Your SlideShare is downloading. ×
Tietoturva ja bisnes
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Tietoturva ja bisnes

638
views

Published on

Keynote-puheenvuoro TIETOTURVA 2011-tapahtumassa 1.12.2010

Keynote-puheenvuoro TIETOTURVA 2011-tapahtumassa 1.12.2010


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
638
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 1 Tietoturvariskit ja bisnes Jyrki Kontio, Ph.D. www.jyrkikontio.fi www.rdware.com © Copyright Jyrki Kontio, 2010 Information about the use and licensing of this material: http://creativecommons.org/licenses/by-nc-nd/3.0/
  • 2. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 2 Jyrki Kontio, Ph.D.  Founding partner at R & D-Ware Oy, http://www.rdware.com  Risk mgmt consulting and training  Software engineering consulting  Technical due diligence  Process management and improvement  Professor of Software Business @ Helsinki University of Technology, 2002 - 07  Acting (part-time) professor of Software Engineering at Helsinki University of Technology (1997-2000)  Nokia, 1986 – 2002  Knowledge-based systems research and consulting at Research Center  Manager of the software engineering research group at Research Center  Quality manager at a business unit  Senior manager at Nokia Networks: process management  Principal Scientist at Nokia Research Center, software capability  Other experience  Senior researcher at University of Maryland in prof. Basili’s research group (1994-96)  Software development and management in software houses and corporations (1982-1986)  Contact information  Email: jyrki.kontio@iki.fi, http://www.jyrkikontio.fi/  Tel: +358 40 8232 800
  • 3. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 3 Pääkohdat  Liiketoiminnallisten vaikutusten arviointi  Mikä on organisaatiolle oikea tietoturvariskienhallinnan taso ja miten se rakennetaan?  Miten tietoturvariskejä voi tunnistaa ja priorisoida liiketoiminnan näkökulmasta?
  • 4. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 4 Mitä riski tarkoittaa?
  • 5. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 5 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company”
  • 6. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 6 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company” Risk factor: something that influences risks Risk event: occurrence of the risk Risk effects: effects of risk Risk outcome: consequence of an event Risk probability:
  • 7. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 7 Riskit ja mahdollisuudet  Epävarmuuteen liittyy sekä haittoja että hyötyjä  Riskit  Mahdollisuudet  Tietoturvariskien hallinnassa haitat pääkohde  Mahdollisuudet voivat tarjota lisähyötyjä Epävarmuuden hallinta Haitta (Riski) Hyöty (Mahdollisuus) Toden- näköisyys Vaikutus
  • 8. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 8 Riskin määritelmä  Yleinen määritelmä:  Ei-toivotun seuraamuksen mahdollisuus – tai mikä tahansa asia, joka liittyy tähän mahdollisuuteen  Riskiin liittyy aina kaksi keskeistä osaa:  Haitta: jokin tavoitteiden kannalta haitallinen seuraamus  Todennäköisyys: ei ole varmuutta riskin toteutumisesta
  • 9. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 9 Riskin määritelmä  Tavoitteiden saavuttamiseen liittyvä epävarmuus  Pääasiat:  Todennäköisyys: riskin toteutumiseen liittyy epävarmuus  Haitta: tavoitteiden kannalta huono asia Riski Toden- näköisyys Haitta
  • 10. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 10 Riskienhallinnan tulee perustua sidosryhmäanalyysiin Sidosryhmät ja tarpeet  Riskin merkittävyyden arviointi perustuu haitan arviointiin – se puolestaan riippuu tavoitteista ja tavoitteiden tärkeydestä kullekin osapuolelle:  Tavoitteet ja odotukset: haitan arviointi ei ole mahdollista ilman tietoa tavoitteista  Sidosryhmä (osapuoli): tavoitteet ja odotukset ovat erilaisia eri osapuolille Riski Toden- näköisyys Haitta Tavoite Sidosryhmä
  • 11. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 11 Tietoturvan riskienhallinnan tavoitteet  Kontrolli  Ehkäisevät toimenpiteet estävät tai pienentävät riskien vaikutuksia  Vähemmän työtä toteutuneiden riskien haittojen korjaamiseksi  Luotettavampip ja ennustettavampi toiminta  Ennakointitieto  Investointien teko  Toiminnan suunnittelu  Resurssien varaus  Voidaan tehdä tietoisia päätöksiä riskinotosta  Yhdenmukainen ymmärrys organisaation riskeistä  Riskeistä oppiminen: parantunut riskinottokyky  Parempi maine  Parempi luottamus yritykseen  Tehokas tietoturva  Vähemmän kriisejä  Liikesalaisuuksien arvo säilyy  Parempi ymmärrys otettujen riskien merkityksestä
  • 12. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 12 Riskien hallinta  Riskien hallinta tarkoittaa systemaattista ja läpinäkyvää tapaa tunnistaa, analysoida ja kontrolloida riskejä ennen kuin ne tapahtuvat  Riskien hallinta tuottaa kaksi tulosta:  Toimenpiteet, joilla vaikutetaan riskeihin  Tietoa riskeistä ja riskitasosta  Vain toimenpiteet pienentävät riskejä! Riskienhallinta- prosessi Ymmärrys riskeistä Toimenpiteet Tilannetieto Menetelmät
  • 13. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 13 TIETOTURVAN LIIKETOIMINNALLISTEN VAIKUTUSTEN ARVIOINTI
  • 14. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 14 Tietoturvan sidosryhmät  Sidosryhmällä tarkoitetaan ihmistä tai organisaatiota joka vaikuttaa projektiin tai johon projekti vaikuttaa  Sidosryhmiin voi kuulua esim.  Asiakkaat  Yritys  Osakkeenomistajat  Henkilökunta  Yhteistyökumppanit  Yhteiskunta  Sidosryhmien tietoturvatavoitteet tulee kartoittaa
  • 15. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 15 Liiketoiminnallisten vaikutusten arviointi  Vaihe 1: Sidosryhmät  Tunnista ja priorisoi  Vaihe 2: Tietoturvatarpeet  Tunnista tarpeet  Arvioi ne sekä liiketoiminnallisten että muiden vaikutusten kannalta  Priorisoi tarpeet sidosryhmittäin  Vaihe 3: Vaikutukset  Kuvaa tietoturvatarpeen merkitys kunkin sidosryhmän kannalta  Vaihe 4: Priorisoi  Arvioi kunkin sidosryhmän ja tarpeen merkitys liiketoiminnan kannalta
  • 16. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 16 Sidosryhmäanalyysi: esimerkki Asiakkaat Yritys Kumppanit Henkilö- kunta Yhteis- kunta Luottamuksellisen tiedon suojaus Järjestelmien toimivuus Liikesalaisuuksien suojaus IT-resurssien käytön suojaus
  • 17. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 18 Yhteenveto  Sidosryhmien ja heidän tavoitteidensa priorisointi auttaa riskien analyysissä  Tärkeysjärjestyksen ei tarvitse olla tarkka  Sidosryhmäanalyysi on tärkeä riskienhallinnan lähtökohta  Osa modernia projektijohtamista
  • 18. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 19 TIETOTURVAN RISKIENHALLINNAN KYVYKKYYS
  • 19. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 20 Käytäntö  Amatöörimäinen riskienhallinta  Käytössä ei ole menetelmiä, ohjeistusta tai työpohjia  Perustuu intuitioon, ei analyysiin  Riskienhallinnan tuloksia ei dokumentoida  Reagointia, ei ennakointia – riskit ratkotaan vasta niiden lauettua  Yleinen tapa toimia  Ohjeita ja työpohjia on olemassa – mutta niitä ei käytetä systemaattisesti tai tehokkaasti  Riskilokit täytetään projektin alussa, mutta niitä ei ylläpidetä  Riskienhallintatoimenpiteet ovat prosessin pääkohdissa mukana vaatimuksni, mutta niitä noudatetaan harvoin  Parhaiden yritysten käytännöt  Yrityksellä on riskipolitiikka, joka kuvaa riskienhallinnan tavoitteet, vastuut ja keinot  Riskienhallinnan koulutusta tarjotaan henkilökunnalle  Johto keskustelee riskeistä ja seuraa niitä – riskit ovat johtoryhmän agendoilla  Riskienhalinnan menetelmät, ohjeistus ja työpohjat ovat olemassa, niitä käytetään ja niitä kehitetään jatkuvasti  Aktiivista riskienhallintaa vaaditaan ja sitä tuetaan
  • 20. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 21 Riskienhallinnan päävaiheet Keskity keskeisten tehtävien suorittamiseen Tunnista Arvioi Kontrolloi Seuraa Potentiaaliset uhat Priorisoidut riskit Toimenpiteet Uutta informaatiota Uudet uhat Riittämätön vaikutus
  • 21. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 22 Riskien tunnistaminen  Riskien tunnistamisessa tulee käyttää useita tekniikoita  Yhteistyö ja keskustelut useiden ihmisten kanssa parantavat osumatarkkuutta  Aivoriihitekniikat ja tarkistuslistat ovat tehokkaita apuvälineitä riskien tunnistamisessa
  • 22. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 23 Riskien ymmärtäminen Riskit-menetelmän kuvaustekniikka Riskit-menetelmän kuvaustekniikka  Jäsentää riskien kuvausta  Esittää riskin osien riippuvuudet visuaalisesti  Tukee kommunikaatiota ja analyysiä  Voidaan kuvata myös verbaalisesti Reaction Reaction Factor Risk factor Event Risk event Effect set Risk effects
  • 23. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 24 Riskitekijä (Risk Factor)  Asia (“fakta”), joka vaikuttaa jonkun riskitapahtuman todennäköisyyteen tai olemassaoloon  Kuvaa tilannetta ja ympäristöä – esim. resursseja tai rajoitteita  Riskitekijään ei liity todennäköisyyttä  Tyypillisesti kuvaavat asioita, joiden takia tilanne on riskipitoisempi kuin normaalisti  Myös positiivisiä tekijöitä voidaan luetella riskitekijöinä Factor Risk factor Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riskitekijä • Henkilökunnan kokemattomuus • Uuden teknologian käyttö • Uusien menetelmien käyttö • Alihankkijoiden käyttö • Epäterveellinen ruokavalio • Asuminen maanjäristysvyöhykkeellä • Lumisade
  • 24. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 25 Riskitapahtuma (Risk Event)  Kuvaa ei-toivotun tapahtuman  Erikoistapaus: käy ilmi, että aiemmat oletukset tai suunnitelmat eivät pidä paikkaansa  Riskitapahtumalla on todennäköisyys – ei ole varmuutta siitä, tapahtuuko se vai ei  Useat riskitekijät voivat vaikuttaa tapahtumaan  Voi myös vaikuttaa muihin riskeihin Event Risk event Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- tapahtuma • Avainhenkilö irtisanoutuu • Asennukset eivät ole valmiina ajoissa • Alihankkijan toimitus myöhästyy • Testiajot epäonnistuvat • Sydänkohtaus • Maanjäristys • Autokolari
  • 25. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 26 Riskireaktio (Risk Reaction)  Kuvaa riskitapahtuman jälkeisen reaktion  Reaktiot vaikuttavat siihen, mikä on riskin laukeamisen lopullinen vaikutus tavoitteisiin Reaction Risk reaction Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- reaktio • Konsulttien käyttö korvaamaan puuttuvia resursseja • Aikataulun suunnittelu uudelleen • Ylityöt • Hoito sairaalassa, leikkaus • Rakennusten korjaus • Auton hinaus korjaamoon
  • 26. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 27 Riskivaikutukset (Risk Effects)  Kuvaa riskin lopullista vaikutusta tavoitteisiin  Huomioiden reaktion vaikutuksen  Vaikutukset voidaan kuvata numeroina tai verbaalisesti Effect set Risk effect set Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- vaikutukset • Budjetin ylitys 100 K€ • Kuukauden viivästys aikatauluun • Asiakas huomattavan tyytymätön • Menetetty työaika • Kipu ja särky • Korjauskustannukset • Nousseet vakuutusmaksut
  • 27. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 28 Risk Statements Koska <riskitekijät> On mahdollista että <riskitapahtuma> Josta seuraa <riskivaikutukset> Factor Event Effect set
  • 28. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 29 YHTEENVETO
  • 29. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 30 Tietoturvan riskienhalinnan haasteita  Tilastotietoa on vaikea saada  Varsinkin uusista uhista ei ole historiatietoa  Riskejä on vaikea kvantifioida  Esim. asiakkaan luottamuksen menetys tai mainevahinko  Uhkien epäsuoria vaikutuksia on vaikea arvioida  Epäsuoria vaikutuksia voi olla paljon  Ne voivat vaikuttaa muihin sidosryhmiin  Riskien arvioinnin tulokset vanhenevat nopeasti  Uudet teknologiat ja ympäristöt  Hakkereiden uudet toimintatavat GAO, 1999
  • 30. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 31 Menestystekijät 1. Hanki johdun ymmärrys ja tuki 2. Keskity olennaiseen 3. Määritä selkeät menetelmät ja toimintatavat 4. Osallistuta sekä teknisiä asiantuntijoita, johtoa että käyttäjiä 5. Anna vastuu liiketoimintayksiköille 6. Pidä kunkin vaiheen fokus rajattuna  Tarvittaessa myös analysoi alue pala kerrallaan 7. Dokumentoi tulokset ja toista prosessi riittävän useinGAO, 1999
  • 31. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 32 Yhteenveto  Tietoturvariskien hallinta tulee olla systemaattista ja läpinäkyvää  Sidosryhmien ja tarpeiden tunnistaminen auttaa tunnistamaan tehokkaita toimenpiteitä  Riskien tunnistaminen ja analyysi täytyy tehdä riittävän usein