Tietoturva

Oikea tilannekuva

Tietoturvatyön lähtökohta on yritykseen ja sen järjestelmiin liittyvien uhkien ymmärtäminen. Autamme hahmottamaan ja käsittelemään organisaatioiden tietoturvariskejä ja -uhkia. Voimme esimerkiksi tarjota työpajoja, joissa selvitetään ja dokumentoidaan keskeiset riskit ja uhat sekä suunnitellaan tarvittavat korjaustoimet.

Kun jonkin tärkeän järjestelmäkomponentin turvatasoa ei tiedetä, rationaalisten päätösten tekeminen on vaikeaa. Voimme auttaa päätöksenteossa kartoittamalla vaikeimmat ongelmat. Palvelumme voi sisältää turvaominaisuuksien analysoinnin, järjestelmän toteutuksen testaamisen tai järjestelmän suojauksen arvioinnin. Security assessment -palvelumme (englanniksi) tekee kaikkia näitä tarkastuksia.

Tietoturva-arkkitehtuurin suunnittelu ja toteutus

Turvallisuus on olennainen osa hyvää arkkitehtuuria, olipa sitten kyse perinteisestä arkkitehtuurista, pilvipohjaisesta Docker-arkkitehtuurista tai puhtaasta pilviarkkitehtuurista. Hyvä tietoturva-arkkitehtuuri huomioi eri ulottuvuudet, kuten tuotteen koko elinkaaren ja kaikki tietoturvatyön vaiheet (kartoitus, suojaus, havaitseminen, reagointi ja normaalin toiminnan palauttaminen).

Meillä on laaja kokemus arkkitehtuurisuunnittelusta ja erilaisista suojatuista järjestelmistä, kuten käyttäjätilien hallintaan, tunkeutumisen havaitsemiseen, lokien hallintaan ja varmenteiden käsittelyyn kehitetyistä järjestelmistä. Voimme luoda tietoturva-arkkitehtuurin, tukea sen luomista tai arvioida ehdotettua arkkitehtuuriratkaisua. Kun arkkitehtuuri on otettu käyttöön, sen turvallisuus on varmennettava. Muuten vähäisetkin virheet voivat altistaa hyväksikäytölle. Voimme varmentaa järjestelmän turvallisuuden, mukaan lukien laitteiston tai ohjelmiston lisäsuojaukset.

Jos turvallisuusympäristö on haastava, voimme toteuttaa tarvittavan keskeisen komponentin tai tehdä siitä prototyypin. Meille ovat tuttuja x86, ARM, Power Architecture (PowerPC), FPGA, eFuses, ASICs, TPM, TrustZone, kryptologia ja Secure Boot.

Security Development Support -palvelu (englanniksi) tuo turvallisuusosaamista tuotekehitykseesi.

Turvallinen ja tehokas kehitystyö

Tietoturvan huomioiminen kehitysprosessissa voi olla haastavaa. Voimme auttaa tekemään tietoturvasta olennaisen osan kehitysprosessia. Tämä sisältää yleensä kehitysprosessin aukkojen analysoinnin, jotta tietoturva voidaan toteuttaa mahdollisimman tehokkaasti. Voimme myös toimia tietoturva-asiantuntijoina ja näin nopeuttaa turvallisen kehitysprosessin käyttöönottoa.

Ketterässä maailmassa tarvitaan ketterää tapaa hallita tietoturvaa, sillä se ei saa hidastaa työskentelyä. Me voimme auttaa tietoturvatyön sovittamisessa asiakkaan ketterään työskentelytapaan. Siirtyminen DevOps-toimintamallista DevSecOps-toimintamalliin ei ole vähäinen saavutus. Meillä on kokemusta molemmista ja voimme auttaa siinä.

Työtapojen parantamisen jälkeen on tärkeää varmentaa ne ja seurata niitä käytännössä. Wapice voi auttaa arvioimaan tuloksia sekä tarkastelemalla prosessin toteutusta että arvioimalla tuloksena saadun järjestelmän turvallisuutta.

Secure Development Life Cycle (SDLC) coaching (englanniksi) auttaa turvallisuuden tuomisessa osaksi tuotekehitystyötä.

Tietoturvan hallinnan tuki

Hyvät tietoturvan hallintakäytännöt ovat tärkeä osa turvallisuuden ylläpitoa. Tietoturvan hallinta perustuu usein seuraavanlaisiin standardeihin: NERC, COBIT 4.1, NIST-800, ISO 27001, ISO 27005 ja IEC 62443. Olemme kasvattaneet osaamistamme näiden standardien parissa ja pystymme auttamaan asiakkaitamme niiden huomioimisessa. Wapice on ISO/IEC 27001 -sertifioitu yritys.

Asiakkaidemme on noudatettava useita tietoturvamääräyksiä. Vaatimusten asteittain lisääntyessä tietoturvan ylläpitäminen edellyttää niin nykyisten kuin tulevien standardien noudattamista. Meillä on vuosien kokemus asiakastyöstä eri toimialoilla ja teollisuudessa.