Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Katsaus Suomen kansalliseen kyberturvallisuusti...

Katsaus Suomen kansalliseen kyberturvallisuustilanteeseen | Juho Ranta | 2NS

Avatar for Software Finland ry

Software Finland ry

June 16, 2020
Tweet

More Decks by Software Finland ry

Other Decks in Business

Transcript

  1. Mikä on nykyinen tilanne asiakkaiden ja toimittajien välillä? • Asiakkaan

    ja toimittajan välillä on harvoin sovittu yksiselitteisiä ja kattavia tietoturvavaatimuksia • Toimittaja ei tiedä, mikä asiakkaan tahtotila on • Asiakas ei osaa ostaa • Asiakas ei saa sitä, mitä haluaa
  2. Tietoturva räätälöidyissä sovelluksissa vs. SaaS? • Räätälöity sovellus • Asiakas

    vastuussa sovelluksen käytöstä • Asiakas määrittää vaatimukset • Asiakas vastaa ylläpidosta • SaaS • Toimittaja vastuussa sovelluksesta • Toimittajalla tarve osoittaa tietoturvan taso • Toimittaja vastaa ylläpidosta
  3. Tietoturva maksaa – miksi nostaisin hintaa? Risk amount Cost of

    taking risk Cost of mitigating risk Total cost
  4. Miksi selvittää asiakkaalta? • Toimittaja ei voi tietää asiakkaan sidosryhmien

    vaatimuksia/ odotuksia • Asiakas kantaa riskin omista tiedoistaan • Nämä muodostavat pohjan tietoturvavaatimuksille • Sovellus on ylläpidettävä tulevaisuudessa – mikä on asiakkaan kyvykkyys • Pyri saamaan em. asiat tarjouspyyntöihin
  5. Jos asiakas ei halua/osaa vaatia tietoturvaa? • Jokaisessa projektissa tulisi

    huomioida tietoturvan perusasiat • Avaintekijänä turvallinen sovelluskehitysprosessi (SDL) • Prosessi varmistaa myös, että asiakkaan vaatimukset kommunikoidaan kehitystiimille
  6. Mikä SDL? • SDL – Security Development Lifecycle • Liittää

    tietoturvan sovelluskehitysprosessiin • Sisältää useita toimia, joilla pyritään varmentamaan järjestelmän tietoturva
  7. Mitä tämä kaikki edellyttää? • Sidosryhmien tarpeiden ymmärtämistä • Henkilöstön

    kouluttamista • Tietoturvaa tukevien prosessien luomista • Tarvittavien resurssien allokoimista
  8. Milloin olen vastuussa tietoturvan ylläpidosta? • Toimit henkilötietojen käsittelijän roolissa

    (GDPR) • Tarjoat asiakkaalle SaaS-palvelua • Asiakas ostaa ylläpitoa palveluna
  9. Mitä on poikkeamiin reagointi? • Kyky reagoida raportoituihin haavoittuvuuksiin •

    Kyky auttaa asiakasta tietoturvapoikkeamien selvittämisessä (räätälöidyt sovellukset) • Kyky selvittää tietoturvapoikkeamat (SaaS)
  10. Mitkä ovat kolme tärkeintä asiaa? 1. Asiakkaan sidosryhmien tarpeiden /

    vaatimusten selvittäminen 2. Tietoturvavaatimusten saaminen mukaan tarjouspyyntöihin 3. Turvallinen sovelluskehitysprosessi (SDL)