiset ryhmät, jotta tiedetään mitä tekeillä.
Toteutus(Projektipäällikkö)
Varsinainen projekti alkaa..Mm. nämä tehtävä:• Vaatimusmäärittelyt• Kilpailutus• Sopimukset• Tekninen suunnittelu• Asennukset…
Tietoturva, IT arkkitehdit osallistuu kaikkiin vaiheisiin tarpeen mukaan.
Siirtyy asiakkaallemm:• Käyttöönotto• Testaus• Ohjeet• Muut dokumentit• Rekisteriseloste…
Esiselvitys tarkemmin
Esiselvityksen helpottamiseksi on tehty tarkistuslista, mitä pitää ottaa huomioon kun keskustellaan
asiakkaan kanssa?
Selvitettävä asiakkaan kanssa:Pakolliset tiedot• Tiedon laatu, tietosuojan alaista tietoa?• Muuta luottamuksellista tai sisäistä tietoa:
tilinpäätöstietoa, sopimuksia, tutkimustietoa.• käyttäjät, vain henkilökunta, koko Aalto?• Materiaalin dynaamisuus? Onko materiaali
tallennettu myös toiseen järjestelmään?• Käyttäjien määrä?
Jos kohtuullisella työllä selvitettävissä, • Käytettävyysvaatimuksia, (järjestelmän
saatavuus)• Alustava tekninen kuvaus järjestelmästä (jos
tiedossa), verkkoyhteydet, tietokannat?
Esiselvitys)
Asiakkuuspäällikkö ja asiakas keskustelevat: Selvitetään, mitä, kenelle, kuinka tärkeä
Asiakas ja vain asiakas tietää oikean käyttötarpeen mutta pitää osata kysyä oikeat kysymykset
Tietoturvaryhmä voi osallistua keskusteluihin. (HUOM! Jos on resursseja..).
Esiselvitys jatkuu
Esiselvitys vaiheessa on ”pakko” selvittää myös järjestelmän alustava tärkeysluokka yhteistyössä asiakkaan ja tietoturvaryhmän kanssa.
Tärkeysluokalla on suuri vaikutus tietoturvavaatimuksiin ja tarvittavaan dokumentaatioon. Perustuu yliopiston omaan tärkeysluokitukseen
”Järjestelmän merkitys tutkimukselle ja opetukselle”
Liian suuret vaatimukset esimerkiksi varmistusten suhteen nostavat kustannuksia
Seuraava vaihe, vaatimukset
Kun tiedetään mitä, kenelle ja kuinka tärkeä järjestelmä on, voidaan edetä yksityiskohtaisten vaatimusten määrittelyyn.
• Tietoturvavaatimusten pohjana käytetään yhteistyönä tehtyä pohjaa.Vaatimusten teossa mukana, Projektipäällikkö, hankinta, tietoturva, arkkitehdit)
• Järjestelmästä riippuen vaatimusten iterointi voi viedä viikkoja.
• Lopulliset vaatimusmäärittelyt on aina tarkistutettava Tietoturvaryhmän projektivastaavalla.
TyypillisestiProjekti/hanke
päällikkö vastuussa
VaatimusmäärittelytKilpailutuksen valmistelu
Tietoturvaryhmä avustaa tarpeen mukaan.
Vaatimukset kerätään taulukkoon (tietoturvavaatimuksia 54 kpl..)
Joka vaatimukselle pyritään kertomaan peruste, miksi
vaaditaan, tai lisätietoa miten voidaan toteuttaa, linkkejä, (ei
toimittajalle)
Vaatimukset ja muu dokumentaatio valmisedetään Hankintaan
• Markkinoiden kartoitus• Osallistuu : Hankinta, tietoturva, arkkitehdit,
IT• Hankinnan valmistelu• Kilpailutus (julkinen minimissään 3kk)• Toimittajakeskustelut
• Tarkennuksia, vastauksia
Toteutus(Projektipäällikkö)
KilpailutusSopimuksetTekninen suunnitteluAsennukset…
Tietoturvaryhmä osallistuu kaikkiin vaiheisiin tarpeen mukaan.
Huonosti tehty kilpailutus ja vaatimukset voivat johtaa markkinaoikeuteen tai käyttökelvottomaan järjestelmään!
Jos hankinta onnistui... käyttöönotto
Projektipäällikön tietoturvaohje: • Poikkeamien käsittely• Riskianalyysit• NDA-sopimukset• Määrittää projektin aikaiset vastuut,
oikeudet ja periaatteet.• Vastaa työhön osallistuvan
henkilöstön ohjeistamisesta, kouluttamisesta sekä valvonnasta.
• Tietoturvakäytännöt, tilat, dokumenttien käsittely, varmistukset….
SopimuksetTekninen suunnitteluAsennukset…
Tietoturvaryhmän rooli: osallistuu kaikkiin vaiheisiin tarpeen mukaan.
Ja viimeisenä, lopetusvaihe
Projektipäällikön tietoturvaohje:
• Kaikkeen aineistoon ja työmateriaaleihin on merkitty turvallisuusluokitus.
• Hävitettäväksi päätetty aineisto on hävitetty asianmukaisesti
• Kaikki taltioitava aineisto on luovutettu päätetyille tahoille.
• Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut.
• Järjestelmälle tehdään tarvittaessa tietoturva-auditointi.
• ...
Lopetus
Tietoturvaryhmä avustaa. Voi auditoida
Siirtyy asiakkaalle KäyttöönottoTestausOhjeetMuut dokumentitRekisteriselosta…
Lopetusvaihe, tietoturvan tarkistuslista (24 kohtaa)
1 Projektin tarkistuslista
1.1 Projektin aloitus
Projektin vastuut on sovittu OK
tietoturvaryhmän projektivastaava OK
projektipäällikkö OK
1.2 Projektin valmisteluvaihe
- projektille on määritelty ohjausryhmän tai vastaavan hyväksymä turvallisuustaso
1.3 Suunnitteluvaihe
- Vaatimusmäärittelyt tarkistettu ja hyväksytetty
- Riskianalyysi on tehty ja riskien seuranta ja niihin reagointi on sovitusti vastuutettu
1.4 Toteutusvaihe
- Projektin henkilöt on nimetty ja ulkopuolisien kanssa on tehty NDA-sopimukset OK
- Järjestelmälle tehdään tarvittaessa tietoturva-auditointi
1.5 Projektin lopetus
- Hävitettäväksi päätetty aineisto on hävitetty asianmukaisesti
- Kaikki taltioitava aineisto on luovutettu päätetyille tahoille.
- Osallistujille on kerrottu projektin loppumisen jälkeiset vastuut.
Polku B– valitse ja käytä eli Aalto Pilvi
Jos palvelua tarvitaan pienen yhteisön käyttöön tai tarve on henkilökohtaiselle palvelulle, esim: • materiaalin jako• verkkotyöskentely• ”Web presence”• henkilökohtainen verkkopalvelu• bloggaus• yhteisötyöskentely
Palveluiden Wiki-sivu• ehdotukset uusista palveluista,
pyynnöt ohjautuvat aiheesta vastaavalle yksikölle
• lista hyväksytyistä ja suositelluista palveluista
• ohjeistuksia
”Just use”
https://wiki.aalto.fi/display/AaltoPilvi/Home
• Secondlife• Yammer• Facebook• GoogleDocs• Doodle• …
KIITOKSET!