Turvallisuus- ja yritysjohdon yhteistyö

  • 140 views
Uploaded on

IDC IT Security Conference 2013

IDC IT Security Conference 2013

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
140
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Plan – Do – Check – Act Strategy – Policy – Awareness – Implementation – Monitoring - Compliance

Transcript

  • 1. IDC IT Security Conference, Helsinki Turvallisuus- ja yritysjohdon yhteistyö 19.9.2013 Jari Pirhonen Turvallisuusjohtaja Oy Samlink Ab @japi999
  • 2. Aiheita • Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle • Käytännön esimerkkejä tietoturvallisuuden mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa • Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa 19.9.2013JaPi 2
  • 3. Johtamista vai turvallisuusjohtamista? 19.9.2013JaPi 3
  • 4. 19.9.2013JaPi 4
  • 5. Turvallisuusvastuut • Turvallisuusjohtaja vastaa siitä, että konsernissa on käytössä riittävät tietoturvaprosessit, –menetelmät ja – ohjeistus. Turvallisuusosasto tukee organisaatiota tietoturvan erityiskysymyksissä ja valvoo tietoturvan toteutumista. • Prosessien ja palveluiden omistajat vastaavat kokonaisuudessaan omista prosesseistaan ja palveluistaan, mukaan lukien tietoturvallisuus. • Esimiehet vastaavat alaistensa turvallisuusohjeiden mukaisesta toiminnasta ja riittävästä osaamisesta. • Projektipäälliköt vastaavat projektityömallimme mukaisesta tietoturvatehtävien toteuttamisesta. • Turvallisuus on jokaisen vastuulla osana jokaisen päivittäistä työtä. 19.9.2013JaPi 5
  • 6. Hallitus Turvallisuusjohtaja Tietoturvallisuuden virtuaalitiimi Yksiköiden johtajat Esimiehet Operatiivinen johto Tietoturvallisuuden ohjausryhmä Henkilöstö Vaatimukset Periaatteet Ohjeistus Kehitys Tietoisuus Organisointi Suunnittelu Sitoutus Toteutus Turvallinen toiminta Havainnointi Reagointi Raportointi Valvonta Vaatimusten- mukaisuus Riskitaso Strategia Tavoitteet Vastuut SUUNNITTELU TOTEUTUS VALVONTA KEHITYS source: japi Mittaaminen Arviointi MIETI SUOJAA TOIMI HUOMAA 19.9.2013JaPi 6
  • 7. Tietoturvatavoitteiden lähtökohdat • Konsernistrategian tavoitteet • Mm. palveluintegraattorin rooli, asiakassynergia, moniasiakasjärjestelmät, kustannustehokkuus • Konsernin tuloskortti ja prioriteetit • Mm. asiakastyytyväisyys, tärkeät projektit • Ulkoiset vaatimukset • Lainsäädäntö, viranomaiset, toimiala • Tunnistetut riskit • Riskienhallinta, ulkoiset auditoinnit • Tietoturvamittarit • Mm. ISF Security Benchmark 19.9.2013JaPi 7
  • 8. Onko tietoturva kunnossa? • Turvallisuuskatsaukset • Konsernin hallitus 2 krt/v. • Omistaja-asiakkaiden tarkastuslautakunnalle 2 krt/v. • Toimitusjohtajalle (raportti + 1 h face-to-face läpikäynti) • Konsernin johtoryhmälle (15-30 min) • Yksiköiden johtoryhmille (mahdollisuuksien mukaan, 30 min) • Tietoturvallisuuden virtuaalitiimille (30 min) • Koko henkilöstölle (TurvaBlogi, toimitusjohtaja-info) • Tietoturvallisuus osana konsernin riskienhallintaa • Tietoturvallisuus osana projektityömallia • Kumppaneilla turvallisuussopimus, sanktioidut mittarit, raportointivelvoite • Mittareita: asiakastyytyväisyys, jatkuvuussuunnitelmien tilanne, tietoturvapoikkeamat, tarkastushavainnot, Internet- rajapinnan tietoturvastatus, sisäverkon tietoturvastatus, käyttövaltuudet, ISF Security Benchmark, … 19.9.2013JaPi 8
  • 9. Investointipäätökset • Toimenpidesuunnitelma • Riskiarvio • Kustannuslaskelma • Tarvittavat resurssit • ROSI? • Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva 19.9.2013JaPi 9
  • 10. Onko tietoturva kilpailutekijä? Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. • Tietoturva EI ole kilpailutekijä, jos: • Ratkaisut ovat tuotelähtöisiä • Seurataan sokeasti ”parhaita käytäntöjä” • Tehdään samaa kuin muutkin • Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan • Ratkaisujen tehokkuutta ei mitata • Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? LUO KOROSTA POISTA SUPISTA 19.9.2013JaPi 10
  • 11. Tekniikka TekniikkaBusiness Business ITTARIT OMMUNIKOINTI EHTÄVÄT MISET ARKOITUS Tietoturvafokus? Lähde: ISF, Role of Information Security in the Enterprise 19.9.2013JaPi 11
  • 12. 360-asteen analyysi 19.9.2013JaPi 12
  • 13. 19.9.2013JaPi Huolestuneet riskien välttelijät Älä tuhlaa aikaasi täällä Varman päälle pelaajat Keskity korjaamaan huonot tavat Huolettomat seikkailijat Määrää – älä keskustele Toiveikkaat riskinottajat Keskustele, perustele, ohjaa 44% 22% 16% 18%Lähde: HM Revenue & Customs Kuinka ”johdetaan” johtoryhmää? 13
  • 14. 19.9.2013JaPi Looginen Analyyttinen Faktoihin perustava Kvantitatiivinen Suoraviivainen Holistinen Intuitiivinen Integroiva Syntetisoiva Kyseenalaistava Järjestelmällinen Organisoitunut Yksityiskohtainen Suunnitelmallinen Kyselijä Tunteikas Fiiliksiin perustava Ihmissuhteisiin perustava Tarinankertoja Elehtijä Kuinka huomioida ihmistyypit? 14
  • 15. • Ulkoiset vaatimukset vs. riskien hallinta • Tietoturvariskien tunnistaminen • Monimutkaisuuden hallinta, tilannekuva • Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle • Tietoturvallisuus huomiointi ajoissa • Sopimukset, kumppanuudet, tuotevalinnat, projektit,… • ”Kuorrutus” vs. ”sisään leivottu” tietoturva • Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus • Tietojen omistajuus • Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt • Mittaaminen, raportointi • Tietoturvallisuus vs. IT turvallisuus Käytännössä havaittuja johtamishaasteita 19.9.2013JaPi 15
  • 16. • Tietoturvafokus on muuttunut/muuttumassa teknologialähtöisyydestä liiketoimintalähtöiseksi • Tietoturvan tarkoitus  organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut • Ihmisten osaamistarve  liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus • Tehtävät  riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi • Kommunikointi  riskiperustainen tietoturvatietoisuus • Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus Muutos on jatkuvaa… 19.9.2013JaPi 16
  • 17. Teknisestä asiantuntijasta tietoturvajohtajaksi 19.9.2013JaPi 17 Lähde: ISF, The Modern CISO