Ajax: Web-sovellusten uudet mahdollisuudet

Tässä työssä selvitettiin Ajax-tekniikan tilannetta web-sovellusten kehityksessä. Sitä varten kehitettiin demosovellus, jonka avulla tekniikoiden käyttökelpoisuutta voitiin arvioida. Samalla työssä on esitelty eri tekniikoita, jotka liittyvät kiinteästi Ajax-sovellusten toteuttamiseen. Demosovellus tehtiin vapaalla LAMP (Linux, Apache, MySQL and PHP) -alustalla. Työssä on arvioitu Ajax-tekniikan käyttökelpoisuutta ja ongelmia nykyisen webin, web-kehittäjien, käytössä olevien selainten ja käyttäjien kannalta. Lopussa on myös pohdittu hieman webin tulevaisuutta ja Ajaxin osaa siinä.

UDDI palvelurekisterin merkitys Web palveluissa

Tietojärjestelmien integraatio on nykypäivänä tärkeä osa alue yritysten toiminnassa ja kilpailukyvyn ylläpitämisessä. Palvelukeskeinen arkkitehtuuri ja Web palvelut on uusi joustava tapa tehdä tietojärjestelmien välinen integraatio. Web palveluiden yksi ydinkomponentti on UDDI, Universal Description, Discovery and Integration. UDDI toimii palvelurekisterin tavoin. UDDI määrittää tavan julkaista, löytää ja ottaa käyttöön Web palveluja. Web palveluja voidaan hakea UDDI:sta erilaisin kriteerein, kuten esimerkiksi palvelun sijainnin, yrityksen nimen ja toimialan perusteella. UDDI on myös itsessään Web palvelu, joka perustuu XML kuvauskieleen ja SOAP protokollaan. Työssä paneudutaan tarkemmin UDDI:in. UDDI:ta käsitellään tarkemmin myös teknisesti. Oleellinen osa UDDI:ta on ollut julkaisijoiden ja käyttäjien mielestä tietoturvan puute, joka on rajoittanut huomattavasti UDDI:n käyttöä ja käyttöönottamista. Työssä tarkastellaankin tarkemmin juuri tietoturvaan liittyviä asioita ja ratkaisuja sekä myös UDDI:n merkitystä yrityksille.

Hankintaprosessin suorituskyvyn arviointi ja kehittäminen

Tämän työn tarkoituksena oli tarkastella kohdeorganisaation hankintaprosessin suorituskykyä. Tutkimuksen päämääränä oli tuottaa yritykselle sellaista tietoa ja arviointikriteerejä, joiden avulla yritys voi kehittää valmiuksiaan oman suorituskyvyn tehokkaampaan arviointiin tulevaisuudessa. Tutkielma tehtiin Skanska Oy:n osto-osastolle Helsinkiin. Tutkimuksen kohteeksi valittiin kausisopimusten hankintaprosessi epäsuorissa hankinnoissa, kotimaisilla markkinoilla. Keskitetyn kausisopimusten hankintaprosessin tarkoituksena on tuottaa yritykselle kilpailukykyisiä sopimuksia sekä saavuttaa prosessin parempi hallinta ja läpinäkyvyys. Tietoa tutkimuksen kohteena olevasta prosessista kerättiin haastatteluilla ja keskustelutuokioilla sekä yrityksen dokumenteista. Aineiston keräämisen kautta pyrittiin saamaan syvempi kuva prosessin toiminnasta, sen ongelmakohdista sekä niiden syistä ja seurauksista. Toisen tarkastelunäkökulman prosessin arvioinnille tarjosi läpimenoajan mittaaminen. Saatua aineistoa luokiteltiin vika- ja vaikutusanalyysiin pohjautuvalla mallilla sekä Monte Carlo – simulaatiomenetelmään perustuvalla ohjelmalla. Työn tuloksena esitetään tutkimuksen kohteena olevalle prosessille sopivia kehitystoimenpiteitä sekä suositeltavia prosessin mittaamisalueita.

Järjestelmien siirtäminen uuteen käyttöjärjestelmäympäristöön

Käyttöjärjestelmän uuden version myötä vanhat ohjelmat eivät välttämättä toimi uudessa ympäristössä. Windows-käyttöjärjestelmässä sovellusten yhteensopivuus on aiemmin säilytetty melko hyvin. Uusimpiin Windows Vista ja Windows 7 -versioihin on tehty paljon tietoturvauudistuksia. Niistä johtuen vanhojen ohjelmien yhteensopivuutta on karsittu. Tässä työssä kuvataan automaatiojärjestelmän ohjelmakomponenttien siirtoa uuteen Windows-ympäristöön. Tavoitteena on saada tehtyä ohjeita muille automaatiojärjestelmän kehittäjille. Myös Windowsin tietoturvaominaisuuksiin tehdään katsaus, erityisesti pääsynhallintaan

Empiirinen analyysi tilitoimiston liikeriskeistä ja niiden hallinnasta

Tämän tutkimuksen aiheena ovat tilitoimiston liikeriskit ja niiden hallinta. Tilitoimistot ovat merkittävässä asemassa tuottaessaan asiakasyrityksistään taloudellista tietoa paitsi yritykselle itselleen myös sen sidosryhmille sekä yhteiskunnalle. Tilitoimiston toimintaa ja samalla riskienhallintaa ohjaa erityisesti hyvä tilitoimistotapa, jonka noudattaminen auttaa ylläpitämään ammatillista arvostusta. Tilitoimiston liikeriskit voidaan jakaa henkilöstöriskeiksi, sopimus- ja vastuuriskeiksi sekä tietoriskeiksi, joihin kuuluvat myös väärinkäytösriskit. Sopimus- ja vastuuriskejä hallitaan kirjallisin toimeksiantosopimuksin vakiosopimusehtoja käyttämällä sekä vastuuvakuutuksin. Tietoriskien hallinnassa apuna ovat salas-sapitosopimukset, tietoturvatoimet ja ohjeet. Väärinkäytösriskejä hallitaan parhaiten ennaltaehkäisemällä. Henkilöstö on tilitoimistojen suurin resurssi, mutta samalla myös suurin riskitekijä. Henkilöstö on myös avainasemassa tilitoimistojen riskienhallinnan toteuttamisessa. Suurimpia henkilöstöön kohdistuvia riskejä ovat avainhenkilöihin, työhyvinvointiin, jaksamiseen, motivaatioon sekä työvoiman saatavuuteen kohdistuvat riskit. Näitä kaikkia pystytään hallitsemaan toimivalla henkilöstöhallinnolla ja varahenkilöjärjestelmillä. Tutkimuksen empiirinen osio toteutettiin satunnaisesti valittuihin eteläsuomalaisiin tilitoimistoihin suunnatulla kyselytutkimuksella. Tutkimustuloksista käy ilmi, että tilitoimistojen tieto-, sopimus- ja vastuuriskien hallinta on hyvällä tasolla, mutta että henkilöstöriskien hallinnassa on jonkin verran parantamisen varaa. Tutkimus vahvistaa myös, että pk-sektorilla toimivien tilitoimistojen kannattaa käyttää kokonaisvaltaista riskienhallintaa liikeriskiensä hallitsemiseen ja toiminnan laadun turvaamiseen.

Tiedonjaon ongelmat globaalissa jakeluketjussa

Työ on kirjallisuustutkimus ja sen tavoitteena on määrittää globaalin jakeluketjun tiedonjaon ongelmat sekä niiden ratkaisu- ja ehkäisymenetelmiä. Työ sisältää seitsemän eri ongelmatyyppiä, joihin löydettiin kolme ratkaisumenetelmää ja kolme ehkäisymenetelmää. Lisäksi työssä käsitellään ongelmia case-yrityksen näkökulmasta. Case-esimerkki toteutettiin haastatteluna. Tiedonjaon ongelmat johtuvat joko inhimillisistä tai teknisistä virheistä. Vakavimmat ongelmat johtuvat usein inhimillisistä syistä eikä tietojärjestelmän uusiminen välttämättä korjaa näitä ongelmia. Tietojärjestelmien oikeaoppinen käyttöönotto ja sisäistäminen antavat yritykselle huomattavia parannuksia tiedonjakoon jakeluketjussa. Tiedonjaon ongelmia ratkaistaessa täytyy usein hyödyntää useampia ratkaisumenetelmiä ja yrityksen liiketoimintamalli täytyy ottaa huomioon. Case-yrityksessä vakavimmat ongelmat liittyivät luottamukseen, kommunikointietiketin puutteeseen, tiedon hukkumiseen ja odottamattomiin tiedonkulun häiriöihin.

Virtuaalinen asiakaspalvelu - soveltuvuus ja tuottavuushyödyt kuntaorganisaatiolle Case: Oulun kaupunki

Suomalainen julkisen sektorin asiakaspalvelu elää tällä hetkellä merkittävää murrosvaihetta. Julkisesta asiakaspalvelusta on tehty kansainvälisestikin vain vähän tieteellistä tutkimusta, ja tähän asti tehty tutkimus on keskittynyt pääasiassa valtiollisiin toimijoihin. Tässä tutkimuksessa tutkittiin virtuaalisen asiakaspalvelun soveltuvuutta ja potentiaalisia tuottavuushyötyjä kuntaorganisaatiolle. Tutkimuksen tavoitteena oli selvittää millainen virtuaalinen asiakaspalvelun toimintamalli soveltuu nimenomaan kuntaorganisaatiolle. Tutkimus toteutettiin kvalitatiivisena tapaustutkimuksena, ja tutkimuskohteena oli Oulun kaupunki. Tutkimuksen empiirinen osa toteutettiin puolistrukturoituna teemahaastatteluna. Haastateltavana oli Oulun kaupungin työntekijöitä sellaisilta toimialoilta, jotka joko asioivat kuntalaisten kanssa suoraan tai osallistuvat kuntalaisille suunnatun asiakaspalvelun kehittämiseen. Tutkimus osoitti, että kuntaorganisaatiolle soveltuva virtuaalinen asiakaspalvelun toimintamalli ottaa huomioon kuntakontekstin erityispiirteet, automatisoi helpot tehtävät ja mahdollistaa tehokkaan resurssien käytön ohjaamalla asiakaspalvelukontaktit automaattisesti ja paikkariippumattomasti vapaana olevalle asiakaspalvelijalle. Virtuaalisen asiakaspalvelun pitää olla vaikuttavaa sekä kuntalaiselle että kuntaorganisaatiolle. Toimintamallin tulee vastata tietoturvan ja tietosuojan vaatimuksiin, jotta sitä voidaan soveltaa kattavasti volyymipalveluissa, joista on potentiaalisesti saavutettavissa suurimmat hyödyt. Toimintamallin tulee olla toimialariippumaton ja helposti monistettavissa mittakaavahyötyjen aikaansaamiseksi.

ICT-varautumisen analyysi ja kehittäminen julkisen sektorin virastossa

Lainsäädäntö velvoittaa valtionhallintoa huolehtimaan riittävästä ICT-varautumisesta, jotta yhteiskunnan kriittiset toiminnot ovat turvattu normaaliolojen lisäksi normaaliolojen häiriötilanteissa ja poikkeusoloissa. ICT-varautumisen vaatimukset on määrätty VAHTI ICT-varautumisen vaatimukset - ohjeessa. ICT-varautuminen on riskienhallintaan perustuvaa toimintaa, joka liittyy keskeisesti organisaation kokonaisturvallisuuteen, tietohallintoon ja yleiseen varautumiseen. Tutkielman teoriakatsauksessa perehdytään riskienhallintaan ja kokonaisturvallisuuteen painottaen ICT-varautumisen kannalta tärkeitä osa-alueita tietoturvallisuutta ja IT-riskienhallintaa. Kohdeorganisaation ICT-varautumisen toimintajärjestelmää varten kartoitetaan ICT-varautumisen viitekehys. Empiirisessä osiossa toteutetaan tapaustutkimuksena kohdeorganisaation ICT-varautumisen nykytilan suppea analyysi ja laaditaan kehittämisehdotelmana toimintamalli ICT-varautumisen organisoimiseksi ja käyttöönottamiseksi. Tutkielman tuotoksena kohdeorganisaatiolla on systemaattinen organisaation eri tasot huomioiva toimintamalli ICT-varautumisen toteuttamiseksi.

Riskien arvioinnin hyödyntäminen yrityksen tietoturvaohjeiston uudistamisessa

Tietoturvallisuus on prosessi, jonka tavoitteena on turvata yrityksen liiketoiminnassa käytettävän tiedon luottamuksellisuus, eheys ja käytettävyys. Tietoturvallisuutta johdetaan hallintajärjestelmällä, johon riskien arviointi ja tietoturvaohjeisto kuuluvat. Työssä tutkitaan, kuinka tietoturvaohjeiston dokumentteja voidaan kehittää tietoturvariskien arvioinnin avulla. Työn käytännön osuudessa suoritetaan Kemppi-konsernissa tietoriskien arviointi, jonka perusteella uudistetaan konsernin tietoturvaohjeistoa ja annetaan jatkosuositukset tietoturvallisuuden kehittämisestä.

Microsoftin pilvipalvelut pk-yrityksen päätelaite- ja tiedonhallinnassa

Diplomityössä tutkittiin Microsoftin pilvipalveluiden käyttöä pk-yrityksen päätelaitteiden hallinnassa sekä yrityksen tiedonhallinnassa. Kohdeyrityksenä oli pk-yritys, jolla on ollut Microsoftin pilvipalveluita käytössä jo useamman vuoden ajan. Pilvipalveluiden nopean päivitystahdin myötä uusimpien ominaisuuksien hyödyntäminen on suurelta osin jäänyt tekemättä. Tutkimus päädyttiin rajaamaan kohdeyrityksessä tehdyn vaatimusmäärittelyn mukaisiin tapauksiin, joihin pyrittiin etsimään vastauksia Microsoftin pilvipalveluiden tämän hetken ominaisuuksien avulla. Tutkimus toteutettiin tutustumalla kirjallisuuden avulla pilvitoimintamallin perusteisiin ja Microsoftin tarjoamiin pilvipalveluihin. Työn käytännön osuus toteutettiin useilla eri päätelaitteilla Office 365:den ja Windows Intunen muodostamassa testiympäristössä, jota laajennettiin Microsoft Azuren mahdollistamilla lisäominaisuuksilla. Pilvitoimintamallin yritykset taistelevat jatkuvasti käyttäjien luottamuksesta ja NSA:n vakoilutapauksen jälkeen palveluissa on tapahtunut paljon parannuksia. Tutkimuksessa todettiin erityisesti tiedon suojaamiskäytäntöjen ja hallintaominaisuuksien kehittyneen viime vuosina pilvitoimintamallin yritysten keskinäisen kilpailun myötä. Microsoftin pilvipalvelujen uudet ominaisuudet tarjoavat pk-yritysten käyttöön tehokkaita päätelaite- ja tiedonhallintaratkaisuja, joita on tähän asti ollut saatavilla vain suuryritysympäristöissä.

Tietoturvallisuuden hallintajärjestelmät terveydenhuollon organisaatiossa

Tietoturvallisuuden hallintajärjestelmä on organisaation laatujärjestelmän osa, joka keskittyy tietoturvallisuuteen liittyvien riskien hallintaan. Tässä työssä esitellään erityisesti terveydenhuoltoalaan liittyviä tietoturvavaatimuksia ja vertaillaan kuutta tietoturvallisuuden hallintajärjestelmämallia. Työssä tutkitaan millaisia eroja tietoturvallisuuden hallintajärjestelmien rakenteessa ja kattavuudessa on ja miten ne kykenevät vastaamaan terveydenhuoltoalan tietoturvaan liittyviin erityistarpeisiin. Lopputuloksena valitaan parhaiten soveltuva tietoturvallisuuden hallintajärjestelmä esimerkkiorganisaatiolle, joka on julkisomisteinen kuntoutusyhtiö. Arvioitavia hallintajärjestelmämalleja ovat TCSEC, ITSEC, Common Criteria, SOGP, VAHTI-ohjeet sekä ISO/IEC 27001 -standardiperhe. Tietoturvallisuuden hallintajärjestelmämalleja verrataan kahdesta aiemmasta tutkimuksesta sovellettujen vertailumallien pohjalta. Vertailun perusteella todetaan TCSEC, ITSEC ja Common Criteria –standardien olevan muita arvioituja hallintajärjestelmämalleja suppeampia ja soveltuvan parhaiten tekniseen tuotekehitystoimintaan. Laajempia SOGP-, VAHTI- ja ISO/IEC 27001 –malleja verrataan vielä erikseen terveydenhuollon sekä esimerkkiyrityksen erityistarpeisiin nähden ja lopputuloksena päädytään valitsemaan esimerkkiyritykselle parhaiten soveltuvaksi hallintajärjestelmämalliksi ISO/IEC 27001.

La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

Qualification et quantification de l'obligation de sécurité informationnelle dans la détermination de la faute civile

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.

PROTECT_U: Un système communautaire pour la protection des usagers de Facebook

Article publié dans le journal « Journal of Information Security Research ». March 2012.

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.