SlideShare a Scribd company logo

Turvallisuus- ja yritysjohdon yhteistyö

Download as PPT, PDF
J
japijapi

IDC IT Security Conference 2013

1 of 17
IDC IT Security Conference, Helsinki Turvallisuus- ja yritysjohdon yhteistyö 19.9.2013 Jari Pirhonen Turvallisuusjohtaja Oy Samlink Ab @japi999
Aiheita • Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle • Käytännön esimerkkejä tietoturvallisuuden mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa • Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa 19.9.2013JaPi 2
Johtamista vai turvallisuusjohtamista? 19.9.2013JaPi 3
19.9.2013JaPi 4
Turvallisuusvastuut • Turvallisuusjohtaja vastaa siitä, että konsernissa on käytössä riittävät tietoturvaprosessit, –menetelmät ja – ohjeistus. Turvallisuusosasto tukee organisaatiota tietoturvan erityiskysymyksissä ja valvoo tietoturvan toteutumista. • Prosessien ja palveluiden omistajat vastaavat kokonaisuudessaan omista prosesseistaan ja palveluistaan, mukaan lukien tietoturvallisuus. • Esimiehet vastaavat alaistensa turvallisuusohjeiden mukaisesta toiminnasta ja riittävästä osaamisesta. • Projektipäälliköt vastaavat projektityömallimme mukaisesta tietoturvatehtävien toteuttamisesta. • Turvallisuus on jokaisen vastuulla osana jokaisen päivittäistä työtä. 19.9.2013JaPi 5
Hallitus Turvallisuusjohtaja Tietoturvallisuuden virtuaalitiimi Yksiköiden johtajat Esimiehet Operatiivinen johto Tietoturvallisuuden ohjausryhmä Henkilöstö Vaatimukset Periaatteet Ohjeistus Kehitys Tietoisuus Organisointi Suunnittelu Sitoutus Toteutus Turvallinen toiminta Havainnointi Reagointi Raportointi Valvonta Vaatimusten- mukaisuus Riskitaso Strategia Tavoitteet Vastuut SUUNNITTELU TOTEUTUS VALVONTA KEHITYS source: japi Mittaaminen Arviointi MIETI SUOJAA TOIMI HUOMAA 19.9.2013JaPi 6
Tietoturvatavoitteiden lähtökohdat • Konsernistrategian tavoitteet • Mm. palveluintegraattorin rooli, asiakassynergia, moniasiakasjärjestelmät, kustannustehokkuus • Konsernin tuloskortti ja prioriteetit • Mm. asiakastyytyväisyys, tärkeät projektit • Ulkoiset vaatimukset • Lainsäädäntö, viranomaiset, toimiala • Tunnistetut riskit • Riskienhallinta, ulkoiset auditoinnit • Tietoturvamittarit • Mm. ISF Security Benchmark 19.9.2013JaPi 7
Onko tietoturva kunnossa? • Turvallisuuskatsaukset • Konsernin hallitus 2 krt/v. • Omistaja-asiakkaiden tarkastuslautakunnalle 2 krt/v. • Toimitusjohtajalle (raportti + 1 h face-to-face läpikäynti) • Konsernin johtoryhmälle (15-30 min) • Yksiköiden johtoryhmille (mahdollisuuksien mukaan, 30 min) • Tietoturvallisuuden virtuaalitiimille (30 min) • Koko henkilöstölle (TurvaBlogi, toimitusjohtaja-info) • Tietoturvallisuus osana konsernin riskienhallintaa • Tietoturvallisuus osana projektityömallia • Kumppaneilla turvallisuussopimus, sanktioidut mittarit, raportointivelvoite • Mittareita: asiakastyytyväisyys, jatkuvuussuunnitelmien tilanne, tietoturvapoikkeamat, tarkastushavainnot, Internet- rajapinnan tietoturvastatus, sisäverkon tietoturvastatus, käyttövaltuudet, ISF Security Benchmark, … 19.9.2013JaPi 8
Investointipäätökset • Toimenpidesuunnitelma • Riskiarvio • Kustannuslaskelma • Tarvittavat resurssit • ROSI? • Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva 19.9.2013JaPi 9
Onko tietoturva kilpailutekijä? Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. • Tietoturva EI ole kilpailutekijä, jos: • Ratkaisut ovat tuotelähtöisiä • Seurataan sokeasti ”parhaita käytäntöjä” • Tehdään samaa kuin muutkin • Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan • Ratkaisujen tehokkuutta ei mitata • Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? LUO KOROSTA POISTA SUPISTA 19.9.2013JaPi 10
Tekniikka TekniikkaBusiness Business ITTARIT OMMUNIKOINTI EHTÄVÄT MISET ARKOITUS Tietoturvafokus? Lähde: ISF, Role of Information Security in the Enterprise 19.9.2013JaPi 11
360-asteen analyysi 19.9.2013JaPi 12
19.9.2013JaPi Huolestuneet riskien välttelijät Älä tuhlaa aikaasi täällä Varman päälle pelaajat Keskity korjaamaan huonot tavat Huolettomat seikkailijat Määrää – älä keskustele Toiveikkaat riskinottajat Keskustele, perustele, ohjaa 44% 22% 16% 18%Lähde: HM Revenue & Customs Kuinka ”johdetaan” johtoryhmää? 13
19.9.2013JaPi Looginen Analyyttinen Faktoihin perustava Kvantitatiivinen Suoraviivainen Holistinen Intuitiivinen Integroiva Syntetisoiva Kyseenalaistava Järjestelmällinen Organisoitunut Yksityiskohtainen Suunnitelmallinen Kyselijä Tunteikas Fiiliksiin perustava Ihmissuhteisiin perustava Tarinankertoja Elehtijä Kuinka huomioida ihmistyypit? 14
• Ulkoiset vaatimukset vs. riskien hallinta • Tietoturvariskien tunnistaminen • Monimutkaisuuden hallinta, tilannekuva • Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle • Tietoturvallisuus huomiointi ajoissa • Sopimukset, kumppanuudet, tuotevalinnat, projektit,… • ”Kuorrutus” vs. ”sisään leivottu” tietoturva • Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus • Tietojen omistajuus • Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt • Mittaaminen, raportointi • Tietoturvallisuus vs. IT turvallisuus Käytännössä havaittuja johtamishaasteita 19.9.2013JaPi 15
• Tietoturvafokus on muuttunut/muuttumassa teknologialähtöisyydestä liiketoimintalähtöiseksi • Tietoturvan tarkoitus  organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut • Ihmisten osaamistarve  liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus • Tehtävät  riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi • Kommunikointi  riskiperustainen tietoturvatietoisuus • Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus Muutos on jatkuvaa… 19.9.2013JaPi 16
Teknisestä asiantuntijasta tietoturvajohtajaksi 19.9.2013JaPi 17 Lähde: ISF, The Modern CISO

Recommended

Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13
japijapi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
japijapi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
japijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
japijapi
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom Turva
Kimmo Vesajoki
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021
japijapi
 
Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaan
Pietari Sarjakivi
 

Recommended

Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13
japijapi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
japijapi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
japijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
japijapi
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom Turva
Kimmo Vesajoki
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021
japijapi
 
Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaan
Pietari Sarjakivi
 
TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20
japijapi
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
japijapi
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22
japijapi
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020
japijapi
 
9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista
Sysart Oy
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
japijapi
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
Jyrki Kontio
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
japijapi
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
Kimmo Vesajoki
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
CGI Suomi
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
CGI Suomi
 
Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestaKokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisesta
japijapi
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Tuomas Tonteri
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
Thomas Malmberg
 
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudestaMika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Senaatti-kiinteistöt
 
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Sari Tappura
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
japijapi
 
Trend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaTrend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaa
Kimmo Vesajoki
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Kiwa Inspecta Suomi
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Sovelto
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdf
japijapi
 

More Related Content

What's hot

What's hot (12)

TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020
 
9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
 

Similar to Turvallisuus- ja yritysjohdon yhteistyö

Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Sari Tappura
 
Digimarkkinoinnin seminaari-kovala-31-3-2017
Digimarkkinoinnin seminaari-kovala-31-3-2017Digimarkkinoinnin seminaari-kovala-31-3-2017
Digimarkkinoinnin seminaari-kovala-31-3-2017
Timo Kovala
 
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Sinikka Pennanen
 
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Mirva Tapaninen
 

Similar to Turvallisuus- ja yritysjohdon yhteistyö (20)

Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestaKokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisesta
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
 
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudestaMika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
 
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Trend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaTrend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaa
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdf
 
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
 
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
ICTexpo 2015 Onko yrityksemme tietoturvan taso asiakkaidemme odotusten mukai...
 
Digimarkkinoinnin seminaari-kovala-31-3-2017
Digimarkkinoinnin seminaari-kovala-31-3-2017Digimarkkinoinnin seminaari-kovala-31-3-2017
Digimarkkinoinnin seminaari-kovala-31-3-2017
 
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
Mitä on tietoturva ja miksi se kiinnostaisi yritystäsi?
 
Finanssiala Big Datan hyödyntäjänä
Finanssiala Big Datan hyödyntäjänäFinanssiala Big Datan hyödyntäjänä
Finanssiala Big Datan hyödyntäjänä
 
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
 
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
 
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3
 
Turvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissaTurvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissa
 

More from japijapi

Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13
japijapi
 

More from japijapi (8)

Tietoturvakatsaus 2022
Tietoturvakatsaus 2022Tietoturvakatsaus 2022
Tietoturvakatsaus 2022
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
 
Aalto cyber-10.4.18
Aalto cyber-10.4.18Aalto cyber-10.4.18
Aalto cyber-10.4.18
 
Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017
 
Digitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössäDigitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössä
 
Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15
 
Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13
 
Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10
 

Turvallisuus- ja yritysjohdon yhteistyö

  • 1. IDC IT Security Conference, Helsinki Turvallisuus- ja yritysjohdon yhteistyö 19.9.2013 Jari Pirhonen Turvallisuusjohtaja Oy Samlink Ab @japi999
  • 2. Aiheita • Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle • Käytännön esimerkkejä tietoturvallisuuden mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa • Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa 19.9.2013JaPi 2
  • 5. Turvallisuusvastuut • Turvallisuusjohtaja vastaa siitä, että konsernissa on käytössä riittävät tietoturvaprosessit, –menetelmät ja – ohjeistus. Turvallisuusosasto tukee organisaatiota tietoturvan erityiskysymyksissä ja valvoo tietoturvan toteutumista. • Prosessien ja palveluiden omistajat vastaavat kokonaisuudessaan omista prosesseistaan ja palveluistaan, mukaan lukien tietoturvallisuus. • Esimiehet vastaavat alaistensa turvallisuusohjeiden mukaisesta toiminnasta ja riittävästä osaamisesta. • Projektipäälliköt vastaavat projektityömallimme mukaisesta tietoturvatehtävien toteuttamisesta. • Turvallisuus on jokaisen vastuulla osana jokaisen päivittäistä työtä. 19.9.2013JaPi 5
  • 6. Hallitus Turvallisuusjohtaja Tietoturvallisuuden virtuaalitiimi Yksiköiden johtajat Esimiehet Operatiivinen johto Tietoturvallisuuden ohjausryhmä Henkilöstö Vaatimukset Periaatteet Ohjeistus Kehitys Tietoisuus Organisointi Suunnittelu Sitoutus Toteutus Turvallinen toiminta Havainnointi Reagointi Raportointi Valvonta Vaatimusten- mukaisuus Riskitaso Strategia Tavoitteet Vastuut SUUNNITTELU TOTEUTUS VALVONTA KEHITYS source: japi Mittaaminen Arviointi MIETI SUOJAA TOIMI HUOMAA 19.9.2013JaPi 6
  • 7. Tietoturvatavoitteiden lähtökohdat • Konsernistrategian tavoitteet • Mm. palveluintegraattorin rooli, asiakassynergia, moniasiakasjärjestelmät, kustannustehokkuus • Konsernin tuloskortti ja prioriteetit • Mm. asiakastyytyväisyys, tärkeät projektit • Ulkoiset vaatimukset • Lainsäädäntö, viranomaiset, toimiala • Tunnistetut riskit • Riskienhallinta, ulkoiset auditoinnit • Tietoturvamittarit • Mm. ISF Security Benchmark 19.9.2013JaPi 7
  • 8. Onko tietoturva kunnossa? • Turvallisuuskatsaukset • Konsernin hallitus 2 krt/v. • Omistaja-asiakkaiden tarkastuslautakunnalle 2 krt/v. • Toimitusjohtajalle (raportti + 1 h face-to-face läpikäynti) • Konsernin johtoryhmälle (15-30 min) • Yksiköiden johtoryhmille (mahdollisuuksien mukaan, 30 min) • Tietoturvallisuuden virtuaalitiimille (30 min) • Koko henkilöstölle (TurvaBlogi, toimitusjohtaja-info) • Tietoturvallisuus osana konsernin riskienhallintaa • Tietoturvallisuus osana projektityömallia • Kumppaneilla turvallisuussopimus, sanktioidut mittarit, raportointivelvoite • Mittareita: asiakastyytyväisyys, jatkuvuussuunnitelmien tilanne, tietoturvapoikkeamat, tarkastushavainnot, Internet- rajapinnan tietoturvastatus, sisäverkon tietoturvastatus, käyttövaltuudet, ISF Security Benchmark, … 19.9.2013JaPi 8
  • 9. Investointipäätökset • Toimenpidesuunnitelma • Riskiarvio • Kustannuslaskelma • Tarvittavat resurssit • ROSI? • Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva 19.9.2013JaPi 9
  • 10. Onko tietoturva kilpailutekijä? Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. • Tietoturva EI ole kilpailutekijä, jos: • Ratkaisut ovat tuotelähtöisiä • Seurataan sokeasti ”parhaita käytäntöjä” • Tehdään samaa kuin muutkin • Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan • Ratkaisujen tehokkuutta ei mitata • Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? LUO KOROSTA POISTA SUPISTA 19.9.2013JaPi 10
  • 11. Tekniikka TekniikkaBusiness Business ITTARIT OMMUNIKOINTI EHTÄVÄT MISET ARKOITUS Tietoturvafokus? Lähde: ISF, Role of Information Security in the Enterprise 19.9.2013JaPi 11
  • 13. 19.9.2013JaPi Huolestuneet riskien välttelijät Älä tuhlaa aikaasi täällä Varman päälle pelaajat Keskity korjaamaan huonot tavat Huolettomat seikkailijat Määrää – älä keskustele Toiveikkaat riskinottajat Keskustele, perustele, ohjaa 44% 22% 16% 18%Lähde: HM Revenue & Customs Kuinka ”johdetaan” johtoryhmää? 13
  • 15. • Ulkoiset vaatimukset vs. riskien hallinta • Tietoturvariskien tunnistaminen • Monimutkaisuuden hallinta, tilannekuva • Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle • Tietoturvallisuus huomiointi ajoissa • Sopimukset, kumppanuudet, tuotevalinnat, projektit,… • ”Kuorrutus” vs. ”sisään leivottu” tietoturva • Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus • Tietojen omistajuus • Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt • Mittaaminen, raportointi • Tietoturvallisuus vs. IT turvallisuus Käytännössä havaittuja johtamishaasteita 19.9.2013JaPi 15
  • 16. • Tietoturvafokus on muuttunut/muuttumassa teknologialähtöisyydestä liiketoimintalähtöiseksi • Tietoturvan tarkoitus  organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut • Ihmisten osaamistarve  liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus • Tehtävät  riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi • Kommunikointi  riskiperustainen tietoturvatietoisuus • Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus Muutos on jatkuvaa… 19.9.2013JaPi 16

Editor's Notes

  1. Plan – Do – Check – Act Strategy – Policy – Awareness – Implementation – Monitoring - Compliance