793 resultados para information security management system
Resumo:
Työn keskeisimpänä tavoitteena on tutkia SIEM-järjestelmien (Security Information and Event Management) käyttömahdollisuuksia PCI DSS -standardissa (Payment Card IndustryData Security Standard) lähtökohtaisesti ratkaisutoimittajan näkökulmasta. Työ on tehty Cygate Oy:ssä. SIEM on uusi tietoturvan ratkaisualue, jonka käyttöönottoa vauhdittavat erilaiset viralliset sääntelyt kuten luottokorttiyhtiöiden asettama PCI DSS -standardi. SIEM-järjestelmien avulla organisaatiot pystyvät keräämään valmistajariippumattomasti verkon systeemikomponenteista tapahtumatietoja, joiden avulla pystytään näkemään keskitetysti, mitä verkossa on tapahtunut. SIEM:ssa käsitellään sekä historiapohjaisia että reaaliaikaisia tapahtumia ja se toimii organisaatioiden keskitettynä tietoturvaprosessia tukevana hallintatyökaluna. PCI DSS -standardi on hyvin yksityiskohtainen ja sen vaatimusten täyttäminen ei ole yksinkertaista. Vaatimuksenmukaisuutta ei saavuteta hetkessä, vaan siihen liittyvä projekti voi kestää viikoista kuukausiin. Standardin yksi haasteellisimmista asioista on keskitetty lokien hallinta. Maksukorttitietoja käsittelevien ja välittävien organisaatioiden on kerättävä kaikki audit-lokit eri järjestelmistä, jotta maksukorttitietojen käyttöä pystytään luottamuksellisesti seuraamaan. Standardin mukaan organisaatioiden tulee käyttää myös tunkeutumisen ja haavoittuvuuksien havainnointijärjestelmiä mahdollisten tietomurtojen havaitsemiseksi ja estämiseksi. SIEM-järjestelmän avulla saadaan täytettyä PCI DSS -standardin vaativimpia lokien hallintaan liittyviä vaatimuksia ja se tuo samallamonia yksityiskohtaisia parannuksia tukemaan muita standardin vaatimuskohtia. Siitä voi olla hyötyä mm. tunkeutumisen ja haavoittuvuuksien havainnoinnissa. SIEM-järjestelmän hyödyntäminen standardin apuna on kuitenkin erittäin haasteellista. Käyttöönotto vaatii tarkkaa etukäteissuunnittelua ja kokonaisuuksien ymmärtämistä niin ratkaisutoimittajan kuin ratkaisun käyttöönottajan puolelta.
Resumo:
Työn tavoitteena oli perehtyä innovaatiojohtamisen ja järjestelmän soveltamiseen prosessiteollisuuden toimintaympäristöön. Kirjallisuuslähteitä apuna käyttäen perehdyttiin liiketoimintaympäristön innovaatiojohtamiselle asettamiin vaatimuksiin ja erilaisiin innovaatiojärjestelmiin. Olennaisena osana innovaatiojohtamiseen liittyy sidosryhmien tarpeiden ja niiden tarjoamien resurssien huomioiminen toiminnassa. Myöskin tuotekehityksen menetelmät ja työkalut ovat omalta osaltaan merkittävässä asemassa toiminnan tehokkuutta arvioitaessa. Innovaatiojärjestelmä tulee sopeuttaa yrityksen toimintoihin ja sen erityispiirteet huomioonottaen siten, että toiminnan johtaminen prosessina tuo yritykselle ja sen sidosryhmille lisäarvoa. Innovaatiojärjestelmän luominen yritykselle on ainayksilöllinen prosessi ja siihen ei ole olemassa yleispätevää menetelmää, joka voitaisiin ottaa käyttöön sellaisenaan. Yritys, jonka liiketoiminta keskittyy kuitupohjaisten pakkausmateriaalien valmistamiseen, joutuu täyttämään toiminnassaan materiaalintoimittajien, omien tuotantoprosessiensa ja asiakkaiden sekä jopa loppukäyttäjien uusille tuotteille luomat odotukset. Innovaatiojohtamista sävyttää toiminnan tulosten suuri epävarmuus ja sen vaativien aineellisten ja henkisten resurssien mittavuus. Innovaatiotoiminnan johtaminen prosessina, käyttäen hyväksi järjestelmämallia, tavoittelee systemaattista ja asetettujen kriteerien täyttämää lähestymistapaa tuotekehityksen ja uusien liiketoimintainnovaatioiden alueella. Kehitetyn mallin tulee palvella monimutkaista liiketoimintaympäristöä, jokatoisaalta perustuu tehokkaaseen massatuotantoon ja toisaalta pyrkii erilaistumaan palvelemalla sekä huomioimalla asiakkaidensa tuotteille asettamat vaatimukset.
Resumo:
Diplomityössä on tutkittu sulautetun järjestelmän liittämistä Ethernet-verkkoon sekä TCP/IP-protokollapinoon kuuluvien tavallisimpien protokollien toimintaa. Työn tuloksien perusteella on suunniteltu harjoitustyö, jota voidaan käyttää sähkötekniikan osaston opetuksessa. Työssä hankittiin Atmelin sulautettu Web-serverikortti (EWS) ja STK500-kortti serverin ohjelmointiin. Serverin mukana tuli Internet-yhteyden mahdollistava TCP/IP-pinon lähdekoodi. Työssä selvitettiin TCP/IP:hen kuuluvien protokollien toimintaa teoriassa ja käytännön toteutusta EWS:n avulla. Lähdekoodiin lisättiin ominaisuudet, joiden avulla laite hakee kellonaikatiedot aikapalvelimelta time-protokollaa käyttäen ja lähettää sähköpostia määriteltyyn osoitteeseen sähköpostipalvelimen kautta. Laitetta käytettiin sekä palvelimena että asiakkaana. Työssä perehdyttiin sulautettujen järjestelmien yleisiin ominaisuuksiin ja erilaisiin verkonhallinnan apuohjelmiin. Työssä tutkittiin palvelin- ja asiakaskoneen välillä Ethernetissä kulkevaa verkkoliikennettä. Työssä minimoitiin protokollatiedostojen viemä tila prosessorin muistista ja tutkittiin Internet-yhteyden kuluttamien kellojaksojen määrää. Työssä selvitettiin tietoturva-kysymysten merkitystä ja toteutusta sulautetuissa järjestelmissä.
Resumo:
Elektroninen kaupankäynti ja pankkipalvelut ovat herättäneet toiminnan jatkuvuuden kannalta erittäin kriittisen kysymyksen siitä, kuinka näitä palveluja pystytään suojaamaan järjestäytynyttä rikollisuutta ja erilaisia hyväksikäyttöjä vastaan.
Resumo:
Hyvällä sisällönhallinnalla on mahdollista vaikuttaa myönteisesti liiketoiminnalliseen tulokseen, jos sisällönhallinnan eri vaikutusmahdollisuudet tunnistetaan. Kun organisaatiossa syntyvä tieto on vapaasti saatavilla, ja sitä voidaan tulkita ja hyödyntää erilaisiin tarpeisiin, tietojärjestelmän avulla voidaan vauhdittaa kehitystä ja uuden tiedon löytämistä. Tiedon keskeisin tehtävä on kehittää ja parantaa organisaation osaamista, jolloin pitää olla tietoa siitä, mitä, miksi ja kuinka tietoa on käytetty organisaatiossa. Kaiken liiketoimintaprosesseissa tuotetun tiedon kohdalla pitäisi miettiä kolmea tiedonhallinnan osa-aluetta: tiedon luontia, hallintaa ja hyödyntämistä. Tavoitteena on saavuttaa yrityksen määrämuotoisen tietopääoman paras mahdollinen hallinta.Työssä kuvataan sitä, mitä sisällönhallinta on, sen eri tasoja, sen käsitteellistä sijoittumista tietämyksenhallintaan, sisällönhallinnan järjestelmiä ja niiden merkitystä liiketoimintaprosesseissa. Lisäksi tarkastellaan niitä syitä, joiden vuoksi yritykset kiinnostuvat organisaatiossa olevan määrämuotoisen tiedon sisällönhallinnasta. Lopuksi analysoidaan, millaisia voivat olla liiketoiminnalliset, kilpailulliset tai rahalliset tavoitteet, joita asetetaan sisällönhallinnan tietojärjestelmäprojektille. Työn tueksi on haastateltu neljän suomalaisen suuryrityksen sisällönhallinnan tietojärjestelmäprojektin asiantuntijoita. Heidän kommenttejaan on analysoitu ja niiden perusteella on tehty johtopäätöksiä niistä syistä, joiden vuoksi yritykset yleensä sijoittavat resurssejaan sisällönhallintaan.
Resumo:
Projektin johtaminen informaatioaikakaudella merkitsee, yhä useammassa tapauksessa, virtuaalisen verkoston tietämyksen hallitsemista ja johtamista. Kolmannen sukupolven matkaviestinverkon rakentaminen on virtuaaliverkostoa hyväkseen käyttävä projekti, joka koostuu lukuisista osapuolista.Matkaviestinverkkoprojektien laajentuminen ja kilpailun kiristyminen alalla ovat nostaneet knowledge management -järjestelmien kysyntää. Kysyntä kohdistuu voimakkaimmin järjestelmiin, joiden avulla matkaviestinverkkotoimitusprojektin kaikki toiminnot pystytään käsittelemään yhdessä järjestelmässä. Tämän tutkimuksen pääasiallisena tavoitteena on ollut selvittää keskeisimmät vaatimukset kolmannen sukupolven matkaviestinverkon rakentamisprojektin knowledge management ?järjestelmälle. Tutkimus toteutettiin kirjallisuuden ja avoimien teemahaastattelujen avulla, käyttäen kvalitatiivisiä tutkimusmenetelmiä.Haastattelut osoittivat, että tärkeimmät vaatimukset kolmannen sukupolven matkaviestinverkkoja rakentavan projektiorganisaation knowledge management -järjestelmälle ovat: 1. Knowledge management -järjestelmän tulee toimia keskitettynä tietovarastona.2. Projektissa käsiteltävään tietoon on pystyttävä porautumaan vähintään prosessi- ja paikkatietoon pohjautuvista näkökulmista. 3. Pääsyn knowledge management -järjestelmään tulee olla mahdollista kaikille projektin osapuolille.4. Pääsyn knowledge management -järjestelmään tulee olla mahdollista mistä tahansa ja mihin kellonaikaan tahansa.5. Knowledge management -järjestelmän käyttöliittymän tulee olla mahdollisimman yksinkertainen. Järjestelmän tulee olla yhteydessä organisaatioiden muihin järjestelmiin.
Resumo:
The main objective of this study is to assess the potential of the information technology industry in the Saint Petersburg area to become one of the new key industries in the Russian economy. To achieve this objective, the study analyzes especially the international competitiveness of the industry and the conditions for clustering. Russia is currently heavily dependent on its natural resources, which are the main source of its recent economic growth. In order to achieve good long-term economic performance, Russia needs diversification in its well-performing industries in addition to the ones operating in the field of natural resources. The Russian government has acknowledged this and started special initiatives to promote such other industries as information technology and nanotechnology. An interesting industry that is basically less than 20 years old and fast growing in Russia, is information technology. Information technology activities and markets are mainly concentrated in Russia’s two biggest cities, Moscow and Saint Petersburg, and areas around them. The information technology industry in the Saint Petersburg area, although smaller than Moscow, is especially dynamic and is gaining increasing foreign company presence. However, the industry is not yet internationally competitive as it lacks substantial and sustainable competitive advantages. The industry is also merely a potential global information technology cluster, as it lacks the competitive edge and a wide supplier and manufacturing base and other related parts of the whole information technology value system. Alone, the industry will not become a key industry in Russia, but it will, on the other hand, have an important supporting role for the development of other industries. The information technology market in the Saint Petersburg area is already large and if more tightly integrated to Moscow, they will together form a huge and still growing market sufficient for most companies operating in Russia currently and in the future. Therefore, the potential of information technology inside Russia is immense.
Resumo:
Peer-reviewed
Resumo:
Peer-reviewed
Resumo:
Lainsäädäntö velvoittaa valtionhallintoa huolehtimaan riittävästä ICT-varautumisesta, jotta yhteiskunnan kriittiset toiminnot ovat turvattu normaaliolojen lisäksi normaaliolojen häiriötilanteissa ja poikkeusoloissa. ICT-varautumisen vaatimukset on määrätty VAHTI ICT-varautumisen vaatimukset - ohjeessa. ICT-varautuminen on riskienhallintaan perustuvaa toimintaa, joka liittyy keskeisesti organisaation kokonaisturvallisuuteen, tietohallintoon ja yleiseen varautumiseen. Tutkielman teoriakatsauksessa perehdytään riskienhallintaan ja kokonaisturvallisuuteen painottaen ICT-varautumisen kannalta tärkeitä osa-alueita tietoturvallisuutta ja IT-riskienhallintaa. Kohdeorganisaation ICT-varautumisen toimintajärjestelmää varten kartoitetaan ICT-varautumisen viitekehys. Empiirisessä osiossa toteutetaan tapaustutkimuksena kohdeorganisaation ICT-varautumisen nykytilan suppea analyysi ja laaditaan kehittämisehdotelmana toimintamalli ICT-varautumisen organisoimiseksi ja käyttöönottamiseksi. Tutkielman tuotoksena kohdeorganisaatiolla on systemaattinen organisaation eri tasot huomioiva toimintamalli ICT-varautumisen toteuttamiseksi.
Resumo:
This study examines information security as a process (information securing) in terms of what it does, especially beyond its obvious role of protector. It investigates concepts related to ‘ontology of becoming’, and examines what it is that information securing produces. The research is theory driven and draws upon three fields: sociology (especially actor-network theory), philosophy (especially Gilles Deleuze and Félix Guattari’s concept of ‘machine’, ‘territory’ and ‘becoming’, and Michel Serres’s concept of ‘parasite’), and information systems science (the subject of information security). Social engineering (used here in the sense of breaking into systems through non-technical means) and software cracker groups (groups which remove copy protection systems from software) are analysed as examples of breaches of information security. Firstly, the study finds that information securing is always interruptive: every entity (regardless of whether or not it is malicious) that becomes connected to information security is interrupted. Furthermore, every entity changes, becomes different, as it makes a connection with information security (ontology of becoming). Moreover, information security organizes entities into different territories. However, the territories – the insides and outsides of information systems – are ontologically similar; the only difference is in the order of the territories, not in the ontological status of entities that inhabit the territories. In other words, malicious software is ontologically similar to benign software; they both are users in terms of a system. The difference is based on the order of the system and users: who uses the system and what the system is used for. Secondly, the research shows that information security is always external (in the terms of this study it is a ‘parasite’) to the information system that it protects. Information securing creates and maintains order while simultaneously disrupting the existing order of the system that it protects. For example, in terms of software itself, the implementation of a copy protection system is an entirely external addition. In fact, this parasitic addition makes software different. Thus, information security disrupts that which it is supposed to defend from disruption. Finally, it is asserted that, in its interruption, information security is a connector that creates passages; it connects users to systems while also creating its own threats. For example, copy protection systems invite crackers and information security policies entice social engineers to use and exploit information security techniques in a novel manner.
Resumo:
This study is based on a large survey study of over 1500 Finnish companies’ usage, needs and implementation difficulties of management accounting systems. The study uses quantitative, qualitative and mixed methods to answer the research questions. The empirical data used in the study was gathered through structured interviews with randomly selected companies of varying sizes and industries. The study answers the three research questions by analyzing the characteristics and behaviors of companies working in Finland. The study found five distinctive groups of companies according to the characteristics of their cost information and management accounting system use. The study also showed that the state of cost information and management accounting systems depends on the industry and size of the companies. It was found that over 50% of the companies either did not know how their systems could be updated or saw systems as inadequate. The qualitative side also highlighted the needs for tailored and integrated management accounting systems for creating more value to the managers of companies. The major inhibitors of new system implementation were the lack of both monetary and human resources. Through the use of mixed methods and design science a new and improved sophistication model is created based on previous research results combined with the information gathered from previous literature. The sophistication model shows the different stages of management accounting systems in use and what companies can achieve with the implementation and upgrading of their systems.
Resumo:
Inside cyber security threats by system administrators are some of the main concerns of organizations about the security of systems. Since operating systems are controlled and managed by fully trusted administrators, they can negligently or intentionally break the information security and privacy of users and threaten the system integrity. In this thesis, we propose some solutions for enhancing the security of Linux OS by restricting administrators’ access to superuser’s privileges while they can still manage the system. We designed and implemented an interface for administrators in Linux OS called Linux Admins’ User Interface (LAUI) for managing the system in secure ways. LAUI along with other security programs in Linux like sudo protect confidentiality and integrity of users’ data and provide a more secure system against administrators’ mismanagement. In our model, we limit administrators to perform managing tasks in secure manners and also make administrators accountable for their acts. In this thesis we present some scenarios for compromising users’ data and breaking system integrity by system administrators in Linux OS. Then we evaluate how our solutions and methods can secure the system against these administrators’ mismanagement.
Resumo:
Verkkopalveluiden ylläpitovaiheessa halutaan varmistua, etteivät palveluun tehdyt muutokset aiheuta verkkopalvelussa virhetilanteita ja palvelu toimii moitteetta. Muutoksen hyväksyntätestaus voidaan tehdä regressiotestauksena vertaamalla palvelun tilaa ennen ja jälkeen muutoksen. Sisältöpainotteisessa verkkopalvelussa testaaminen keskittyy loppukäyttäjälle esitetyn sivun semanttiseen sekä visuaaliseen oikeellisuuteen sekä erilaisiin toiminnallisiin testeihin. Työssä tarkastellaan etenkin suositulla WordPress-julkaisujärjestelmällä toteutettujen verkkopalveluiden ylläpitoa. Keskeisenä osana julkaisujärjestelmillä toteutettujen verkkopalveluiden ylläpitoa on julkaisujärjestelmän ja sitä täydentävien lisäosien päivittämistä ajantasaisiin versioihin. Nämä päivitykset paitsi tuovat uusia ominaisuuksia verkkopalvelun kehittäjille, myös paikkaavat järjestelmän tietoturvahaavoittuvuuksia sekä korjaavat aiemmissa versioissa esiintyneitä virheitä. Tässä työssä kehitettiin kohdeyrityksen aiempia verkkopalveluiden ylläpitoprosesseja niissä tunnistettujen kehityskohteiden perusteella. Uudistettu kokonaisuus jakautuu kahteen kokonaisuuteen: päivitystarpeen seurantaan sekä päivitysten tekemiseen. Päivitystarpeen seurantaa varten kehitettiin uusi työkalu helpottamaan kokonaiskuvan hahmottamista. Päivitysten tekemisen osalta työssä keskityttiin automatisoidun regressiotestauksen kehittämiseen, missä tärkeimpänä testauskeinona käytetään verkkopalvelusta tallennettujen kuvankaappausten vertailuun perustuvaa visuaalista testausta. Uusien ylläpitoprosesseille määriteltiin myös seurannan kohteet uudistuksen onnistumisen ja jatkokehityksen arviointia varten.
Resumo:
L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.
