Kokemuksia tietoturvallisuuden johtamisesta

313 views
213 views

Published on

Esitys ICT Leaders Finland ja ISACA FInladn yhteisseminarissa.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
313
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Kokemuksia tietoturvallisuuden johtamisesta

  1. 1. Kokemuksia tietoturvallisuuden johtamisesta ja yhteistyöstä yritysjohdon kanssa Tietoturvan johtaminen liiketoiminnan ja tietohallinnon yhteistyönä ILF ry + ISACA 13.2.2014 Jari Pirhonen CISA, CRISC turvallisuusjohtaja
  2. 2. Aiheet Tietoturvajohtajan/-päällikön muuttunut rooli Käytännön esimerkkejä tietoturvallisuuden johtamisesta, mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa JaPi 13.2.2014
  3. 3. xx xx JaPi 13.2.2014
  4. 4. CISO Tietoturvallisuuden nivoutuminen liiketoimintaan edellyttää tietoturvajohtajilta ja asiantuntijoilta uudenlaista osaamista Lähde: ISF, The Modern CISO, 2013 JaPi 13.2.2014
  5. 5. Tietoturvan johtaminen T a k t i n e n S t r a t e g i n e n O p e r a t i i v i n e n Raportointi Hallitus Strategia, resurssit Konsernin johtoryhmä Turvallisuusosasto Mittaaminen Valvonta Yksiköiden johtajat Yksiköiden joryt Seuranta Osastopäälliköt Henkilöstö JaPi / Turvallisuus - Luottamuksellinen Ohjaus (konserni) Ohjaus (yksikkö, osasto) Toteutus 9.2.2014
  6. 6. Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit johdetaan liiketoimintastrategiasta Konsernin riskienhallinta Tietoturva benchmark Konsernin tuloskortti Asiakastyytyväisyys tutkimus Turvallisuuden vuosisuunnitelma Strateginen toimenpide Turvallisuustoimenpide 1 Kustannukset / htp Aikataulu Strateginen toimenpide Turvallisuustoimenpide 2 Kustannukset / htp Aikataulu Strateginen toimenpide Turvallisuustoimenpide 3 Kustannukset / htp Henkilöstötyytyväisyys tutkimus Tietoturvaauditoinnit Henkilökohtaiset tavoitteet Tietoturvariskien hallinta ~ 30 toimenpidettä + palvelut + projektit Aikataulu JaPi 13.2.2014
  7. 7. Tilannekuva Tietoturvallisuus integroitu konsernin riskienhallintaan Tietoturvallisuus integroitu projektityömalliin Turvallisuustoiminnon mittareita mm. Asiakastyytyväisyys Havaitut tietoturvariskit Jatkuvuussuunnitelmien tilanne Tietoturvapoikkeamat Tarkastushavainnot Internet-rajapinnan tietoturvastatus Sisäverkon tietoturvastatus Käyttövaltuudet Tietoturvan vertailututkimus (ISF) Tietoturvakorjausten peitto JaPi 13.2.2014
  8. 8. Tietoturvatilanteesta ja toimenpiteistä kannattaa viestiä säännöllisesti kaikilla tasoilla - ei vain poikkeamatilanteissa Turvallisuuskatsaukset omistajille puolivuosittain Konsernin hallitus Omistaja-asiakkaiden tarkastuslautakunta Turvallisuuskatsaukset johdolle neljännesvuosittain Toimitusjohtaja Konsernin johtoryhmä Yksiköiden johtoryhmät Turvallisuuskatsaukset henkilöstölle neljännesvuosittain Koko henkilöstö (TurvaBlogi, TJ-info) Tietoturvallisuuden virtuaalitiimi JaPi 13.2.2014
  9. 9. Johtoryhmän kvartaaliraporttimalli Turvallisuuden ohjaus Koulutukset Tietoturvallisuuden virtuaalitiimin havainnot Auditointien tulokset sekä tarvittavat toimenpiteet Katsaus projektien tietoturvatilanteeseen Sidosryhmäyhteistyö Turvallisuuspalvelut asiakkaille Merkittävimmät toimenpiteet ja tuotokset Ajankohtaiset mittarit Poikkeamahavainnot ja toimenpiteet Tilannekuva Ajankohtaista tietoa tietoturvatilanteesta Kiitokset tietoturva-aktiivisuudesta Tulevat turvallisuustapahtumat ja toimenpiteet JaPi 13.2.2014
  10. 10. Kumppaniyhteistyö Tarkastukset ja arvioinnit: esim. ISF Security Survey Palvelun kokonaisseuranta: tietototurva-asioiden eskalointi Tietoturvallisuuden yhteistyökokoukset: jatkuva yhteistyö Sovitut toimintamallit: tietoturvavaatimusten toteutus, RACI Palvelun tietoturvaperiaatteet : sopimusvaatimukset käytännössä Palvelusopimus: SLA, mittarit, sanktiot Turvallisuussopimus: toimittajakohtainen, määräävä sopimus JaPi 13.2.2014
  11. 11. Investoinnit Toimenpidesuunnitelma Riskiarvio Kustannuslaskelma Tarvittavat resurssit ROSI? Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva Esim. Uhan arvioidaan toteutuvan 3 vuoden välein, ARO 33% Ilman suojausta toteutuneen uhan vaikutukset euroina 290-350 k€ Suojauksen ollessa käytössä vaikutukset 1-10 k€ Suojautumiskulut 4 k€/kk ROSI ~160 k€ (3 v) 64% varmuustasolla Break-even ARO 13% (uhka toteutuu 7-8 v. välein) 80% varmuustaso, jos ARO 50% (uhka toteutuu joka 2. vuosi) JaPi 13.2.2014
  12. 12. Tietoturva ei ole kilpailutekijä, jos seuraat sokeasti parhaita käytäntöjä tehden samaa kuin kaikki muutkin. Kyseenalaista! Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. Tietoturva EI ole kilpailutekijä, jos: Ratkaisut ovat tuotelähtöisiä Seurataan sokeasti ”parhaita käytäntöjä” Tehdään samaa kuin muutkin Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan Ratkaisujen tehokkuutta ei mitata Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? JaPi 13.2.2014
  13. 13. Turvallisuustoiminnon fokus? JaPi 13.2.2014
  14. 14. Fokus liiketoiminnassa Tietoturvan tarkoitus: Organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut Ihmisten osaamistarve: Liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus Tehtävät: Riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi Kommunikointi: Riskiperustainen tietoturvatietoisuus Mittarit : BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus JaPi 13.2.2014
  15. 15. Tietoturvajohtamisen haasteina ulkoiset vaatimukset suhteessa riskeihin ja keskijohdon tietoturvavastuun ulkoistusmentaliteetti Ulkoiset vaatimukset vs. riskien hallinta Tietoturvariskien tunnistaminen ja riittävän tietoturvatason määrittely Monimutkaisuuden hallinta Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle - omistajuus? Tietoturvallisuus huomiointi ajoissa Sopimukset, kumppanuudet, tuotevalinnat, projektit,… ”Kuorrutus” vs. ”sisään leivottu” tietoturva Projektin intressit vs. konsernin intressit Tietoturvan integrointi olemattomaan prosessiin Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt Hyödyllisten mittareiden valinta - tilannekuva JaPi 13.2.2014
  16. 16. Organisaation johtoryhmään valikoituu usein ’toiveikkaita riskinottajia’ - vaativat perusteluja ja keskustelua 44% 22% Huolestuneet riskien välttelijät Varman päälle pelaajat Keskity korjaamaan huonot tavat Älä tuhlaa aikaasi täällä Huolettomat seikkailijat Toiveikkaat riskinottajat Määrää – älä keskustele Keskustele, perustele, ohjaa 16% 18% Lähde: HM Revenue & Customs JaPi 13.2.2014
  17. 17. Yhteenveto Tietoturvallisuuden nivoutuminen liiketoimintaan edellyttää tietoturvajohtajilta ja asiantuntijoilta uudenlaista osaamista. Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit johdetaan liiketoimintastrategiasta. Tietoturvatilanteesta ja toimenpiteistä kannattaa viestiä säännöllisesti kaikilla tasoilla - ei vain poikkeamatilanteissa. Tietoturva ei ole kilpailutekijä, jos seuraat sokeasti parhaita käytäntöjä tehden samaa kuin kaikki muutkin. Kyseenalaista! Tietoturvajohtamisen haasteita ulkoiset vaatimukset suhteessa riskeihin ja keskijohdon tietoturvavastuun "ulkoistusmentaliteetti”. Organisaation johtoryhmään valikoituu usein "toiveikkaita riskinottajia" - vaativat perusteluja, keskustelua ja ohjausta. JaPi 13.2.2014

×