Turvallisuus- ja yritysjohdon yhteistyö
Upcoming SlideShare
Loading in...5
×
 

Turvallisuus- ja yritysjohdon yhteistyö

on

  • 369 views

IDC IT Security Conference 2013

IDC IT Security Conference 2013

Statistics

Views

Total Views
369
Views on SlideShare
363
Embed Views
6

Actions

Likes
0
Downloads
0
Comments
0

2 Embeds 6

http://www.linkedin.com 5
https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Plan – Do – Check – Act Strategy – Policy – Awareness – Implementation – Monitoring - Compliance

Turvallisuus- ja yritysjohdon yhteistyö Turvallisuus- ja yritysjohdon yhteistyö Presentation Transcript

  • IDC IT Security Conference, Helsinki Turvallisuus- ja yritysjohdon yhteistyö 19.9.2013 Jari Pirhonen Turvallisuusjohtaja Oy Samlink Ab @japi999
  • Aiheita • Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle • Käytännön esimerkkejä tietoturvallisuuden mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa • Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa 19.9.2013JaPi 2
  • Johtamista vai turvallisuusjohtamista? 19.9.2013JaPi 3
  • 19.9.2013JaPi 4
  • Turvallisuusvastuut • Turvallisuusjohtaja vastaa siitä, että konsernissa on käytössä riittävät tietoturvaprosessit, –menetelmät ja – ohjeistus. Turvallisuusosasto tukee organisaatiota tietoturvan erityiskysymyksissä ja valvoo tietoturvan toteutumista. • Prosessien ja palveluiden omistajat vastaavat kokonaisuudessaan omista prosesseistaan ja palveluistaan, mukaan lukien tietoturvallisuus. • Esimiehet vastaavat alaistensa turvallisuusohjeiden mukaisesta toiminnasta ja riittävästä osaamisesta. • Projektipäälliköt vastaavat projektityömallimme mukaisesta tietoturvatehtävien toteuttamisesta. • Turvallisuus on jokaisen vastuulla osana jokaisen päivittäistä työtä. 19.9.2013JaPi 5
  • Hallitus Turvallisuusjohtaja Tietoturvallisuuden virtuaalitiimi Yksiköiden johtajat Esimiehet Operatiivinen johto Tietoturvallisuuden ohjausryhmä Henkilöstö Vaatimukset Periaatteet Ohjeistus Kehitys Tietoisuus Organisointi Suunnittelu Sitoutus Toteutus Turvallinen toiminta Havainnointi Reagointi Raportointi Valvonta Vaatimusten- mukaisuus Riskitaso Strategia Tavoitteet Vastuut SUUNNITTELU TOTEUTUS VALVONTA KEHITYS source: japi Mittaaminen Arviointi MIETI SUOJAA TOIMI HUOMAA 19.9.2013JaPi 6
  • Tietoturvatavoitteiden lähtökohdat • Konsernistrategian tavoitteet • Mm. palveluintegraattorin rooli, asiakassynergia, moniasiakasjärjestelmät, kustannustehokkuus • Konsernin tuloskortti ja prioriteetit • Mm. asiakastyytyväisyys, tärkeät projektit • Ulkoiset vaatimukset • Lainsäädäntö, viranomaiset, toimiala • Tunnistetut riskit • Riskienhallinta, ulkoiset auditoinnit • Tietoturvamittarit • Mm. ISF Security Benchmark 19.9.2013JaPi 7
  • Onko tietoturva kunnossa? • Turvallisuuskatsaukset • Konsernin hallitus 2 krt/v. • Omistaja-asiakkaiden tarkastuslautakunnalle 2 krt/v. • Toimitusjohtajalle (raportti + 1 h face-to-face läpikäynti) • Konsernin johtoryhmälle (15-30 min) • Yksiköiden johtoryhmille (mahdollisuuksien mukaan, 30 min) • Tietoturvallisuuden virtuaalitiimille (30 min) • Koko henkilöstölle (TurvaBlogi, toimitusjohtaja-info) • Tietoturvallisuus osana konsernin riskienhallintaa • Tietoturvallisuus osana projektityömallia • Kumppaneilla turvallisuussopimus, sanktioidut mittarit, raportointivelvoite • Mittareita: asiakastyytyväisyys, jatkuvuussuunnitelmien tilanne, tietoturvapoikkeamat, tarkastushavainnot, Internet- rajapinnan tietoturvastatus, sisäverkon tietoturvastatus, käyttövaltuudet, ISF Security Benchmark, … 19.9.2013JaPi 8
  • Investointipäätökset • Toimenpidesuunnitelma • Riskiarvio • Kustannuslaskelma • Tarvittavat resurssit • ROSI? • Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva 19.9.2013JaPi 9
  • Onko tietoturva kilpailutekijä? Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. • Tietoturva EI ole kilpailutekijä, jos: • Ratkaisut ovat tuotelähtöisiä • Seurataan sokeasti ”parhaita käytäntöjä” • Tehdään samaa kuin muutkin • Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan • Ratkaisujen tehokkuutta ei mitata • Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? LUO KOROSTA POISTA SUPISTA 19.9.2013JaPi 10
  • Tekniikka TekniikkaBusiness Business ITTARIT OMMUNIKOINTI EHTÄVÄT MISET ARKOITUS Tietoturvafokus? Lähde: ISF, Role of Information Security in the Enterprise 19.9.2013JaPi 11
  • 360-asteen analyysi 19.9.2013JaPi 12
  • 19.9.2013JaPi Huolestuneet riskien välttelijät Älä tuhlaa aikaasi täällä Varman päälle pelaajat Keskity korjaamaan huonot tavat Huolettomat seikkailijat Määrää – älä keskustele Toiveikkaat riskinottajat Keskustele, perustele, ohjaa 44% 22% 16% 18%Lähde: HM Revenue & Customs Kuinka ”johdetaan” johtoryhmää? 13
  • 19.9.2013JaPi Looginen Analyyttinen Faktoihin perustava Kvantitatiivinen Suoraviivainen Holistinen Intuitiivinen Integroiva Syntetisoiva Kyseenalaistava Järjestelmällinen Organisoitunut Yksityiskohtainen Suunnitelmallinen Kyselijä Tunteikas Fiiliksiin perustava Ihmissuhteisiin perustava Tarinankertoja Elehtijä Kuinka huomioida ihmistyypit? 14
  • • Ulkoiset vaatimukset vs. riskien hallinta • Tietoturvariskien tunnistaminen • Monimutkaisuuden hallinta, tilannekuva • Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle • Tietoturvallisuus huomiointi ajoissa • Sopimukset, kumppanuudet, tuotevalinnat, projektit,… • ”Kuorrutus” vs. ”sisään leivottu” tietoturva • Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus • Tietojen omistajuus • Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt • Mittaaminen, raportointi • Tietoturvallisuus vs. IT turvallisuus Käytännössä havaittuja johtamishaasteita 19.9.2013JaPi 15
  • • Tietoturvafokus on muuttunut/muuttumassa teknologialähtöisyydestä liiketoimintalähtöiseksi • Tietoturvan tarkoitus  organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut • Ihmisten osaamistarve  liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus • Tehtävät  riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi • Kommunikointi  riskiperustainen tietoturvatietoisuus • Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus Muutos on jatkuvaa… 19.9.2013JaPi 16
  • Teknisestä asiantuntijasta tietoturvajohtajaksi 19.9.2013JaPi 17 Lähde: ISF, The Modern CISO