SlideShare a Scribd company logo

Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 2013

Nixu Corporation
Nixu Corporation

Digitaalisten verkkopalveluiden tietoturvan perusteet viestintä- ja markkinointipäättäjille. Tietoturva sosiaalisessa mediassa. Tietovastuun käsite. Esitetty MIFin digitaalisen viestinnän koulutusohjelmassa keväällä 2013 (c) Nixu Oy, Petri Kairinen

Technology
1 of 25
Tietoturvallisuus verkkopalveluissa MIF – digitaalisen viestinnän koulutusohjelma, 7.5.2013 Petri Kairinen, Nixu Oy 25.11.2013 © Nixu 2013 1
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 2
Tavoitteet?  Ymmärrän, mitä tietoturvallisuudella tarkoitetaan.  Tiedostan riskit uutta verkkopalvelua rakennettaessa.  Osaan kysyä oikeita kysymyksiä yhteistyökumppaneiltani.  Hahmotan tietoturvallisen toimintatavan SoMen käytössä. 25.11.2013 © Nixu 2013 3
25.11.2013 © Nixu 2013 4
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 5
Verkottuva yhteiskunta IHMISET muodostavat sosiaalisia verkostoja ja käyttävät huoletta verkon pilvipalveluja Älykkäät tietojärjestelmät mahdollistavat ULKOISTAVAT YRITYKSET ovat riippuvaisia yhteyksistä arvoketjun alihankkijoihin INFRASTRUKTUURI muuttuu älykkääksi – ubiikit, integroidut järjestelmät toimivat taustalla 25.11.2013 © Nixu 2013 6
Yritysten toiminta ja arvo perustuvat enenevissä määrin digitaaliseen omaisuuteen 25.11.2013 © Nixu 2013 7
Mustia ja harmaita pilviä horisontissa  “75 % of organizations report increase in attacks from the Internet” – Ernst&Young: “Global Information Security Survey 2012”  “97 % of breaches resulting in loss of records could have been avoided through use of simple or intermediate controls” – Verizon: “2012 Data Breach Investigation Report” Bring Your Own Device Luonnonkatastrofit 25.11.2013 © Nixu 2013 Kybersodankäynti Yksityisyydensuo ja Järjestäytynyt rikollisuus Pilvipalvelut Teollisuusvakoilu Haktivistiryhmät 8
Tiedon luokittelu Kumppaniverkosto Poikkeamien hallinta Vaatimustenhallinta Johtamismalli 25.11.2013 © Nixu 2013 Tekninen suojaus Käyttäjähallinta Riskienhallinta Tietoturvatietoisuus Jatkuvuussuunnittelu 9
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 10
Tietoturvan tilanne tällä hetkellä 25.11.2013 © Nixu 2013 11
Yksityisyydensuoja  Kuluttajaverkkopalveluiden huomioitava kiristyvä yksityisyydensuoja – EU:ssa valmisteilla uusi asetus – Ilmoitusvelvollisuus – Sakko max 2% liikevaihdosta  Ilman tietoturvaa ei voi olla yksityisyydensuojaa, mutta hyvä tietoturva ei takaa yksityisyydensuojaa 25.11.2013 © Nixu 2013 12
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 13
Riskienhallinta uutta verkkopalvelua kehitettäessä Turvallinen ohjelmistototeutus Oikeat valinnat suunnittelussa Riskien ymmärtäminen 25.11.2013 © Nixu 2013 14
Riskienhallinta Sisältää luottamuksellisia tietoja tai maksutapahtumia Kumppani extranet projektienhallintaan Kirjautumista vaativat asiointisivut, verkkokaupat, Pääsy rajatusta verkosta Julkiset palvelut Viestinnällinen intranet 25.11.2013 © Nixu 2013 wwwsivusto, tiedotusk anavat Ei sisällä luottamuksellisia tietoja 15
Oikeat valinnat suunnittelussa  Mitä turvaosaamista palveluntuottajalta vaaditaan?  Miten palvelu on erotettu muista palveluista?  Miten saatavuus varmistetaan?  Miten ja ketkä ylläpitokäyttöliittymään pääsevät?  Miten käyttäjätietoja hallitaan?  Kuinka palvelua ylläpidetään?  Kenelle turvavastuu palvelusta kuuluu? 25.11.2013 © Nixu 2013 16
Turvallinen ohjelmistototeutus  WWW:ssä sovellus ja palvelinratkaisu ratkaisevat, ei palomuuri  Alustapalvelimet tulee koventaa eli poistaa turhat ohjelmat  OWASP Top-10 hyvä vaatimusluettelo kehittäjälle  Turvaa tulisi miettiä jo toteutuksessa yhdessä kehittäjän kanssa  Riskipitoisissa palveluissa on hyvä tehdä loppuauditointi 25.11.2013 © Nixu 2013 17
BONUS: 3 vinkkiä palvelunestohyökkäyksen varalta 1. Suunnittele ennalta vastuut ja toiminta tilanteessa, jossa palvelusi ei ole saatavilla. 2. Luo uinuva varapalvelu muuhun konesaliin tai pilviympäristöön. 3. Pidä käsillä myös voit vaihtoehtoinen tiedotusväline (sms, facebook, twitter), jolla ohjaat uuteen palveluun. 25.11.2013 © Nixu 2013 18
Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 19
Sosiaalinen media ja tietoturva 25.11.2013 © Nixu 2013 20
Mitä riskejä käyttöön liittyy?  Keskeiset uhat – – – – haittaohjelmat asentuvat tietoa vuodetaan vahingossa tunnukset varastetaan henkilökohtaiset tiedot  Tyypillinen suojautuminen – käyttöpolitiikka – teknologia – tietoisuus 25.11.2013 © Nixu 2012
Muistilista  Uniikki ja riittävän mutkikas salasana – Huomioi myös yhdistetyt tunnukset – Salasanan palautus  suojaa myös tämä tili  Tarkista sovellukset, plug-init ja tykkäykset – Käy läpi, päivitä tai poista, säännöllisesti  Selainpäivitykset – Päivitä säännöllisesti (help/about  check)  Aavista – Epäilyttävä tarina / linkki / tweet sosiaalisessa mediassa  älä avaa suoraa linkkiä, vaan hae hakukoneella asia ja avaa vain luotettavat linkit  Pidä virustorjunta ajan tasalla 25.11.2013 © Nixu 2013 22
Yhteenveto 25.11.2013 © Nixu 2013 23
Yhteenveto  Tietoturvallisuus on agendalla syystä. Se ei ole pelkkää tekniikkaa vaan paljolta vastuuttamista  Uuden verkkopalvelun turvallinen pystyttäminen lähtee riskianalyysistä  Toteutuksen suunnittelu ja oikeat vaatimukset auttavat 25.11.2013 © Nixu 2013 24
Pidetään kivaa siellä verkossa! KIITOS! 25.11.2013 © Nixu 2013 25

Recommended

Trend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetTrend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetKimmo Vesajoki
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva2NS
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun2NS
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 

Recommended

Trend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetTrend Micro - kohdennetut hyökkäykset
Trend Micro - kohdennetut hyökkäyksetKimmo Vesajoki
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva2NS
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun2NS
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Trend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaTrend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaKimmo Vesajoki
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaValtiokonttori / Statskontoret / State Treasury of Finland
 
Luoti webinar tietoturva
Luoti webinar tietoturvaLuoti webinar tietoturva
Luoti webinar tietoturvaTimoSimell
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloImmo Salo
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnet Suomi
 
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Accountor Enterprise Solutions Oy
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...Harri Kiljander
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Matleena Laakso
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloImmo Salo
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavatTIEKE Finnish Information Society Development Centre
 
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - Sonera
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - SoneraKohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - Sonera
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - SoneraSonera
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Tietoturvan perusteet
Tietoturvan perusteetTietoturvan perusteet
Tietoturvan perusteetTomi Toivio
 
Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentationNixu Corporation
 

More Related Content

Similar to Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 2013

Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Trend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaTrend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaKimmo Vesajoki
 
Luoti webinar tietoturva
Luoti webinar tietoturvaLuoti webinar tietoturva
Luoti webinar tietoturvaTimoSimell
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloImmo Salo
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnet Suomi
 
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Accountor Enterprise Solutions Oy
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...Harri Kiljander
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Matleena Laakso
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloImmo Salo
 
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - Sonera
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - SoneraKohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - Sonera
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - SoneraSonera
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Tietoturvan perusteet
Tietoturvan perusteetTietoturvan perusteet
Tietoturvan perusteetTomi Toivio
 

Similar to Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 2013 (20)

Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
 
Trend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaTrend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaa
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
 
Luoti webinar tietoturva
Luoti webinar tietoturvaLuoti webinar tietoturva
Luoti webinar tietoturva
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
 
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuus
 
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...
Kuka maksaa ilmaisen lounaan? Millä rahoitetaan näennäisesti ilmaiset sovellu...
 
Someturvallisuus 29.11.22
Someturvallisuus 29.11.22Someturvallisuus 29.11.22
Someturvallisuus 29.11.22
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavat
 
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - Sonera
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - SoneraKohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - Sonera
Kohti tehokkaampia verkkoratkaisuja - Wihuri - asiakascase - Sonera
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
Tietoturvan perusteet
Tietoturvan perusteetTietoturvan perusteet
Tietoturvan perusteet
 

More from Nixu Corporation

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”Nixu Corporation
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

More from Nixu Corporation (19)

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo Nixu
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology Presentation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja?
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identities
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseen
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutokset
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjille
 

Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 2013

  • 1. Tietoturvallisuus verkkopalveluissa MIF – digitaalisen viestinnän koulutusohjelma, 7.5.2013 Petri Kairinen, Nixu Oy 25.11.2013 © Nixu 2013 1
  • 2. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 2
  • 3. Tavoitteet?  Ymmärrän, mitä tietoturvallisuudella tarkoitetaan.  Tiedostan riskit uutta verkkopalvelua rakennettaessa.  Osaan kysyä oikeita kysymyksiä yhteistyökumppaneiltani.  Hahmotan tietoturvallisen toimintatavan SoMen käytössä. 25.11.2013 © Nixu 2013 3
  • 5. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 5
  • 6. Verkottuva yhteiskunta IHMISET muodostavat sosiaalisia verkostoja ja käyttävät huoletta verkon pilvipalveluja Älykkäät tietojärjestelmät mahdollistavat ULKOISTAVAT YRITYKSET ovat riippuvaisia yhteyksistä arvoketjun alihankkijoihin INFRASTRUKTUURI muuttuu älykkääksi – ubiikit, integroidut järjestelmät toimivat taustalla 25.11.2013 © Nixu 2013 6
  • 7. Yritysten toiminta ja arvo perustuvat enenevissä määrin digitaaliseen omaisuuteen 25.11.2013 © Nixu 2013 7
  • 8. Mustia ja harmaita pilviä horisontissa  “75 % of organizations report increase in attacks from the Internet” – Ernst&Young: “Global Information Security Survey 2012”  “97 % of breaches resulting in loss of records could have been avoided through use of simple or intermediate controls” – Verizon: “2012 Data Breach Investigation Report” Bring Your Own Device Luonnonkatastrofit 25.11.2013 © Nixu 2013 Kybersodankäynti Yksityisyydensuo ja Järjestäytynyt rikollisuus Pilvipalvelut Teollisuusvakoilu Haktivistiryhmät 8
  • 10. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 10
  • 11. Tietoturvan tilanne tällä hetkellä 25.11.2013 © Nixu 2013 11
  • 12. Yksityisyydensuoja  Kuluttajaverkkopalveluiden huomioitava kiristyvä yksityisyydensuoja – EU:ssa valmisteilla uusi asetus – Ilmoitusvelvollisuus – Sakko max 2% liikevaihdosta  Ilman tietoturvaa ei voi olla yksityisyydensuojaa, mutta hyvä tietoturva ei takaa yksityisyydensuojaa 25.11.2013 © Nixu 2013 12
  • 13. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 13
  • 14. Riskienhallinta uutta verkkopalvelua kehitettäessä Turvallinen ohjelmistototeutus Oikeat valinnat suunnittelussa Riskien ymmärtäminen 25.11.2013 © Nixu 2013 14
  • 15. Riskienhallinta Sisältää luottamuksellisia tietoja tai maksutapahtumia Kumppani extranet projektienhallintaan Kirjautumista vaativat asiointisivut, verkkokaupat, Pääsy rajatusta verkosta Julkiset palvelut Viestinnällinen intranet 25.11.2013 © Nixu 2013 wwwsivusto, tiedotusk anavat Ei sisällä luottamuksellisia tietoja 15
  • 16. Oikeat valinnat suunnittelussa  Mitä turvaosaamista palveluntuottajalta vaaditaan?  Miten palvelu on erotettu muista palveluista?  Miten saatavuus varmistetaan?  Miten ja ketkä ylläpitokäyttöliittymään pääsevät?  Miten käyttäjätietoja hallitaan?  Kuinka palvelua ylläpidetään?  Kenelle turvavastuu palvelusta kuuluu? 25.11.2013 © Nixu 2013 16
  • 17. Turvallinen ohjelmistototeutus  WWW:ssä sovellus ja palvelinratkaisu ratkaisevat, ei palomuuri  Alustapalvelimet tulee koventaa eli poistaa turhat ohjelmat  OWASP Top-10 hyvä vaatimusluettelo kehittäjälle  Turvaa tulisi miettiä jo toteutuksessa yhdessä kehittäjän kanssa  Riskipitoisissa palveluissa on hyvä tehdä loppuauditointi 25.11.2013 © Nixu 2013 17
  • 18. BONUS: 3 vinkkiä palvelunestohyökkäyksen varalta 1. Suunnittele ennalta vastuut ja toiminta tilanteessa, jossa palvelusi ei ole saatavilla. 2. Luo uinuva varapalvelu muuhun konesaliin tai pilviympäristöön. 3. Pidä käsillä myös voit vaihtoehtoinen tiedotusväline (sms, facebook, twitter), jolla ohjaat uuteen palveluun. 25.11.2013 © Nixu 2013 18
  • 19. Teemat  Esittäytyminen  Verkottuva yhteiskunta  Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä  Riskienhallinta uutta verkkopalvelua kehitettäessä  Muistilista sosiaalisen median tietoturvariskeistä 25.11.2013 © Nixu 2013 19
  • 20. Sosiaalinen media ja tietoturva 25.11.2013 © Nixu 2013 20
  • 21. Mitä riskejä käyttöön liittyy?  Keskeiset uhat – – – – haittaohjelmat asentuvat tietoa vuodetaan vahingossa tunnukset varastetaan henkilökohtaiset tiedot  Tyypillinen suojautuminen – käyttöpolitiikka – teknologia – tietoisuus 25.11.2013 © Nixu 2012
  • 22. Muistilista  Uniikki ja riittävän mutkikas salasana – Huomioi myös yhdistetyt tunnukset – Salasanan palautus  suojaa myös tämä tili  Tarkista sovellukset, plug-init ja tykkäykset – Käy läpi, päivitä tai poista, säännöllisesti  Selainpäivitykset – Päivitä säännöllisesti (help/about  check)  Aavista – Epäilyttävä tarina / linkki / tweet sosiaalisessa mediassa  älä avaa suoraa linkkiä, vaan hae hakukoneella asia ja avaa vain luotettavat linkit  Pidä virustorjunta ajan tasalla 25.11.2013 © Nixu 2013 22
  • 24. Yhteenveto  Tietoturvallisuus on agendalla syystä. Se ei ole pelkkää tekniikkaa vaan paljolta vastuuttamista  Uuden verkkopalvelun turvallinen pystyttäminen lähtee riskianalyysistä  Toteutuksen suunnittelu ja oikeat vaatimukset auttavat 25.11.2013 © Nixu 2013 24
  • 25. Pidetään kivaa siellä verkossa! KIITOS! 25.11.2013 © Nixu 2013 25

Editor's Notes

  1. Oleellista tässä on korostaa palveluiden ja tuotannon jatkumista, kuten kuvatkin antavat ymmärtää, kun asiaa kuvataan tuotannosta ja liiketoiminnasta vastaaville johtajille. Tietoturvallisuus on tuotanto- ja tukiprosessien laatu & tukifunktio, joka osaltaan varmistaa tuotannon ja liiketoiminnan vakautta!