1. IDC IT Security Conference, Helsinki
Turvallisuus- ja yritysjohdon yhteistyö
19.9.2013
Jari Pirhonen
Turvallisuusjohtaja
Oy Samlink Ab
@japi999
2. Aiheita
• Näkemyksiä siitä, kuinka monimutkainen ja
tekniseksi mielletty tietoturvallisuus
kommunikoidaan yritysjohdolle
• Käytännön esimerkkejä tietoturvallisuuden
mittaamisesta, raportoinnista ja
päätöksenteosta tietoturvakriittisessä
organisaatiossa
• Kokemuksia tietoturvayhteistyöstä
johtoryhmän ja esimiesten kanssa
19.9.2013JaPi
2
5. Turvallisuusvastuut
• Turvallisuusjohtaja vastaa siitä, että konsernissa on
käytössä riittävät tietoturvaprosessit, –menetelmät ja –
ohjeistus. Turvallisuusosasto tukee organisaatiota
tietoturvan erityiskysymyksissä ja valvoo tietoturvan
toteutumista.
• Prosessien ja palveluiden omistajat vastaavat
kokonaisuudessaan omista prosesseistaan ja
palveluistaan, mukaan lukien tietoturvallisuus.
• Esimiehet vastaavat alaistensa turvallisuusohjeiden
mukaisesta toiminnasta ja riittävästä osaamisesta.
• Projektipäälliköt vastaavat projektityömallimme
mukaisesta tietoturvatehtävien toteuttamisesta.
• Turvallisuus on jokaisen vastuulla osana jokaisen
päivittäistä työtä.
19.9.2013JaPi
5
6. Hallitus
Turvallisuusjohtaja
Tietoturvallisuuden virtuaalitiimi
Yksiköiden johtajat
Esimiehet
Operatiivinen johto
Tietoturvallisuuden ohjausryhmä
Henkilöstö
Vaatimukset
Periaatteet
Ohjeistus
Kehitys
Tietoisuus
Organisointi
Suunnittelu
Sitoutus
Toteutus
Turvallinen toiminta
Havainnointi
Reagointi
Raportointi
Valvonta
Vaatimusten-
mukaisuus
Riskitaso
Strategia
Tavoitteet
Vastuut
SUUNNITTELU
TOTEUTUS
VALVONTA
KEHITYS
source: japi
Mittaaminen
Arviointi
MIETI
SUOJAA
TOIMI
HUOMAA
19.9.2013JaPi
6
10. Onko tietoturva kilpailutekijä?
Tuottavuuden määritelmä: Kuka pystyy toisten kanssa
samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan
eniten ja alimmilla yksikkökustannuksilla tavoitellun
laatutason täyttävää tuotetta ja hallitsemaan riskit.
• Tietoturva EI ole kilpailutekijä, jos:
• Ratkaisut ovat tuotelähtöisiä
• Seurataan sokeasti ”parhaita käytäntöjä”
• Tehdään samaa kuin muutkin
• Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan
• Ratkaisujen tehokkuutta ei mitata
• Sinisen meren strategia myös
tietoturvallisuudessa –
kyseenalaista vanhat totuudet?
LUO
KOROSTA
POISTA
SUPISTA
19.9.2013JaPi
10