Kajaani2010
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Kajaani2010

on

  • 1,259 views

 

Statistics

Views

Total Views
1,259
Views on SlideShare
1,235
Embed Views
24

Actions

Likes
0
Downloads
4
Comments
0

2 Embeds 24

http://integroitulaadunhallinta.blogspot.com 21
http://integroitulaadunhallinta.blogspot.fi 3

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Kajaani2010 Presentation Transcript

  • 1. Organisaation liiketoimintaan integroitu tietoturvallisuuden hallinta Juhani Anttila Venture Knowledgist Quality Integration juhani.anttila@telecon.fi , www.QualityIntegration.net 31.3.2010 These pages are licensed under Creative Commons Nimeä 3.0 lisenssi1 http://creativecommons.org/licenses/by/3.0/deed.fi Mainitse lähde
  • 2. Organisaation liiketoimintaan integroitu tietoturvallisuuden hallinta Tarkasteltavat pääteemat: 1. Tieto, tietoturvallisuus ja tietoturvallisuuden hallinta organisaatioissa 2. Tietoturvallisuuden hallinnan integrointi 3. Tietoturvallisuuden varmistus 4. Liiketoimintajohdon sitoutuminen tietoturvallisuuden hallintaan 5. Integroitu hallinta ja standardit 6. Tietoturvallisuus organisaation strategisessa johtamisessa 7. Tietoturvallisuus organisaation tuotteissa 8. Tietoturvallisuus organisaation operatiivisessa toiminnassa (liiketoimintaprosessien hallinta) 9. Näkökulmia nykyajan liiketoimintaolosuhteiden vaatimuksiin 10. Tietoturvallisuuden hallinnan arviointi ja kehittäminen2 xxxx/28.1.2010/jan
  • 3. Tietoturvallisuus organisaatioissa ja yhteiskunnassa Ihmisten ja organisaatioiden toiminnan turvallisuus Tietoturvallisuus tuotteen laatuna Tavarat Palvelut Organisaation operatiivinen suorituskyky  Tieto on ihmisten, organisaatioiden ja koko Ihmiset Prosessit Materiaalit yhteiskunnan toiminnan perusta.  Tietoturvallisuus on Organisaation kokonaissuorituskyky (tietoturvallisuuden hallinta) arkinen ja jokapäiväinen myönteinen asia. Yrityskulttuuri Johto Rakenne Henkilöstö Välineet  Tietoturvallisuus toteutuu hyvin toimivan yhteiskunnan Yhteiskunnan tietoturvallisuuskulttuurisuus ja organisaatioiden kautta.  Tietoturvattomuutta ei voi Kulttuuri Kehittyneisyys Infrastruktuuri poistaa vain reaktiivisilla3 toimenpiteillä 2991/28.1.2005/jan (Ref. Dr. Seghezzi EOQ ’88 Moskova)
  • 4. Pragmaattinen aito tieto • Tietoa on todeksi todistettu ja perusteltu uskomus jonkin asian luonteesta. Aitoa tieto on silloin, kun sen seurauksena tiedon saanut kykenee toimimaan uudella mielekkäällä tavalla. • Tiedoksi ei pitäisi luokitella muuta, kuin toiminnassa koeteltu ja toiminnaksi muuttunut tieto. Tieto ei voi olla ’arvovapaata’, objektiivista. • Tieto muodostaa yhteisön ja sen käytännöllisen toiminnan perustan. ”The knowledge you take is equal to the knowledge you make.” (*) Charles Sanders Peirce4 1014/4.3.2010/jan (Ref.: Jaana Venkula) (*) Lennon, McCartney
  • 5. Kiinteä ”parisuhde”: Tieto ja tiedon kantaja Tietoa ei voi esiintyä ”irrallisena”, vaan sillä on aina jonkinlainen ”kantaja”: • Muistivälineeseen, esim. CD-levy ja muistitikku, sisältyvä tieto • Liiketoimintaprosessi ja prosessiominaisuudet • Tavaratuote ja sen ominaisuudet sekä tuotetiedot • Tietojärjestelmässä oleva tieto • Tilastoissa tai dokumenteissa julkaistu tieto • Asiantuntijan neuvontana antama tietopalvelu • Ammattihenkilön osaamiseen ja tietämiseen sisältyvä tieto (tacit knowledge) • Organisaation tai yhteisön viisaus Itse asiassa organisaatioiden kaikki prosessit ovat tietoprosesseja, kaikki työntekijät tietotyötekijöitä ja kaikki tuotteet ovat tietotuotteita.5 2350/15.1.2010/jan
  • 6. Tietoturvallisuuden hallinnan kokonaiskuva Liiketoimintayhteisö (verkottuneet organisaatiot) Organisaatiot Yhteentoimivat organisaatioiden liiketoimintaprosessit  Tuotteet Sovellukset, ihmiset ja verkot (tekniset ja henkilöverkot) SW / HW modulit, Käyttäytymismallit Teoreettiset, ICT järjestelmät matemaattiset Rakenneosat, protokollat, jne. Meemit ja tieteelliset perustat6 3385/28.1.2010/jan
  • 7. “Integrointi”: Tietoturvallisuus toteutuu aidosti vain organisaation todellisessa toiminnassa, Tietoturvallisuus (information security) toteutuu luonnollisesti ja tehokkaasti, kun se on osana organisaation tuoteominaisuuksia ja sen hallinta (information security management) on välittömästi sisällytetty organisaation liiketoimintoihin ja niiden johtamiseen. Kaikki liiketoiminnasta ylimääräinen tietoturvallisuustoiminta on turhaa ja haitallista. Tietoturvallisuuden hallinta organisaatiossa on johtamiskysymys. Jos organisaation johtaminen ei ole hallinnassa, tietoturvallisuuden toteutuminen on sattumanvaraista. Irrallisena todellisten organisaatioiden johtamiskäytännöistä tietoturvallisuus- vaatimukset tai -standardit tai muut tietoturvallisuuden ”opit” ja teoriat ovat vain ”hengettömiä” sanoja, ”purkitettuja” ajatuksia tai toimintaa. Ne ovat tietoturvallisuuden hallinnassa käytettäviä työkaluja, jotka alkavat elää vasta kun niitä aletaan hyödyntää todellisen organisaation toiminnoissa ja liiketoiminnan tarpeisiin.7 1920/30.1.2010/jan
  • 8. Tietoturvallisuus syntyy organisaation sisäisellä tietoturvallisuuden hallinnalla ja näkyy tuotteissa Toimintaympäristö Yleiset olosuhteet ja vaatimukset - Sidosryhmät vaik utus Organisaatio Vuoro ntäpinta it Asiakkaat (B2B, B2C) tä sess (toimija / toimittaja) lii pro ja muut sidosryhmät utus is- Liiketoimintajärjestelmä va ik ak äym t uoro anssahtuma K p Tietoturvallisuuden hallintaV ta Muut toimi(tta)jat Tuotteet Sopimukset, Tietoturvallisuus määräykset Tietoturvallisuus on organisaation välttämättömyys mutta myös kilpailuetu8 3774/7.1.2010/jan
  • 9. Major challenges for the information security management 1. Integration: – Implementing effective / efficient and business-relevant Information security information security principles and methodology management  information embedded within organization’s normal activities of strategic and operational management security in management 2. Responsiveness: – Being able to adjust quickly to suddenly altered Dynamic and flexible external conditions, and to resume stable operation without undue delay business management 3. Innovation: – Striving continuously for new organization-dedicated Standard approach  innovative and unique solutions and encouraging An organization’s unique various choices for information security management in different organizations. approach9 3784/2.1.2010/jan
  • 10. Tietoturvallisuuden hallinnan integrointi liiketoimintaan (1) Selkeät johtavat Tietoturvallisuuden suorituskyky, periaatteet (integroidun ylivertaisuus stö tietoturvallisuuden ay ion äri hallinnan ymmärtäminen) int aat mp im nis eto rga O liik Suorituskyvyn TOIMINTA vertailukohteet (Liiketoiminnan prosessit ja projektit) TUOTTEET (Tavara- ja palvelu- (3) Innovatiivinen (2) Tehokkaat työkalut tuotteet) johtamis- (menetelmät, infrastruktuuri teoriat, jne.)10 2472/3.3.2010/jan (Ref. Peter Senge, Learning organization)
  • 11. Mitä tietoturvallisuus on? Tietoturvallisuuden tavoitteena on tiedon: Peruskäsitteiden vaikeus ja • Virheettömyys (eheys), integrity monitulkintaisuus sekä niiden • Saatavuus, availability välisten suhteiden epäselvyys • Luottamuksellisuus, confidentiality haittaavat niiden tehokasta Lisäksi näiden yhteydessä tuodaan esille myös: käytännön toteutumista. • Aitous, authenticity Epäselvyyttä aiheutuu myös käsitteiden safety (turva) ja Koko tietoturvallisuusajattelun peruskäsitteinä, “arkkityyppeinä”, security (turvallisuus) ovat epäjohdonmukaisesta • Identiteetti , identity käytöstä. • Yksityisyys, privacy Huom: Securityn alkuperäinen Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA. merkitys tarkoittaa huoletonta olotilaa ja toimintaa: Latinan Käytännön tasolla nämä ominaisuudet toteutuvat organisaation sēcūrus huoleton = sē- tietoturvallisuuden hallinnan (information security management) (prefix) ilman, erossa + cūr(a) kautta organisaation liiketoiminnan prosessien ja tuotteiden huoli + -us adjektiivi suffix. ominaisuuksina.11 1923/11.2.2010/jan
  • 12. Mitä on tietoturvallisuuden hallinta? Peruskäsitteet: Peruskäsitteiden vaikeus ja • Information security management (ISM) monitulkintaisuus sekä niiden • Information security management system (ISMS) välisten suhteiden epäselvyys • Information security assurance (ISA) haittaavat niiden tehokasta • Information security governance (ISG) toteutumista. eivät valitettavasti ole selkeitä tai yksikäsitteisiä edes alan Jokaisen organisaation, joka asiantuntijoiden piirissä tai standardeissa. haluaa vakavasti paneutua tietoturvallisuuden hallintaan, Nämä käsitteet pitäisi ymmärtää organisaation yleisen pitäisikin omaa käyttöään liiketoiminnan johtamisen kannalta, jossa yhteydessä esiintyy varten selkiyttää kaikki mm. seuraavia käsitteitä: tarvittavat peruskäsitteet. • Business management • Quality management • Quality assurance • Corporate governance • IT governance12 3775/11.2.2010/jan
  • 13. Organisaation tietoturvallisuuden hallinnan kaksi tavoitetta ja toiminta-aluetta 1. Sisäinen tavoite - Tietoturvallisuuden hallinta (information security management): liiketoiminnan suorituskyvyn ylivoimaisuuteen, performance excellence, pyrkiminen ja suorituskyvyn jatkuva parantaminen - Liiketoimintatavoitteiden - organisaation sidosryhmien tarpeiden ja odotusten - täyttäminen 2. Ulkoinen tavoite - Tietoturvallisuuden varmistus (information security assurance): luottamuksen (confidence) synnyttäminen ja vahvistaminen organisaation asiakkaissa ja muissa sidosryhmissä - Sidosryhmätarpeiden ja -odotusten täyttäminen tietoturvallisuuden varmistuksen suhteen Tietoturvallisuuden varmistus on tietoturvallisuuden hallinnan osa-alue!13 1925/2.3.2010/jan
  • 14. Tietoturvallisuuden hallinta ja varmistus AA/B YRITYS A MA AB/C YRITYS B MB YRITYS C Tarkoitukset: M  Ekselenssi (sisäinen kiinnostus) MC A  Konfidenssi (ulkoinen kiinnostus) Organization B2 MB2 Organisaation tietoturvallisuustoiminnan kaksijakoisuus: • MA, MB, MC Organisaation tietoturvallisuuden hallinta (management) • AA/B, AB/C Organisaatioiden välinen tietoturvallisuuden varmistus (assurance)14 (perustuen tieturvallisuuden hallintaan) - Varmistus on luonteeltaan viestintää 3779/29.1.2010/jan
  • 15. Tietoturvallisuuden hallinta ja tietoturvallisuuden varmistus Tietoturvallisuuden hallinta (*), ISO/IEC27001 ISO/IEC27002 on osa ISO/IEC27002:a Tietoturvallisuuden varmistus (**), ISO/IEC27001 Tietoturvallisuuden hallinnan periaatteet (*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus (**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus15 3665/3.5.2009/jan
  • 16. Tietoturvallisuuden hallinta on organisaation johtamista Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksi ja ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaan organisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointia organisaation liiketoiminnan johtamiseen:  Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla.  Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa. Jos organisaation yleinen liiketoiminnallinen johtaminen ei ole hallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutua asianmukaisesti eikä vaikuttavasti tai tehokkaasti.16 3776/3.1.2010/jan
  • 17. Tietoturvallisuuden hallintajärjestelmä, Information security management system (ISMS), Ainakin alan perusstandardeissa on peruskäsitteenä tietoturvallisuuden hallintajärjestelmä (information security management system, ISMS). Käsite muodostuu kahdesta osasta: 1. Organisaation johtamisjärjestelmä (management system, MS): - Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteiden saavuttamiseen käytettävä järjestelmä 2. Tietoturvallisuus (information security, IS): - Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä ISMS =/= Tietoturvallisuuden johtamisjärjestelmä ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuutta tietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. ISMS on pääasiallissesti tarkoitettu organisaation liiketoimintatarpeita varten. Itse asiassa, käsitettä ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan. Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen17 erillisiä järjestelmiä tietoturvallisuuden hallintaa varten. 3777/2.1.2010/jan
  • 18. Organisaation laadukkaan johtamisen ja tietoturvalli- suuden hallinnan yleisperiaatteiden integrointi Organisaation laadukkaan johtamisen Tietoturvallisuuden hallinnan yleisperiaatteet yleisperiaatteet (ISO 9000): (OECD 2002): 1) Asiakaskeskeisyys 1) Turvallisuustietoisuus: Tietoisuus 2) Johtajuus tietoturvallisuuden tarpeesta ja toimenpiteet sen edistämiseksi 3) Henkilöstön osallistuminen 2) Vastuullisuus: Vastuullisuus tietoturvallisuudesta 4) Prosessimainen toimintamalli 3) Vastatoimet: Toiminta tietoturvallisuuden 5) Järjestelmällinen johtamistapa loukkausten havaitaksemiseksi ja ehkäisemiseksi 6) Jatkuva parantaminen sekä vastatoimenpiteet niihin 4) Eettisyys: Toisten oikeutettujen etujen 7) Tosiasioihin perustuva kunnioittaminen päätöksenteko 5) Demokratia: Sopeutuminen demokraattisen 8) Molempia osapuolia hyödyttävät yhteiskunnan arvoihin liiketoimintasuhteet 6) Riskien arviointi: Riskien arviointien tekeminen 7) Tietoturvallisuuden suunnittelu ja toteuttaminen tietojärjestelmien ja verkkojen olennaiseksi osaksi 8) Turvallisuuden hallinta: Tietoturvallisuuden hallinnan toteuttaminen kokonaisvaltaisesti 9) Tietoturvallisuuden arviointien toteuttaminen laajasti ja johdonmukaisesti18 Organisaation johtamisessa tulee ottaa huomioon tietoturvallisuuden hallinnan periaatteet 3773/9.2.2010/jan ja tietoturvallisuuden hallintaa tulee toteuttaa laadukkaan johtamisen keinoin.
  • 19. Johtamisjärjestelmä(*): Organisaation tarkoituksen ja tavoitteiden johdonmukainen toteuttaminen (**) Kehitys/muutos- Toiminta- projektit: Strategiat ”liiketoiminta- (etenemis- suunnitelmat, Tarkoitus prosessit mallin, prosessien tapa) ja menettelyjen (olemassa- Visio (toimintamalli) olon (tulevai- parantaminen” peruste) suuden Johtavat toivetila) periaatteet Resurssit, Operatiiviset Politiikat menettelyt, (toiminta- prosessit: dokumentit, ”Tarkoituksen tapa) työkalut päivittäinen toteuttaminen” ARVOSTUKSET JOHTAMISESSA (”ARVOT”) Yrityksen Strategiset suunnitelmat Toteutuskeinot Toiminta tarkoitus 3...5 1...2 0,4...1 juuri nyt vuotta vuotta vuotta19 2748/3.11.2005/jan (*) Aina organisaatiokohtainen infrastruktuuriratkaisu, (**) Integroitu laadukkuus
  • 20. Erillisistä hallintajärjestelmistä järjestelmällisyyteen Organisatorinen järjestelmällisyys toteutuu liiketoiminnan rakenteiden ja toiminnan (prosessien) kautta.20 Todellinen ”hallintajärjestelmä” on illuusio ja erityinen hallintajärjestelmä on keinotekoinen rajoite ja rasite. 3752/7.1.2010/jan
  • 21. Business leaders have the key role in information security management but are not adequately prepared Studies and observations made in small and big companies and governmental offices:  Although: • Most people in our organizations know the fundamentals and basic principles of information security and recognize their importance, and even may be well-motivated. • There is a lot of general and organization-dedicated information security training and education programs for increasing awareness and skills of information security.  However: • Senior executives in those organizations: – Are not really interested in information security in their own management practices – Don’t understand or recognize their managing role for information security – Have only a superficial understanding of information security – Lack the necessary skills for managing an organization with regard to information security – Senior executives are not familiar with the information security standards – Easily delegate their responsible duties to external consultants or even outsource the whole issue21 3183/22.1.2010/jan
  • 22. Why business leaders are poorly commitment to information security management? • Basic professional information security concepts, e.g. integrity, availability and confidentiality, are difficult, complicated and strange to business people. • Information security management requires specific knowledge and skills. • Guidance materials for information security management are complicated and confusing, and difficult to realize and apply consistently: – General standards and guidelines, e.g. ISO/IEC 27000 family of standards and OECD Guidelines – Information technology and service references that normally consider also information security aspects, e.g. ISO/IEC 20000, ITIL, COBIT, Sarbanes-Oxley Act, etc. • General management references, e.g. ISO 9000 standards, extensive and multifaceted general management literature, and management education, e.g. MBA programmes, don’t clarify information security as a management issue and don’t explicitly promote the issue. • Information security is a multidisciplinary issue and difficult to cope with simple managerial practices - and particularly in today’s turbulent business environments. • Communication between business leaders and information security (and other related) experts is ineffective and uncreative in general and within organizations. • Business leaders are very busy, subjective, authoritative, and holistic generalists. • External third party audits and certifications undermine business leaders’ active responsibility. • Business information is principally based on tacit (implicit) knowledge, and management of22 the security of tacit knowledge is a sophisticated issue. 3186/22.1.2010/jan
  • 23. Consequences when senior executives don’t commit to information security management • Information security is not being managed business-minded and not aligned with real business needs. • Information security is seen only as a reactive and negative question to fulfil some standardized requirements. • Organizations keep busy with separate and restricted information security questions • Information security standards are not understood from the managerial responsibility • Organizations take only “cosmetic” or superficial actions for information security management. • Business leaders delegate their management responsibilities to experts or outsource the whole issue to external consulting organizations. • Organizations keep silent on their problems or incompetence in information security – and suffer consequences, or hope that nothing serious will happen.23 3187/22.1.2010/jan
  • 24. Effective dialogue and cooperation is needed between business leaders and experts Business leaders know the right things and experts know the best means to do things right: • Business leaders are generalists and strongly acting individuals with strong organizational positions. • Experts are specialists and deeply knowing individuals with low position- based authority. Clear responsibility / authority roles should be established between business leaders and experts, and an effective dialogue and cooperation between them made possible.24 1816/2.1.2010/jan
  • 25. Tietoturvallisuuden generalisti-spesialisti-dilemma: liiketoimintajohtajien ja asiantuntijoiden yhteistoiminta Liiketoimintajohtajat ja -päälliköt ovat vastuullisia omien alueittensa johtamisesta kokonaisuudessaan. He ovat vastuullisia myös omilla alueillaan tietoturvallisuuden johtamisesta. Sitä vastuuta ei voi siirtää organisaation sisäisille tai ulkoisille tietoturva- asiantuntijoille. Tietoturvallisuuden asiantuntemusta tarvitaan, jotta sen johtaminen ja hallinta voisi tapahtua ammattimaisella ja systemaattisella tavalla hyödyntämällä alan parhaita käytäntöjä ja keinoja. Sitä varten on olemassa tietoturvallisuusasiantuntijoita. Heidän tehtävänsä on tukitehtävä tietoturvaratkaisujen kehittämiseksi ja toteuttamiseksi käytäntöön. Heitä tarvitaan myös vaikeiden ongelmatilanteiden ratkaisemisessa. Jos operatiivisissa tehtävissä joudutaan "kiertämään" asiantuntijoiden kautta se hidastuttaa toimintaa, lisää kustannuksia ja yleensä johtaa byrokratian lisääntymiseen kielteisessä mielessä. Jos sen sijaan jossain prosessissa tietoturvallisuusasiat ovat niin merkityksellisiä tai ongelmallisia, että tarvitaan erityisiä tietoturvallisuuden asiantuntijatietoja ja -taitoja, ne tulisi suoraan nimetä ko.25 prosessin henkilöresursseiksi joko pysyväisinä tai OTO-rooleina. 2353/30.7.2002/jan
  • 26. Konfliktit johtamisessa Tietoturvallisuuden Talouden hallinta Riskien hallinta hallinta Henkilöstön- hallinta Asian X hallinta Tiedon/tietämyksen hallinta Laadun- Työturvallisuuden Ympäristön- hallinta hallinta hallinta Mahdolliset konfliktitilanteet: - Strategisella tasolla: toimitusjohtajan sitoutuminen26 - Operatiivisella tasolla: liiketoimintaprosessien hallinta 2401/20.2.2010/jan
  • 27. Integrating specialized domains of management standardization and ensuring natural business diversity The Finnish model Finance for integration (MSS) Product General management Environment quality system General Occupational management Ethics responsibilities health and safety and business Organizational system identity & privacy Social Security responsibility Risks Organizational diversity27 3342/20.8..2009/jan (Ref.: ISO Management systems standardization, MSS)
  • 28. Kansainvälinen tietoturvallisuuden hallinnan standardisointi Standardien käytännön soveltajan kannalta tilanne on hyvin sekava ja hämmentävä. Erityisesti ISO/IEC 27000 - standardiperheen osalta olisi välttämätöntä jämäkkä perhesuunnittelu. Joka tapauksessa vastuu soveltamisesta lankeaa yksittäisille soveltaja- organisaatioille.28 3778/4.3.2010/jan
  • 29. Standardointi ja organisaatioiden reaalitoiminta Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X Standardoinnin aihealue Aihealueen todellinen käytännön toteutus Organisaatio A: Toteutuselementit A: Innovaatioprosessi A29 Organisaatio B: Toteutuselementit B: Innovaatioprosessi B 3484.7.1.2010/jan
  • 30. Organisaatioita ei pidä yrittää sopeuttaa oppeihin tai malleihin. Entä miten päinvastoin?30 2902/2.10.2004/jan
  • 31. From a business establishment Promotion and support: to satisfying AN ORGANIZATION * Standardization * Political impact requirements * Consultancy * etc. Business activities: -Operational duties- -Strategic development- Action plans Infrastructure Management + Management system  Owner, Strategies Vision Mission Values and Policies Stakeholders + Needs and expectations: * Performance Competitors (Business creator) apprecia- * Price and cost + tions Purpose31 Profound knowledge: Business management sciences and experiences + Expertises in quality, information security, environmental protection, etc. 3749/25.1.2010.2009/jan
  • 32. Organisaation strateginen (1) ja operatiivinen (2) tietoturvallisuuden hallinta (1) Strateginen johtaminen: – Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä systeemikokonaisuutena) – Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle tietoturvallisuuskysymyksissä – Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat lisääntymässä – Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit – Muutosjohtaminen, entisestä luopuminen (2) Operatiivinen johtaminen: – Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa – Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti – Operatiivinen nykyisyysnäkökulma – Prosessin / projektin sisäinen parantamistoiminta Molempia näkökulmia tarvitaan organisaation johtamisessa koko ajan samanaikaisesti. Niitä varten on erilaiset menettelyt.32 3780/2.3.2010/jan
  • 33. Organisaation johtamisen tehtävä: Mission toteuttaminen ja visioon pyrkiminen Operatiivinen johtaminen Strateginen johtaminen Tulevaisuus: 20xx (liiketoimintaprosessit) (Kehittämisprojektit) Kenelle? Visio Toiminta- ajatus (missio, liikeidea, Strategia olemassaolon oikeutus) Toiminta Mennyt nyt: 2010 Miten? Mitä?33 2752/10.2.2010/jan ORGANISAATION TOIMINTAYMPÄRISTÖ
  • 34. Information security management: Planning, controlling, and improving the performance of business processes Performance (5) New performance A P planning Good C D Control with the new limit A P (4) Breakthrough C D improvement (2) Performance control (3) Small step improvement ”Kaizen” (1) Performance A P planning Control limit Prevention C D Bad Rectifying sporadic problems Time34 Feedback 3766/12.1.2010/jan (Ref. Dr. Juran: Trilogy Approach)
  • 35. Johtaminen: “Koordinoidut toimenpiteet organisaation suuntaamiseksi ja ohjaamiseksi” (*) PDCA-johtamis- malli: TOIMI TARKISTUS- SUUNNITTELE P = Plan TULOSTEN TOIMINTA D = Do PERUSTEELLA • Toiminta- / tulos- C = Check • Viestintä, suunnitelma PDCA:n soveltaminen A = Act palkitseminen • Toiminta- (“Triple PDCA): • Ehkäisevä toiminta periaatteet ja -malli • Parantava toiminta • Menettelyt ja • Toiminnan ohjaus (control) A P menetelmät (rationaalinen, operatiivinen) C D • Jatkuva pienten askelten TARKISTA, MITEN TOIMI SUUNNITELMAN parantaminen (Kaizen) ON TOIMITTU JA MUKAISESTI (rationaalinen, operatiivinen) MITÄ SAATU AIKAAN • Menettelyjen • Suuret muutokset • Arvioinnit soveltaminen tulosten (breakthrough) • Katselmukset aikaansaamiseksi (innovatiivinen, strateginen) • Korjaava toiminta35 2600/10.10.2009/jan (Ref.: Deming / Shewhart, ISO 9000, Shiba, Bodhnath Stupa / Kathmandu)
  • 36. Organisaation osaamisen ja oppimisen sekä johtamisen tasot Suunnittelu Tekeminen Oppiminen (ohjaus ja varmistus) (parantaminen) Liitetoiminta- yhteisö, KULTTUURINEN,NORMATIIVINEN (konserni) A Liiketoiminnan S alue (business) STRATEGINEN T I U A O K T A Prosessi OPERATIIVINEN E S Yksilö tai tiimi HENKILÖKOHTAINEN36 0042/30.1.2004/jan (Ref. D. Seghezzi, G. Rummler & A Brace, J. Juran)
  • 37. Yrityksen johtamisen neljä tasoa Kulttuurinen ja normatiivinen johtaminen: • Luodaan liiketoiminnalle kokonaisuudessaan merkitys, yhteinen suunta ja yhteiset työkalut, ts. meidän tapamme toimia (konserni, toimitusjohtaja) Srateginen johtaminen: • Johdetaan liiketoimintaa kokonaisuutena ja tulevaisuuden kilpailukykyyn (liiketoiminta-alue, liiketoimintajohtaja) Operatiivinen johtaminen: • Johdetaan liiketoiminnan päivittäistapahtumia juuri nyt ja yksittäisissä toiminnan pisteissä (liiketoimintaprosessi, prosessinomistaja) Henkilökohtainen johtaminen: • Toimintaa johdetaan yksittäisten toimijoiden henkilökohtaisen osallistumisen ja sitoutumisen kannalta (henkilöt ja tiimit, minä itse)37 1835/2.2.2003/jan
  • 38. Organisaation strateginen johtaminen (johtamisprosessi) 2015 Visio (”unelmatilanne”) Strategisen muutoksen Strateginen visioon toteutuminen, parantunut perustuva tarve Strateginen toimintajärjestelmä muutokseen lähikautena ja toiminnan tehokkuus johtamisprosessi: (muutokset toimintaprosesseihin), suuret strategiset muutokset Oleva tilanne toiminta- - suunnittelu ympäristössä (sidosryhmät, (tavoitteet ja keinot) toiset toimijat) - toimeenpano Jokapäiväisen toiminnan toteuttaminen olevalla - seuranta ja ohjaus toimintajärjestelmällä Organisaation sisäinen tilanne ja edellisen (olevat toimintaprosessit), toimintakauden pienten askelten parantuminen toteutunut toiminta ja tulokset (prosessien toiminta)38 2544/26.4.2007/jan
  • 39. Laadukkaan operatiivisen johtamisen perustavoite: Sidosryhmälle kannattavasti puoleensa vetävää hyötyä Organisaation sidosryhmäsuuntautumisen tarkoituksena on pystyä tuottamaan molemminpuolista arvoa ja kilpailutilanteessa voittavan tuotteen: Tuote: Sidosryhmä Info (asiakas): Organisaatio: Myönteiset ja Lasku kielteiset tekijät ---- Johtaminen ---- Tavara Valinta Ihmis- palvelu Automaatti- palvelu Prosessit Liitäntäpinta sidosryhmään39 Sidosryhmätransaktiot 0241/14.2.2010/jan (”totuuden hetket”)
  • 40. Prosessit ja tuote liiketoimintayhteydessä Organisaatiot liiketoimintayhteydessä: Asiakas (*) Toimittaja (organisaatio) Tuote (palvelu & tavara ) Toimittajan liiketoimintaprosessit Asiakkaan liiketoimintaprosessit Liiketoimintaliitäntäpinta (liiketoimintakanssakäymiset) Alihankkija, osatoimittaja40 2335/15.19.2004/jan (*) Pätee myös muille toimittajan sidosryhmille
  • 41. Organisaation tuote • Tavara, väline, järjestelmä, materiaali, tms. Tuote on organisaation liiketoiminta- • Palvelu prosessien tuotos. • Sivutuotteet • Edellisten yhdistelmät (Huom. Tieto ei voi olla erillisenä tuotteena, vaan se on aina liittyneenä johonkin välineeseen tai palveluun)41 0134/22.1.2010/jan
  • 42. Tuote koostuu tavarasta ja palvelusta Tuote = Prosessien tuotos Pelkkä tavara = Tavara + Palvelu 100% 0% Tuottajan prosessit => Tavara Tuottajan ja vastaanottajan prosessit => Palvelu Tuotteen vastaanottajalle synnyttämä arvo Tavaran Palvelun perustuu tuotteen tavara- ja palveluosuuteen arvo-osuus arvo-osuus yhdessä. 20% 80% 0% 100% Pelkkä palvelu42 2898/15.9.2009/jan
  • 43. Tuote ja sen rakenneosat Tuote syntyy prosesseilla. Kutakin erityistä tuotetta edustaa yksi piste kuviossa: Tavaratuote Tuote synnyttää arvoa vastaanottajalle yksilöllisellä tavalla rakenneosiensa kautta. a P b Kehityksen suunta c Ihmispalvelu Automaattipalvelu43 3391/13.1.2008/jan
  • 44. General systematic detailed grouping of performance characteristics of any product (6E+2S) Effective- Ergo- Serve- Security Esthetic Ethics Social per- Ecology Economy ness nomics ability (*) formance Quantitative sufficiency Environmental compatibility Dependability The product performance characteristics may be Reliability designed systematically and performance objectively by the product Maintainability developer but they are always performance perceived comprehensively All product characteristics Maintenance support and subjectively by the are interlinked with each others performance product user.44 0375/3.12.2008/jan (*) accessibility + retainability
  • 45. Prosessit organisaatioissa - Tieto prosesseissa Prosessi: Reaaliaikainen ”luonnollinen” toimiminen, tekeminen, tapahtuminen, jne. Organisaatioissa toimijoina ovat ihmiset ja muut resurssit. Prosessi on reaalimaailman ilmiö. Luonnollisimmin prosessitoiminta tapahtuu ihmisten ajattelussa ja puheessa. Alkeisprosessit: Organisaatioissa tapahtuvia yksinkertaisia perustoimia, kuten On tärkeätä ymmärtää keskusteleminen, puhelinkeskustelu, yhteyden pitäminen, ero organisaation siirtyminen paikasta toiseen, tapaaminen, kokoontuminen, prosessien ja struktuurin neuvotteleminen, tekstin kirjoittaminen tai lukeminen, jne. välillä: Liiketoimintaprosessi: Prosessi Yhteen liittyneet toiminnot (aktiviteetit), erityisesti ”alkeisprosessit”, sekä niiden väliset tietoa ja materiaaleja siirtävät yhteydet jonkin (toiminta) keskeisen liiketoimintatarpeen ja tavoitteen toteuttamiseksi. Prosessien kautta organisaation resurssit suunnataan ja järjestetään toimimaan yhdessä organisaation tavoitteiden toteuttamiseksi. Struktuuri Prosessien suorituskyky määrää organisaation tuloksellisuuden ja (rakenne) tehokkuuden. Prosessien kautta tapahtuvat kaikki organisaation ja sen sidosryhmien väliset kanssakäymiset.45 Organisaatioiden kaikkea tietoa käsitellään organisaatioiden prosesseissa. 3781/3.1.2010/jan Tietoturvallisuuden hallinta voi tapahtua vain prosessien hallinnan kautta.
  • 46. Tasapaino prosessien ja struktuurin välillä Toimivuus Struktuuri #1 Struktuurin tulee palvella prosesseja (ts. toimintaa). Ulkopuolisesti pakotettu Struktuuri #2 struktuuri on haitallinen Prosessi (toiminta): organisaation identiteetin Itsestään kannalta. syntyvä, reaali- aikainen, aktiivinen, taitava, ohjautuva, oppiva, Tasapaino: avoin, - Vapaus / ohjaus elävä Rakenteen - Tietoisuus / ohjeet jäykkyys - Ihmiset / järjestelmät Struktuuri (oleva): Suunniteltu, rakennettu, ohjattu, - Luovuus / reaktiivisuus passiivinen, opetettu, pakotettu, suljettu, kuollut46 360624/10.1.2010/jan
  • 47. Perinteinen hierarkinen organisaatiorakenne (“Siilo-organisaatio”) Organisaation johto Tuki- funktiot T&K Tuotanto Markkinointi & Myynti47 3008/15.2.20052/jan
  • 48. Organisaationlaajuinen liiketoimintaprosessien hahmottaminen: Prosessiviitekehys Markkinat Kilpailu- • mahdollisuudet Markkinaprosessit: kykyiset • tarpeet Uusien tuotteiden toteuttaminen markkinoiden tarpeisiin ja odotuksiin. Tuotteiden kokonaishallinta. Markkinaviestintä. tuoterat- kaisut Asiakkaat Laadukkaat • tarpeet Asiakasprosessit: Asiakas- • odotukset Asiakkaiden tarpeiden ja odotusten täyttäminen tuottamalla tuotteita organisaation “tuotesalkun” mukaisesti suhteet ja -palvelu Johtamisprosessit: Organisaation suorituskyvyn kokonaisjohtaminen Tukiprosessit: Organisaation prosessien tehokas tukeminen48 = Organisaatioyksiköt = Kumppanit 2867/6.1.2007/jan
  • 49. Organisaation liiketoiminnan prosessikartta ASIAKAS syöte tuotos syöte tuotos asia Prosessi b asia Prosessi a Prosessi d tuotos Prosessi e syöte syöte Prosessi c syöte tuotos syöte Osa- asia Osa- Osa- asia Osa- prosessi 1 prosessi 2 prosessi 4 prosessi 5 syöte asia asia asia Prosessi f syöte Osa- prosessi 3 Prosessi X MUUT SIDOSRYHMÄT49 0942x/7.9.2004/jan
  • 50. Yksittäisen prosessin toiminta Ulkopuolinen Ulkopuolinen Osapuoli 1 toiminto toiminto syöte laskutus- tuotos Tekijä 1 Tehtävä tieto Toiminto Yksikkö 1 tarkis- tuloste Toiminto tus data tieto Tieto- Sovellus- toimitus- sovellus toiminto tieto Tie- dosto ulkopuo- Järjes- Tekninen linen telmä järjestelmä palvelu toiminto Osapuoli 2 Ulkopuolinen50 toiminto 0691/27.8.2004/jan
  • 51. Prosessin hallinnan toiminnot A P C D Strateginen johtaminen • katselmukset Arviointi, auditointi Uudelleen- Korjaava Poikkeamat suunnittelu toiminta M i Prosessi- t tuotos t Tulos Prosessisyötteet Työ a • vaatimukset a • tarpeet m • resurssit Muut i • aineet Ihmiset resurssit Menettelyt n Muut e Muut prosessit n prosessit51 Paranta- 0921/2.3.2010/jan minen Analysointi
  • 52. Information security assurance - creating confidence among customers - takes place through processes Process (product realization) Output/Product Process management Input Product delivery Customer channel Information security assurance (ISA) - ISA plan ISA communication channel52 2459/16.1.2010/jan
  • 53. Uusi perusta organisaation johtamiselle! Epävarmuus ja monikäsitteisyys:  Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja –ohjautuvissa verkoissa  Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja  Toiminta globaalista ja aluepatrioottista  Toiminnot ja muutokset jatkuvasti nopeutuneet  Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet)  Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen  Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut  Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä asemassa  Transaktiokustannuksilla tärkeä merkitys ja vaikutus  Johdolla ja työntekijöillä alituinen kiire Varmuus ja ennustettavuus53 2839/2.11.2009/jan (Refs.:D Zohar, R D Stacey)
  • 54. Organisaatioiden luonnolliset toimintaolosuhteet: Kompleksiset vuorovaikutusprosessit “Staceyn Matriisi” Pieni Kaaos, hajaantuminen, anarkia Sopimussidonnaisuus Poliittinen Kompleksinen ohjaus ohjaus Kaikki nykyaikaisten organisaatioiden liiketoimintaprosessit ovat kompleksisia vuorovaikutusprosesseja ja niiden hallinnassa tulee ottaa huomioon Rationaalinen Harkintaperusteinen ohjaus ohjaus kuvion (”Staceyn Matriisin”) kaikki alueet. Suuri Suuri Varmuus Pieni54 3684/15.1.2010/jan (Ref.: Stacey: http://www.plexusinstitute.org/edgeware/archive/think/main_aides3.html)
  • 55. Staceyn Matriisin toiminta-alueet • Rationaalinen ohjaus perustuu toiminnallisiin rakenteisiin ja onnistuu vain pienessä määrin prosesseissa. Johtaminen on faktapohjaista ja hyödyntää erilaisia ohjausjärjestelmiä ja menettelyohjeita. Tiukka ohjaus ei arvosta tilannekohtaisia ratkaisuja eikä terveen järjen käyttöä. • Poliittisluontoisessa ohjauksessa korostuvat erilaiset liittoutumat, neuvottelut ja kompromissit, jotka ovat tavallisia organisaatioiden johtamisessa. Ratkaisut perustuvat usein henkilöiden valta-asemaan, intuitiivisiin näkemyksiin ja jälkiselityksiin. • Harkintaperusteinen ohjaus liittyy erilaisiin kokeiluihin. Sitä on perinteinen suunnitelmallinen ja jatkuvan kehitystyö, joka hyödyntää olevia malleja ja rationaalista tietoa. Asioista ollaan samaa mieltä, vaikka ei ole selkeää varmuutta tulosten toteutumisesta. • Kompleksinen ohjaus on oleellinen organisaatioiden menestymisen kannalta. Se toteuttaa luovuuden ja innovaatiot sekä toimintamuotoje uusiutumisen. Toimintaa ei voi johtaa pelkästään rationaalisesti tai faktapohjaisesti. Edellytetään erilaisuuksien ja monimuotoisuuden hyväksymistä ja hyödyntämistä, joka toteutuu erityisesti ulkopuolisten verkostojen kautta. • Kaoottiset ilmiöt ovat rasittavia monien organisaatioiden johtamisen kannalta, koska niitä ei voi perinteisillä johtamiskeinoilla hallita tai edes täysin välttää. Liiketoimintaprosessien verkostoissa on aina mukana myös tekijöitä ja toimijoita, joista ei edes tarkkaan ole tietoakaan. Henkilöiden monipuolinen tietoisuus sekä johtamisen joustavuus ja nopeus ovat hyväksi hankalissa tilanteissa.55 3709/2.11.2009/jan
  • 56. Toimijat verkostossa Verkosto on itsestään syntyvä (emergentti) ja itseohjautuva. Toimijan roolia verkossa voidaan kuvata ”verkostokeskeisyydellä”, johon sisältyy toimijan välimatka ja läheisyys toisiin sekä aktiivisuus ja vaikuttavuus verkostossa. Toimijan vaikuttaminen verkostossa: • Pääsy = Kyky seurata mitä verkostossa tapahtuu, pääsy verkoston tietoihin • Tavoittavuus = Tehokkuus tavoittaa toisia toimijoita ja kytkeytyä niihin • Ohjaus = Voima ohjata verkoston toimintoja Toimijayhteisö Yritys Julkinen organisaatio Vapaaehtoisorganisaatio Yksilö (verkostojäsen) Vierailija (satunnaisyhteys56 verkostoon) 3010/15.9.2007/jan
  • 57. Perinteiset tietoturvallisuuden hallinnan keinot eivät toimi verkostoissa Tietoturvallisuuden hallinnassa - niinkuin muussakin johtamistoiminnassa - on oleellista että se, joka laatii tavoite- ja menettelymäärittelyjä, on myös täysin vastuussa niiden toteuttamisesta. Siten kokonaisen verkoston kannalta ei voi toteuttaa perinteisiä laadunhallinnan keinoja, koska: – Jokainen verkoston toimija on itsenäinen päätöksenteoissaan toimien omien tarpeittensa ja intressiensä mukaisesti. – Verkosto ei voi toimia yhtenäisenä järjestelmänä, jolla olisi yhteiset arvostukset, tavoitteet, suunnitelmat tai yhteinen johto. – Verkosto kehittyy itsestään sen toimijoiden omien päätösten mukaisesti. Verkostoissa on hyödynnetty erilaisia sopimusratkaisuja, mutta niiden mahdollisuudet ovat rajallisia koskien parhaimmissa tapauksissa vain tieturvallisuuden varmistusta mutta ei sen hallintaa. Kuitenkin verkoston jäsenet voivat tehdä varkostonlaatustrategioita itselleen ja se voi olla hyödyllistä niin kyseisen toimijan kuin koko verkostonkin kannalta. Stacey: Organisaatioiden välinen yhteistoiminta tapahtuu kompleksisten vuorovaikutusprosessien57 kautta (“Complex responsive processes of relating”). 3785/15.1.2010/jan
  • 58. Prosessitoimintojen luonne Prosessin sisäiset toiminnat voidaan ryhmitellä luonteeltaan mekanistisiksi, orgaanisiksi tai dynaamisiksi sen perusteella, miten monivivahteisia toiminnat ovat ja miten paljon vapausasteita ne sisältävät: a) Mekanistisissa toiminnoissa on vähän osallistujia, ne tapahtuvat sarjamuotoisesti ja kurinalaisesti ja niitä on - ainakin periaatteellisesti - helppo hallita täsmällisillä menettelyohjeilla. Vaihtelut toiminnassa pidetään pieninä. b) Orgaaniset toiminnat tapahtuvat verkkomaisesti ja ne muodostavat kompleksisen useiden toimijoiden kokonaisuuden, mutta jota voi kuitenkin perinteisilläkin johtamiskeinoilla vielä hallita. Kompleksisuudesta johtuen toiminnassa on edelliseen verrattuna enemmän vaihtelumahdollisuuksia. c) Dynaamiset toiminnat tapahtuvat sattumanvaraisesti ja niissä toimijoiden, vapausasteiden tai toimintamahdollisuuksien määrät ovat niin suuret, että niitä ei voi varmasti ennakoida eikä yksityiskohtaisesti suunnitella, eikä siten toimintaa ole myöskään mahdollista rationaalisesti johtaa.58 2345/15.8.2003/jan
  • 59. Reaalitoiminnan monipuolisuus Organisaation kaikkiin toimintoihin (prosesseihin) sisältyy kolmenlaisia toimintamuotoja riippuen toiminnan vapausasteista ja luonnollisista vaihteluista: 3. Dynaaminen toiminta: - monimutkainen Vaihtelu, 2. Orgaaninen toiminta: - kaoottinen Vapaus- - rinnakkainen - spontaani, satunnainen asteet 1. Mekanistinen - monimutkainen - innovatiiivinen toiminta: - organisoitu - virtuaalinen - sarjamuotoinen - vuorovaikutteinen - vaihteleva - automaattinen - verkostotoiminta - persoonallinen - tarkka kurinalainen Kompleksisuus59 2739/27.10.2009/jan (Ref.: Legat)
  • 60. Vaihtelevuus prosesseissa Mekanistinen Orgaaninen Dynaaminen Myynti- Tarjouksen laadinta Tietojen hankinta ja Sopimusneuvottelu prosessi arviointi Osallistuvien osapuolten määrittely Tuotekehitys- Ohjelmiston koodaus Asiakastarpeen ja Teknologiamahdol- prosessi Komponenttien asiakasarvon iisuuksien valinta integrointi määrittäminen Ratkaisun luomi- Testaus Validointi nen Strateginen Strategian ja budjetin Osapuolten panostukset Lähtötietojen suunnittelu- kirjaaminen ja sitoutuminen hankinta ja hyödyn- prosessi täminen Vaihtoehtojen valinta60 1512/17.2.2010/jan
  • 61. Kaikki työntekijät (mukaan lukien esimiesasemassa olevat) ovat tietotyöntekijöitä Tietämys Arvo Data & toiminta- informaatio Osaaminen Taidot kumppaneille • Tulkinnat • Arvioinnit • Päätökset61 2747/2.8.2004/jan
  • 62. Työ tuottaa aina ”asiantuntija”-palvelun Ammattimaisesti toteutettu työ voidaan aina ymmärtää ja hallita palvelutuotteena: – työ synnyttää tuotoksen, jolla on arvoa sen vastaanottajalle – työ edellyttää vuorovaikutusta vastaanottajan ja muiden työn sidosryhmien kanssa Työ on ammattihenkilön eksplisiittiseen ja tacit-tietoon perustuva tietotuote. Kaikki yritykset ovat asiantuntijayrityksiä ja tietoyrityksiä. Tietoturvallisuus on jokaisen työntekijän henkilökohtainen asia: • Tietoisuus • Vastuu • Välineet62 1407/15.1.2010/jan
  • 63. Liiketoiminnan johtamisen tärkeä haaste: Kuinka hallita tietoa ja tietojen käyttöä? Suurin osa organisaation (ja sen prosessien) tiedoista on hiljaista (tacit) tietoa. Näkyvillä oleva (explicit) tieto: - data Tietoinen - dokumentit - tallenteet Alitajuinen - tiedostot Hiljainen (tacit) tieto: Vain miljoonasosa ihmisen aivojen - tietoisuus, tajuisuus käsittelemästä tiedosta on tietoista! - osaaminen - sitoutuminen, teot63 2428x/3.1.2008/jan (Ref.: H. Koivunen)
  • 64. Toiminnan tietopohjainen johtaminen Viisaus - myytit - arvot Tietämys - Avoimet tiedot (tallenteet) Pohdinta ja päätöksen teko Vaikuttaminen - Hiljainen tieto (Suunnitelmat (osaaminen, ymmärtäminen) ja Merkitystieto toimenpiteet) Vuorovaikutus- Analysointi ympäristö ”Ba” A P Mittaustieto C D Liiketoiminta- ympäristö Mittaaminen ... Tosiasiatiedot Vaikutukset64 Organisaation toimintarealiteetti (prosessit) 2744x/25.9.2007/jan
  • 65. A person in working environments External business process: business targets and needs Explicit knowledge and information Internal mental process: Tacit knowledge conscious • appreciations (values) • feelings subconscious What is the work all about: • “An activity that produces something value for other people” (O’Toole) • “Human work include the following elements: (1) creativity (joy of thinking), (2) physical activity (joy of physical work), (3) sociality ( joy of sharing pleasure and pain with colleagues)” (Nishibori)65 2200/17.15.2004/jan
  • 66. Tietoturvallisuuden hallinta ei ole ON / EI asia! ON (1) Tieto- turvallisuus EI (0) EI ON ”Tietoturvallisuustemput”66 1934/30.1.2010/jan
  • 67. Organisaation tietoturvallisuuden hallinnan suorituskyvyn sumeus (fuzziness) Huipputasoa 1 = täydellinen yritys Kypsyyttä Organisaatiot, joilla on Kilpailukykyä kolmannen osapuolen sertifikaatti (*) Muutostarve? Tehokkuutta Miten toteuttaa muutos? Alkua Tarinaa 0 = täysin kyvytön 0 10 30 40 60 70 90 100 yritys Suorituskyvyn arviointitulos %67 3688/7.9.2007/jan
  • 68. Toiminnan kokonaisvaltainen johtaminen: Suorituskyvyn ohjaus ja jatkuva parantaminen Visio, ulkoiset Toiminta Toiminnan ja sisäiset tarpeet, (suorituskyky) tulokset strategia Suunnittelu Ohjaus Menettelyn (*) Ehkäisevä ja ja toiminta tarve toteutus korjaava toiminta suunnitel- Toiminta- Päätös ma Analysointi ja parantaminen Vertailut68 (benchmarking) 2716/15.8.2004/jan (*) Prosessi
  • 69. Liiketoiminnan suorituskyvyn arviointi (*) – Liiketoiminnan suorituskyvyn itsearviointi (business excellence -mallit) • kohteena yksikkö, kokonainen business, liiketoimintaprosessien verkko • luonteeltaan (enemmän) strateginen • vertikaalinen arviointi • arvioijana johto itse – Prosessien suorituskyvyn arviointi (auditointi ISO 19011) • kohteena yksittäiset prosessit • luonteeltaan (enemmän) operatiivinen • horisontaalinen arviointi • tuottaa myös tietoa koko liiketoiminnan arviointeihin • arvioijana riippumattomat arvioijat Auditointien lisäksi voi tietysti myös olla prosessitasolla itsearviointeja. Koko liiketoiminnan arvioinnissa tulevat myös keskeiset prosessit arvioiduiksi. Arviointien tuloksia tarkastellaan johdon katselmuksissa.69 0864/27.2.2010/jan (*) Ref.: laatupalkintokriteerit ja ISO 9004 -standardisto
  • 70. Näkökulmat itsearvioinnissa A Arviointikriteerit Organisaation Olennainen tieto arviointia varten: toimintaa koskevia Toiminta (menettelyt ja niiden soveltaminen) tosiasioita sekä toiminnasta johtuvat tulokset Organisaation toimintaa Arvioinnin koskevat tarpeet ja B tulokset ja johtopäätökset odotukset jatkotoimenpiteitä varten70 2715/2.1.2004/jan
  • 71. Evaluation of the performance of information security management • Assessment should be based on clear business-related methodology and criteria that gives recognition on improvement actions and development results. • Assessments can be made by – the first-party (the company itself) – a second party (customer), or – a third party (organization independent from the first two parties). • It is essential that the company’s own leadership self-assesses alongside business management and commences improvement initiatives and measures based on results of the assessment. • One can also present a first, second, or third party certificate on the basis of an assessment (or an audit), indicating how the assessment criteria are met. – Third party certificates have often had an overly emphasized significance. There are no unambiguous evidence that one could in reality assure information security on the basis of such certificates. – Focusing on certificates has also easily had a decelerating or damaging effect on striving towards continual improvement in realizing performance excellence.71 2481/2.3.2004/jan
  • 72. Organisaation tietoturvallisuuden hallinnan arviointi - 3in1-metodiikka Organisaation tietoturvallisuuden hallinnan kehittyneisyyttä arvoitaessa tarkastellaan erikseen organisaation toimintaa ja toiminnan kautta syntyneitä liiketoiminnan tuloksia tietoturvallisuuden kannalta: - Arvioinnissa ei ole tarkoituksena selvittää, täyttääkö organisaatio jotkin tietyt vaatimukset tietoturvallisuuden suhteen, vaan arvioida, miten tietoturvallisuus on organisaatiossa kehittynyt organisaation liiketoimintatarpeiden mukaisesti. - Kehittymistä arvioidaan prosesenttiasteikolla 0 … 100%. Karkeasti voitaisiin päätellä, että mailman parhaat organisaatiot ovat kaikkien arvioitavien aiheiden osalta 80% -tasolla ja Suomessa todennäköisesti ei ole 60% ylittäviä organisaatioita. - 60% taso edellyttää organisaatiolta tyypillisesti johdonmukaisia toiminnan arvioinnin ja parantamisen kierroksia usean vuoden ajan ja näistä seuraavia tulosten myönteisiä kehittymisiä. 3in1-metodiikka korostaa liiketoimintaintegrointia, koska siinä yhdistyy kolme eri näkökulmaa: (1) Alan standardit, erityisesti ISO/IEC 27002, (2) Ns. ekselenssimallit, joita yleisesti käytetään organisaatioiden liiketoiminta-arvioinneissa ja (3) tarkasteltavan organisaation oma liiketoiminta.72 3782/18.2.2010/jan
  • 73. Organisaation tietoturvallisuuden hallinnan arviointi - 3in1 Start -metodiikka Miten tietoturvallisuus on otettu huomioon organisaation toiminnassa? Miten tietoturvallisuus on toteutunut 1. Organisaatiolla on liiketoimintatarpeiden mukaisesti määritelty ja organisaation toiminnan tuloksissa? organisaation laajuisesti toteutettu yleinen suhtautuminen ja 1. Tietoturvallisuus on toteutunut suuntautuminen tietoturvallisuuteen (ns. tietoturvallisuuspolitiikka). tavara- ja palvelutuotteissa. 2. Organisaatiolla on koko liiketoiminnan ja sidosryhmien kattavasti 2. Tietoturvallisuuden hallinnalla on käytössä yleinen toimintamalli tietoturvallisuuden hallintaa varten. tulosvaikutukset organisaation 3. Organisaatiolla on asianmukaiset menettelyt liiketoiminnan tietojen sidosryhmien näkökulmasta hallintaa varten. tarkasteltuna. 4. Organisaation henkilöt ovat tietoisia siitä, miten heidän tulee 3. Tietoturvallisuuden hallinnalla on suhtautua ja toimia tietoturvallisuuden suhteen omissa tulosvaikutukset organisaation työtehtävissään. taloudellisten tulosten ja 5. Organisaation toimintatilat ja –ympäristöt ovat turvalliset tietojen markkina-aseman kannalta. hallinnan suhteen. 4. Tietoturvallisuus on toteutunut 6. Tietoturvallisuus on osana organisaation liiketoimintaprosessien henkilöstön toimintaa koskevien hallintaa ja viestintä. tulosten osalta. 7. Pääsyn hallinta liiketoiminnan tietoihin on toteutettu 5. Tietoturvallisuus on toteutunut asianmukaisesti. liiketoimintaprosessien 8. Tietoturvallisuus on otettu asianmukaisesti huomioon vaikuttavuudessa ja tietojärjestelmien hankinnoissa, kehittämisessä ja ylläpidossa. tehokkuudessa. 9. Tietoturvallisuuden ongelmatapausten hallintaa varten on käytössä 6. Tietoturvallisuus on toteutunut asianmukaiset menettelyt. johdon toimintaa koskevissa 10. Organisaation toiminnan jatkuvuus on saatu liiketoiminnan tietojen tuloksissa. osalta aikaan asianmukaisilla menettelyillä. 11. Organisaatiolla on käytössä asianmukaiset riskien hallinnan menettelyt tietoturvallisuuden suhteen.73 12. Organisaatiolla on käytössä asianmukaiset menettelyt sidosryhmien vaatimusten täyttämiseksi. 3783/18.2.2010/jan
  • 74. Toiminnan kehittyneisyyden määrääminen itsearvioinnissa Tarinavaihe =====> ====> Huipputaso Arvioitavan aiheen vaatimusten Aihetta koskevat vaatimukset ja toteuttamiseksi ei ole käytössä odotukset täytetään koko organisaatiossa suunnitelmallista toimintatapaa tädellisesti ja monipuolisesti tehokkaalla eikä toiminnan kehittäistä. suunnitelmallisella toimintatavalla täysin Ongelmiin reagoidaan ilman mitään heikkouksia tai puutteita. tilannekohtaisesti. Toiminta Analysointiin ja tiedon jakamiseen organisaation eri puolilla ei ole perustuvat arviointi- ja yhdensuuntaista parantamismenettelyt, organisaation oppiminen ja innovaatiot toteutuvat organisaationlaajuisesti ja johdonmukaisesti kaikilla toiminnan alueilla organisaation yksilöityjen liiketoimintatarpeiden mukaisesti.74 3695/18.4.2009/jan
  • 75. Toiminta on hyvää Toiminta on arvioinnissa pidetään hyvänä, jos: suunnitelmallisesta toiminnasta on osoitettavissa näyttöä arviointikohdan aiheen osalta arviointikohdan aihetta tarkastellaan ja johdetaan organisaatiossa kokonaisuutena toiminta on järkevää ja loogisesti perusteltua esim. analyyseillä tarpeista ja rajoituksista toiminnassa näkyy hyvä tehokas johtaminen, jonka tavoitteena on organisaation toiminnan jatkuva parantaminen ja tavoitteena erinomainen suorituskyky toimintatapaa ja sen soveltamista parannetaan säännöllisesti vaiheittain, jolloin toimintatavan asianmukaiset vertailukohteet ovat tiedossa toiminnassa on tehokkaasti otettu huomioon kaikki liiketoiminnan edellyttämät osapuolet ja muut liittyvät aiheet: asiakkaat/toimittajat/yhteiskunta ja toiminnot/välineistö/päätoiminta-alueet sekä tuotteet ja henkilötasot toiminnassa on painottunut ongelmien ehkäisy tarkastamisen ja korjaamisen sijasta toiminta on innovatiivista ja siten ainutlaatuista toiminnassa ei ole ongelmia eikä heikkouksia, jotka estävät arviointikohdan aiheen tehokkaan toteutumisen75 3696/26.8.2009/jan
  • 76. Tulosten kehittyneisyyden määrääminen itsearvioinnissa Tarinavaihe =====> ====> Huipputaso Ei ole tietoja tuloksista eikä Arvioitavaa aihetta koskevat tulokset kehittymisestä, tai tulostiedot ovat pääasiallisesti erinomaisia ottaen ovat huonoja arviointikohdan huomioon kaikki asiakas-, markkina- ja vaatimusten ja organisaation prosessivaatimukset sekä organisaation liiketoimintatavoitteiden liiketoiminnan tavoitteet sekä toiminta- suhteen. ja kehityssuunnitelmat. Tulostiedot osoittavat pysyvä myönteistä kehittymistä. Suorituskyvyn ja kehittymisen suhteen organisaatio osoittaa olevansa alallaan johtavien organisaatioiden joukossa.76 3697/18.2.2010/jan
  • 77. Tulokset ovat hyviä Tulosten osalta arvioinnissa arvostetaan hyvinä saavutuksina, jos: tosiasioihin perustuvaa tulostietoa on osoitettavissa organisaation toiminnalle tärkeiden arviointikohdan aiheen ja tunnussuureiden osalta ja koko toiminnan laajuudelta tulostietojen parantuminen ja sen nopeus osoittavat jatkuvaa ja merkittää organisaation toiminnan parantumista. ei ole olemassa huonoa kehitystä kuvaavia tuloksia eikä tasoltaan pysyvästi huonoja tuloksia ei ole huonoa tuloskehitystä eikä tasaisen huonoja tuloksia tai tietämäyyttä ko. asiasta tulokset ovat hyviä verrattuna omiin tavoitteisiin, kilpailijoihin ja muiden alojen parhaimpiin organisaatioihin tulokset on osoitettu seuraavan johtamistoimenpiteistä, ja mahdollisiin huonoihin tulosjaksoihin on reagoitu parantavasti77 3698/2.9.2009/jan
  • 78. Prosessien parantaminen Prosessien parantamiset tehdään projekteittain: • Prosessin jatkuva parantaminen, ”Kaizen” – pienet muutosaskeleet ja projektit olevan prosessisuunnitelman puitteissa – prosessitiimin jäsenet • Prosessien uudelleensuunnittelu, re-engineering – suuret, periaatteelliset muutokset, uusi prosessisuunnitelma – poikkiorganisatoriset projektiryhmät – benchmarking A P C D78 0933/7.2.2010/jan
  • 79. Organisaation suorituskyvyn jatkuva kehittäminen Aina valmiina, ei koskaan valmis! Menestyksen luominen perustuu kilpailuetujen (ylivoimaisten vahvuuksien) hyödyntämiseen Huipputasoa ja kehittämiseen ja tätä estävien heikkouksien poistamiseen. Kypsyyttä Johtamalla paremmaksi: Kykyä A P Tehokkuutta C D Alkua Tarinaa Aika79 3014/16.1. 2005/jan
  • 80. Organisaation kokonaisvaltainen oppiminen suorituskyvyn ylivoimaisuuteen Suhtautuminen Tietoisuus ja Suorituskyvyn ja uskomukset herkkyys Johtavat ylivertaisuus ajatukset MUUTOS ”Muutos- pumppu” TOIMINTA Tiedot ja (prosessit ja projektit) kyvykkyydet TULOKSET Menetelmät, Johtamis- työkalut, teoriat infrastruktuuri80 1597/3.3.2004/jan (Ref.: P. Senge, Learning organization)
  • 81. Muutos toiminnassa (*) 7. INTEGROINTI Kyvykkyys Luottamus - Uusi Suorituskyky suhtautuminen ja käyttäytyminen tullut toimintatavaksi 2. KIELTÄMINEN 6. MERKITYKSEN ETSINTÄ Puolustus - Vetäytyminen 3. EPÄPÄTEVYYS Uteliaisuus - Yritys ymmärtää vääriin kyvykkyyksiin. Suuttumus, turhau- miten ja miksi uusi toiminta on Muutoksen tarpeen tuminen ja sekaannus entistä parempi kieltäminen - Muutostarpeen ymmärtäminen, epävarmuus mitä 5. KOKEILU pitäisi tehdä Hapuilu - Uusien tapojen kokeilu ja onnistumisia mutta riskeillä 1. PYSÄHTYNEISYYS 4. TILANTEEN HYVÄKSYMINEN Järkytys - Todellisuus ei Suru - Periksi antaminen vanhoille täytä tarpeita tai odotuksia toimintatavoille / Innostus - Uusien mahdollisuuksien tiedostaminen81 Muutoksen alku Aika 2337/20.8.2002/jan (*) Ref.: Cranfield School of Management
  • 82. Tietoturvallisuuden hallinnan motto: Aina valmiina, ei koskaan valmis82 2595/7.8.2003/jan
  • 83. Juhani Anttila, Independent Expert Independent expert, Venture Knowledgist • Expertise of more than 40 years in the field of quality and 20 years of information security • 35 years at different quality related positions at Telecom Finland and Sonera Corporation • Several decades’ involvement with international and national standardization of quality, reliability, information security and telecommunications • Many years Assembly Representative and Vice President of the European Organization for Quality (EOQ) • A founder and developer of the Finnish National Quality Award, Developer and assessor of the European Quality Award • International Academician for Quality (Member of the International Academy for Quality) • Honorary Member of the Finnish Society for Quality, Honorary Fellow Member of Quality and Productivity Society of Pakistan • Board member or chairman in some companies • Expert adviser in several organizations in quality management, dependability management, information security management, crisis management and social media, and lecturer in some universities • Expert in projects in some developing countries • Contributing by writings, lectures, and speeches globally on five continents83 3678x/3.5.2009/jan (Ref.: http://www.qualityintegration.biz/contacts.html )