2. Esityksessäni
• Hallitseeko organisaatio riskejä vai meneekö työ tulipalojen
sammutteluun?
• Riskit pääsevät laukeamaan
• Miksi tietoturvallisuus koetaan niin hankalaksi?
• Todennäköisesti tietoja yliluokitellaan ja tämän takia on toteutettu liian
tiukat suojakontrollit
• Miksi erilaiset ict-toiminnan häiriöt aiheuttavat meille niin paljon
ongelmia?
• Tiedetäänkö, mikä on organisaation toiminnassa oikeasti kriittistä?
• Mistä organisaatiosi tietää, missä näissä osa-alueissa mennään ja
mikä on tilanne?
• Raportointi ja erilaiset auditoinnit
=> Uudenlainen laadun kaava
20.5.2014Valtori – Kimo Rousku –
4. Riskienhallinta
• Kuinka moni aamulla kotoa lähtiessään jätti ulko-oven sulkematta,
kahvinkeittimen päälle ja vesihanan juoksemaan?
• Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sekä
suojautumaan järkevästi eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia
riskejä vastaan esimerkiksi
• Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit
sen on pitänyt tunnistaa ja arvioida, päättää riskienhallintakeinot ja mahdollinen
varautuminen vahinkoihin sekä huolehtia prosessin jatkuvasta seurannasta.
20.5.2014Valtori – Kimo Rousku –
7. Riskienhallinta
• Riskienhallintakokonaisuudessa tärkeintä ei ole alkuvaiheessa
keskittyminen itse menetelmään tai käytettävään työvälineeseen vaan
se, että prosessi saadaan organisaatiossa toimintaan.
• Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden
organisaatiolle tunnistaa sen toimintaa, suorituskykyä kehittäviä ja
parantavia mahdollisuuksia
⇒ riskien- ja mahdollisuuksienhallinta
• Pienennetään tavoitteiden saavuttamista ja toimintaa uhkaavia riskejä sekä
samalla etsitään mahdollisuuksia parantaa organisaation suorituskykyä ja
toimintaa
20.5.2014Valtori – Kimo Rousku –
8. Riskienhallinta
•Miten?
• organisaation johto hyväksyy
riskienhallintapolitiikan /
linjauksen, joka toteutetaan ja
jalkautetaan läpi koko
organisaation
20.5.2014Valtori – Kimo Rousku –
9. Tiedon turvaaminen
• Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen
yhden osa-alueen, luottamuksellisuuden, takaamiseen
Luottamuk-
sellisuus
Eheys Saatavuus
Eheys Saatavuus
Eheys
Saatavuus
Nämä kolme tietoturvallisuuden
osa-aluetta voivat olla tasa-
painossa, tosin hyvin harvoin
Julkisen tiedon osalta eheys ja
saatavuus voivat olla tärkeässä
roolissa
Etenkin erilaisten kriittisten
viestintä- ja tiedotuspalveluiden
osalta 24/7/365 saatavuus
saattaa olla tärkein vaatimus
20.5.2014Valtori – Kimo Rousku –
Muista!
Tiedon turvaaminen,
ei holvaaminen
tai halvaannutta-
minen
10. Tiedon turvaaminen
• Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen
organisaation pitää luokitella suojattavat kohteet – perus | korotettu |
korkea taso. Luokittelussa pitää huomioida tiedon
luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvät
vaatimukset.
• Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty
kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen
• Jos kohteeseen liittyvää tietoa yliluokitellaan, kohdistettavat
suojausmenetelmät (kontrollit) maksavat liikaa
• Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana
tietovuoto), eheys (tietoja saatetaan päästä muuttamaan hallitsemattomasti)
tai saatavuus (kriittinen palvelu ei ole käytettävissä silloin kun on tarve)
20.5.2014Valtori – Kimo Rousku –
12. Jatkuvuuden takaaminen
• ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista.
• Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama
koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin,
mutta jokainen ysi maksaa lisää rahaa
• Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun
saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (SLA). Jos palvelu ei ole
organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon
kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä.
Häiriötiedote
Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ
ei ole toiminnassa.
Ilmoitamme lisätietoja kahden tunnin kuluttua,
mikäli häiriötä ei saada ennen sitä korjattua.
20.5.2014Valtori – Kimo Rousku –
13. Jatkuvuuden takaaminen
• Häiriötilanne – tilanne korjaantuu pikku hiljaa, kun sitä aletaan
korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole
palvelutasosopimusta?
• Häiriötilanne – koska kyseessä on kriittinen palvelu, saadaan a) häiriö
havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen
korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman
merkittävää vaikutusta toimintaan
20.5.2014Valtori – Kimo Rousku –
14. Jatkuvuuden takaaminen
• Miten?
• organisaatio on luokitellut kohteet (toiminto |
prosessi | ICT-järjestelmä) kriittisyyden mukaan
ja edellyttänyt sen tuottamisessa tarvittavia
varautumiseen liittyvä vaatimuksia sekä
käytössä on kriittisyyden mukainen palvelutaso.
Nämä molemmat koskevat sekä itse tuotettuja
tai ulkoistettuja palveluita.
20.5.2014Valtori – Kimo Rousku –
15. Säännöllinen seuranta
• Kaikki edellä oleva edellyttää seurantaa, joka koostuu esimerkiksi
säännöllisestä raportoinnista ja vaatimustenmukaisuuden täyttymisen
arvioinnista eli auditoinneista. Muutama esimerkki:
• Riskienhallinta
• Mistä tietää että tämä ei toimi? Samat riskit pysyvät korkeina jopa vuodesta
toiseen – tehtyjä toimenpiteiden mukaisia päätöksiä pitää valvoa ja seurata,
että ne toteutetaan, jolloin niiden riskiarvon tulisi pienentyä – ja uusia
nousta tilalle
• Tiedon turvaaminen
• Onko organisaation toiminnot | prosessit | tietojärjestelmät luokiteltu sekä
tietoturvallisuuden että jatkuvuuden osalta perus | korotettu | korkea sekä
tämän ja asiakastarpeen perusteella luotu kohteen kriittisyydestä luokitus?
Kun kriittisyys tiedetään, voidaan myös kohteeseen liittyvät sekä toimittaja
että asiakasraportointi suhteuttaa kohteen tärkeyden mukaisesti
20.5.2014Valtori – Kimo Rousku –
16. Säännöllinen seuranta
• Jatkuvuuden takaaminen
• Palvelutasoa on seurattava! Kun jotain on tapahtunut (häiriö tai ongelma) ja siitä saadaan
raportti niin samalla pitää selvittää keinot, millä saman häiriön toistuminen voidaan välttää
• Auditoinnit => vaatimustenmukaisuuden todentaminen
• Mitä kriittisemmästä kohteesta on kyse, sitä tärkeämpää on arvioida kohteen
vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina.
• Auditoinnin tilaaja määrittää, mitkä ovat ne vaatimukset, joita toteutumista arvioinnissa
tullaan tarkastelemaan.
• Valtaosan edellä kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja
jatkuvuuden hallinnan osalta täyttämällä valtionhallinnon tietoturvatasojen (VAHTI
2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla.
20.5.2014Valtori – Kimo Rousku –
17. Laadun kaava - kertaus
• Seuranta ja raportointi
Riskienhallinta
Tiedon
turvaaminen
Jatkuvuuden
takaaminen
Saavutetaan
tavoitteet ja
hallitaan
toimintaa
uhkaavia
kriittisiä riskejä
Salassa
pidettävät
tiedot eivät
vuoda, tiedot
säilyvät eheinä
ja ovat
saatavilla niitä
tarvitseville
henkilöille
Häiriö saadaan
hallintaan
sovitun
mukaisesti
ilman että se
uhkaa
toimintaa
Vuosikello,
auditoinnit,
raportointi
20.5.2014Valtori – Kimo Rousku –
Toteutetaan samalla tieto- ja
yksityisyydensuojaa !
18. Valtorin tietoturvallisuuden asiantuntijapalvelut
• Tarvitsetko apua riskienhallintaan,
tietoturvallisuuden tai jatkuvuuden hallinnan
kehittämiseen tai onko organisaatiollasi tarvetta
tehdä ulkopuolisen tahon tekemä auditointi?
• Käytössämme on omien asiantuntijoiden ohella
>100 alihankkijamme turvallisuusselvitettyä,
vaitiolositoumuksen allekirjoittanutta konsulttia
• Ota yhteys Valtorin asiakasvastaaviin tai
ttpalvelut@valtori.fi saadaksesi lisätietoa!
20.5.2014Valtori – Kimo Rousku –
19. Kiitos!
TULOSSA:
Valtorin asiakaspäivä 31.10.2014 Helsingissä
Merkitse päivä jo kalenteriisi!
Tervetuloa!
Apulaisjohtaja Kimmo Rousku
Valtion tieto- ja viestintätekniikkakeskus Valtori
kimmo.rousku@valtori.fi
20.5.2014Valtori – Kimo Rousku –