SlideShare a Scribd company logo

Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Valtiokonttori / Statskontoret / State Treasury of Finland
Valtiokonttori / Statskontoret / State Treasury of Finland

Valtiokonttori Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Apulaisjohtaja Kimmo Rousku, Valtion tieto- ja viestintätekniikkakeskus Valtori Valtio Expo 20.5.2014

Government & Nonprofit
1 of 19
Download to read offline
Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Kimmo Rousku Apulaisjohtaja
Esityksessäni • Hallitseeko organisaatio riskejä vai meneekö työ tulipalojen sammutteluun? • Riskit pääsevät laukeamaan • Miksi tietoturvallisuus koetaan niin hankalaksi? • Todennäköisesti tietoja yliluokitellaan ja tämän takia on toteutettu liian tiukat suojakontrollit • Miksi erilaiset ict-toiminnan häiriöt aiheuttavat meille niin paljon ongelmia? • Tiedetäänkö, mikä on organisaation toiminnassa oikeasti kriittistä? • Mistä organisaatiosi tietää, missä näissä osa-alueissa mennään ja mikä on tilanne? • Raportointi ja erilaiset auditoinnit => Uudenlainen laadun kaava 20.5.2014Valtori – Kimo Rousku –
Lähtötilanne Riskit ja myös mahdollisuudet Tiedon turvaaminen Jatkuvuuden takaaminen Säännöllinen seuranta Laatu 20.5.2014Valtori – Kimo Rousku –
Riskienhallinta • Kuinka moni aamulla kotoa lähtiessään jätti ulko-oven sulkematta, kahvinkeittimen päälle ja vesihanan juoksemaan? • Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sekä suojautumaan järkevästi eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia riskejä vastaan esimerkiksi • Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit sen on pitänyt tunnistaa ja arvioida, päättää riskienhallintakeinot ja mahdollinen varautuminen vahinkoihin sekä huolehtia prosessin jatkuvasta seurannasta. 20.5.2014Valtori – Kimo Rousku –
Riskienhallinta Riskienhallintapolitiikka • Riskienhallinnan tavoitteet • Riskien tunnistaminen ja arviointi • Riskien käsittely • Toimenpiteistä päättäminen ja näiden toimenpiteiden toteuttaminen • Toteutumisen seuranta Jatkuvaparantaminen Viestintä,seuranajavalvonta 20.5.2014Valtori – Kimo Rousku –
Strateginen taso Taktinen taso Operatiivinen taso Organisaation eri tasoilla toteutetaan riskienhallintaa eri näkökulmista. Esimerkiksi tietoturvallisuuden osalta riskienhallinta pitää viedä osaksi myös palveluiden tietoturvallisuuden vuosikelloa 20.5.2014Valtori – Kimo Rousku –
Riskienhallinta • Riskienhallintakokonaisuudessa tärkeintä ei ole alkuvaiheessa keskittyminen itse menetelmään tai käytettävään työvälineeseen vaan se, että prosessi saadaan organisaatiossa toimintaan. • Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden organisaatiolle tunnistaa sen toimintaa, suorituskykyä kehittäviä ja parantavia mahdollisuuksia ⇒ riskien- ja mahdollisuuksienhallinta • Pienennetään tavoitteiden saavuttamista ja toimintaa uhkaavia riskejä sekä samalla etsitään mahdollisuuksia parantaa organisaation suorituskykyä ja toimintaa 20.5.2014Valtori – Kimo Rousku –
Riskienhallinta •Miten? • organisaation johto hyväksyy riskienhallintapolitiikan / linjauksen, joka toteutetaan ja jalkautetaan läpi koko organisaation 20.5.2014Valtori – Kimo Rousku –
Tiedon turvaaminen • Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen Luottamuk- sellisuus Eheys Saatavuus Eheys Saatavuus Eheys Saatavuus Nämä kolme tietoturvallisuuden osa-aluetta voivat olla tasa- painossa, tosin hyvin harvoin Julkisen tiedon osalta eheys ja saatavuus voivat olla tärkeässä roolissa Etenkin erilaisten kriittisten viestintä- ja tiedotuspalveluiden osalta 24/7/365 saatavuus saattaa olla tärkein vaatimus 20.5.2014Valtori – Kimo Rousku – Muista! Tiedon turvaaminen, ei holvaaminen tai halvaannutta- minen
Tiedon turvaaminen • Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen organisaation pitää luokitella suojattavat kohteet – perus | korotettu | korkea taso. Luokittelussa pitää huomioida tiedon luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvät vaatimukset. • Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen • Jos kohteeseen liittyvää tietoa yliluokitellaan, kohdistettavat suojausmenetelmät (kontrollit) maksavat liikaa • Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana tietovuoto), eheys (tietoja saatetaan päästä muuttamaan hallitsemattomasti) tai saatavuus (kriittinen palvelu ei ole käytettävissä silloin kun on tarve) 20.5.2014Valtori – Kimo Rousku –
Tiedon turvaaminen •Miten? • tietoturvallisuusasetuksen mukaisesti suojattavat kohteet luokitellaan sekä täytetään tietoturvallisuusasetuksen mukaiset vaatimukset 20.5.2014Valtori – Kimo Rousku –
Jatkuvuuden takaaminen • ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista. • Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lisää rahaa • Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (SLA). Jos palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä. Häiriötiedote Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ ei ole toiminnassa. Ilmoitamme lisätietoja kahden tunnin kuluttua, mikäli häiriötä ei saada ennen sitä korjattua. 20.5.2014Valtori – Kimo Rousku –
Jatkuvuuden takaaminen • Häiriötilanne – tilanne korjaantuu pikku hiljaa, kun sitä aletaan korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole palvelutasosopimusta? • Häiriötilanne – koska kyseessä on kriittinen palvelu, saadaan a) häiriö havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman merkittävää vaikutusta toimintaan 20.5.2014Valtori – Kimo Rousku –
Jatkuvuuden takaaminen • Miten? • organisaatio on luokitellut kohteet (toiminto | prosessi | ICT-järjestelmä) kriittisyyden mukaan ja edellyttänyt sen tuottamisessa tarvittavia varautumiseen liittyvä vaatimuksia sekä käytössä on kriittisyyden mukainen palvelutaso. Nämä molemmat koskevat sekä itse tuotettuja tai ulkoistettuja palveluita. 20.5.2014Valtori – Kimo Rousku –
Säännöllinen seuranta • Kaikki edellä oleva edellyttää seurantaa, joka koostuu esimerkiksi säännöllisestä raportoinnista ja vaatimustenmukaisuuden täyttymisen arvioinnista eli auditoinneista. Muutama esimerkki: • Riskienhallinta • Mistä tietää että tämä ei toimi? Samat riskit pysyvät korkeina jopa vuodesta toiseen – tehtyjä toimenpiteiden mukaisia päätöksiä pitää valvoa ja seurata, että ne toteutetaan, jolloin niiden riskiarvon tulisi pienentyä – ja uusia nousta tilalle • Tiedon turvaaminen • Onko organisaation toiminnot | prosessit | tietojärjestelmät luokiteltu sekä tietoturvallisuuden että jatkuvuuden osalta perus | korotettu | korkea sekä tämän ja asiakastarpeen perusteella luotu kohteen kriittisyydestä luokitus? Kun kriittisyys tiedetään, voidaan myös kohteeseen liittyvät sekä toimittaja että asiakasraportointi suhteuttaa kohteen tärkeyden mukaisesti 20.5.2014Valtori – Kimo Rousku –
Säännöllinen seuranta • Jatkuvuuden takaaminen • Palvelutasoa on seurattava! Kun jotain on tapahtunut (häiriö tai ongelma) ja siitä saadaan raportti niin samalla pitää selvittää keinot, millä saman häiriön toistuminen voidaan välttää • Auditoinnit => vaatimustenmukaisuuden todentaminen • Mitä kriittisemmästä kohteesta on kyse, sitä tärkeämpää on arvioida kohteen vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina. • Auditoinnin tilaaja määrittää, mitkä ovat ne vaatimukset, joita toteutumista arvioinnissa tullaan tarkastelemaan. • Valtaosan edellä kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja jatkuvuuden hallinnan osalta täyttämällä valtionhallinnon tietoturvatasojen (VAHTI 2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla. 20.5.2014Valtori – Kimo Rousku –
Laadun kaava - kertaus • Seuranta ja raportointi Riskienhallinta Tiedon turvaaminen Jatkuvuuden takaaminen Saavutetaan tavoitteet ja hallitaan toimintaa uhkaavia kriittisiä riskejä Salassa pidettävät tiedot eivät vuoda, tiedot säilyvät eheinä ja ovat saatavilla niitä tarvitseville henkilöille Häiriö saadaan hallintaan sovitun mukaisesti ilman että se uhkaa toimintaa Vuosikello, auditoinnit, raportointi 20.5.2014Valtori – Kimo Rousku – Toteutetaan samalla tieto- ja yksityisyydensuojaa !
Valtorin tietoturvallisuuden asiantuntijapalvelut • Tarvitsetko apua riskienhallintaan, tietoturvallisuuden tai jatkuvuuden hallinnan kehittämiseen tai onko organisaatiollasi tarvetta tehdä ulkopuolisen tahon tekemä auditointi? • Käytössämme on omien asiantuntijoiden ohella >100 alihankkijamme turvallisuusselvitettyä, vaitiolositoumuksen allekirjoittanutta konsulttia • Ota yhteys Valtorin asiakasvastaaviin tai ttpalvelut@valtori.fi saadaksesi lisätietoa! 20.5.2014Valtori – Kimo Rousku –
Kiitos! TULOSSA: Valtorin asiakaspäivä 31.10.2014 Helsingissä Merkitse päivä jo kalenteriisi! Tervetuloa! Apulaisjohtaja Kimmo Rousku Valtion tieto- ja viestintätekniikkakeskus Valtori kimmo.rousku@valtori.fi 20.5.2014Valtori – Kimo Rousku –

Recommended

Tietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissaTietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissa2NS
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Jukka Rautanen: Valtorin asiakasyhteistyö
Jukka Rautanen: Valtorin asiakasyhteistyöJukka Rautanen: Valtorin asiakasyhteistyö
Jukka Rautanen: Valtorin asiakasyhteistyöValtiokonttori / Statskontoret / State Treasury of Finland
 
Lisämyynnillä huipputuloksiin -tilaisuuden materiaali
Lisämyynnillä huipputuloksiin -tilaisuuden materiaaliLisämyynnillä huipputuloksiin -tilaisuuden materiaali
Lisämyynnillä huipputuloksiin -tilaisuuden materiaaliSuomen Ekonomit
 

Recommended

Tietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissaTietoturvan huomiointi järjestelmähankinnoissa
Tietoturvan huomiointi järjestelmähankinnoissa2NS
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Nixu Corporation
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
 
Jukka Rautanen: Valtorin asiakasyhteistyö
Jukka Rautanen: Valtorin asiakasyhteistyöJukka Rautanen: Valtorin asiakasyhteistyö
Jukka Rautanen: Valtorin asiakasyhteistyöValtiokonttori / Statskontoret / State Treasury of Finland
 
Lisämyynnillä huipputuloksiin -tilaisuuden materiaali
Lisämyynnillä huipputuloksiin -tilaisuuden materiaaliLisämyynnillä huipputuloksiin -tilaisuuden materiaali
Lisämyynnillä huipputuloksiin -tilaisuuden materiaaliSuomen Ekonomit
 
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusTurvallisuus- ja kemikaalivirasto (Tukes)
 
Turvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissaTurvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissaTurvallisuus- ja kemikaalivirasto (Tukes)
 
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnille
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnilleLuottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnille
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnilleVisma Duetto Oy
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...
Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...
Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna HeiskanenStudia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna HeiskanenSuomen Pankki
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenValtiokonttori / Statskontoret / State Treasury of Finland
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Kiwa Inspecta Suomi
 
Suun kanta seminaari-150309_mykkänen
Suun kanta seminaari-150309_mykkänenSuun kanta seminaari-150309_mykkänen
Suun kanta seminaari-150309_mykkänenSosiaali- ja terveysministeriö / yleiset
 
Sfs it-2010
Sfs it-2010Sfs it-2010
Sfs it-2010Juhani Anttila
 
IAM strategia - Kompastelematta maaliin
IAM strategia - Kompastelematta maaliinIAM strategia - Kompastelematta maaliin
IAM strategia - Kompastelematta maaliinThomas Malmberg
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Kehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfKehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfkauttil1
 
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416THL
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairsKimmo Vesajoki
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Kiwa Inspecta Suomi
 
FINFOSEC
FINFOSECFINFOSEC
FINFOSECGovernify
 
Esitys+l klle
Esitys+l klleEsitys+l klle
Esitys+l klleMatti Leskinen
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 
Valtiokonttorin_esittelymateriaali.pptx
Valtiokonttorin_esittelymateriaali.pptxValtiokonttorin_esittelymateriaali.pptx
Valtiokonttorin_esittelymateriaali.pptxValtiokonttori / Statskontoret / State Treasury of Finland
 
Valtiokonttori-pähkinänkuoressa.pptx
Valtiokonttori-pähkinänkuoressa.pptxValtiokonttori-pähkinänkuoressa.pptx
Valtiokonttori-pähkinänkuoressa.pptxValtiokonttori / Statskontoret / State Treasury of Finland
 

More Related Content

Similar to Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnille
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnilleLuottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnille
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnilleVisma Duetto Oy
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna HeiskanenStudia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna HeiskanenSuomen Pankki
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Kiwa Inspecta Suomi
 
IAM strategia - Kompastelematta maaliin
IAM strategia - Kompastelematta maaliinIAM strategia - Kompastelematta maaliin
IAM strategia - Kompastelematta maaliinThomas Malmberg
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Kehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfKehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfkauttil1
 
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416THL
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairsKimmo Vesajoki
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Kiwa Inspecta Suomi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 

Similar to Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta (20)

Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
 
Turvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissaTurvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissa
 
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnille
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnilleLuottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnille
Luottopolitiikka perusteet luottokaupalle ja turvalliselle luottomyynnille
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...
Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...
Pekka Pylkkänen: Kokemukset ja tulevaisuuden odotukset Kiekulle – miten tuott...
 
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna HeiskanenStudia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
Studia monetaria 10.10.2017: Ovatko tilisi ja tietosi turvassa? Hanna Heiskanen
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015
 
Suun kanta seminaari-150309_mykkänen
Suun kanta seminaari-150309_mykkänenSuun kanta seminaari-150309_mykkänen
Suun kanta seminaari-150309_mykkänen
 
Sfs it-2010
Sfs it-2010Sfs it-2010
Sfs it-2010
 
IAM strategia - Kompastelematta maaliin
IAM strategia - Kompastelematta maaliinIAM strategia - Kompastelematta maaliin
IAM strategia - Kompastelematta maaliin
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
Kehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdfKehmet-pikaraide-ohje-originaali.pdf
Kehmet-pikaraide-ohje-originaali.pdf
 
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
Liittymisvalmistelut ja liittymisen tarjolla oleva tuki 070416
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
 
FINFOSEC
FINFOSECFINFOSEC
FINFOSEC
 
Esitys+l klle
Esitys+l klleEsitys+l klle
Esitys+l klle
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
 

More from Valtiokonttori / Statskontoret / State Treasury of Finland

More from Valtiokonttori / Statskontoret / State Treasury of Finland (20)

Valtiokonttorin_esittelymateriaali.pptx
Valtiokonttorin_esittelymateriaali.pptxValtiokonttorin_esittelymateriaali.pptx
Valtiokonttorin_esittelymateriaali.pptx
 
Valtiokonttori-pähkinänkuoressa.pptx
Valtiokonttori-pähkinänkuoressa.pptxValtiokonttori-pähkinänkuoressa.pptx
Valtiokonttori-pähkinänkuoressa.pptx
 
Contact Forum 2024 ppt ständille.pptx
Contact Forum 2024 ppt ständille.pptxContact Forum 2024 ppt ständille.pptx
Contact Forum 2024 ppt ständille.pptx
 
Esittelymateriaali 01/2023
Esittelymateriaali 01/2023Esittelymateriaali 01/2023
Esittelymateriaali 01/2023
 
Valtiokonttori pahkinankuoressa
Valtiokonttori pahkinankuoressaValtiokonttori pahkinankuoressa
Valtiokonttori pahkinankuoressa
 
Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?
Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?
Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?
 
Valtio Expo 2019 - #Tietokiri ja analysointipalvelut
Valtio Expo 2019 - #Tietokiri ja analysointipalvelut Valtio Expo 2019 - #Tietokiri ja analysointipalvelut
Valtio Expo 2019 - #Tietokiri ja analysointipalvelut
 
Rintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelut
Rintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelutRintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelut
Rintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelut
 
Tietokiri on alkanut - tule mukaan!
Tietokiri on alkanut - tule mukaan!Tietokiri on alkanut - tule mukaan!
Tietokiri on alkanut - tule mukaan!
 
Valtion laskentatoimenohjaus palveluna
Valtion laskentatoimenohjaus palvelunaValtion laskentatoimenohjaus palveluna
Valtion laskentatoimenohjaus palveluna
 
Valtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriin
Valtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriinValtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriin
Valtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriin
 
Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko
Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko
Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko
 
The public administration´s Blockhain Technology Network
The public administration´s Blockhain Technology NetworkThe public administration´s Blockhain Technology Network
The public administration´s Blockhain Technology Network
 
Matkaturvakoulutus 2017
Matkaturvakoulutus 2017Matkaturvakoulutus 2017
Matkaturvakoulutus 2017
 
Sovesta Soteen 18.10.2017, Marja-Liisa Taipale
Sovesta Soteen 18.10.2017, Marja-Liisa TaipaleSovesta Soteen 18.10.2017, Marja-Liisa Taipale
Sovesta Soteen 18.10.2017, Marja-Liisa Taipale
 
Sovesta Soteen 18.10.2017, Sinikka Salo
Sovesta Soteen 18.10.2017, Sinikka SaloSovesta Soteen 18.10.2017, Sinikka Salo
Sovesta Soteen 18.10.2017, Sinikka Salo
 
Sovesta Soteen 18.10.2017, Hanna Nyfors
Sovesta Soteen 18.10.2017, Hanna NyforsSovesta Soteen 18.10.2017, Hanna Nyfors
Sovesta Soteen 18.10.2017, Hanna Nyfors
 
Sovesta Soteen 18.10.2017, Timo Aronkytö
Sovesta Soteen 18.10.2017, Timo AronkytöSovesta Soteen 18.10.2017, Timo Aronkytö
Sovesta Soteen 18.10.2017, Timo Aronkytö
 
Asiakkuusasioiden ajankohtaiset, Netta Kokko
Asiakkuusasioiden ajankohtaiset, Netta KokkoAsiakkuusasioiden ajankohtaiset, Netta Kokko
Asiakkuusasioiden ajankohtaiset, Netta Kokko
 
Voitko hyvin, oletko voimissasi, Irma Kiikkala
Voitko hyvin, oletko voimissasi, Irma KiikkalaVoitko hyvin, oletko voimissasi, Irma Kiikkala
Voitko hyvin, oletko voimissasi, Irma Kiikkala
 

Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

  • 1. Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Kimmo Rousku Apulaisjohtaja
  • 2. Esityksessäni • Hallitseeko organisaatio riskejä vai meneekö työ tulipalojen sammutteluun? • Riskit pääsevät laukeamaan • Miksi tietoturvallisuus koetaan niin hankalaksi? • Todennäköisesti tietoja yliluokitellaan ja tämän takia on toteutettu liian tiukat suojakontrollit • Miksi erilaiset ict-toiminnan häiriöt aiheuttavat meille niin paljon ongelmia? • Tiedetäänkö, mikä on organisaation toiminnassa oikeasti kriittistä? • Mistä organisaatiosi tietää, missä näissä osa-alueissa mennään ja mikä on tilanne? • Raportointi ja erilaiset auditoinnit => Uudenlainen laadun kaava 20.5.2014Valtori – Kimo Rousku –
  • 4. Riskienhallinta • Kuinka moni aamulla kotoa lähtiessään jätti ulko-oven sulkematta, kahvinkeittimen päälle ja vesihanan juoksemaan? • Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sekä suojautumaan järkevästi eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia riskejä vastaan esimerkiksi • Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit sen on pitänyt tunnistaa ja arvioida, päättää riskienhallintakeinot ja mahdollinen varautuminen vahinkoihin sekä huolehtia prosessin jatkuvasta seurannasta. 20.5.2014Valtori – Kimo Rousku –
  • 5. Riskienhallinta Riskienhallintapolitiikka • Riskienhallinnan tavoitteet • Riskien tunnistaminen ja arviointi • Riskien käsittely • Toimenpiteistä päättäminen ja näiden toimenpiteiden toteuttaminen • Toteutumisen seuranta Jatkuvaparantaminen Viestintä,seuranajavalvonta 20.5.2014Valtori – Kimo Rousku –
  • 6. Strateginen taso Taktinen taso Operatiivinen taso Organisaation eri tasoilla toteutetaan riskienhallintaa eri näkökulmista. Esimerkiksi tietoturvallisuuden osalta riskienhallinta pitää viedä osaksi myös palveluiden tietoturvallisuuden vuosikelloa 20.5.2014Valtori – Kimo Rousku –
  • 7. Riskienhallinta • Riskienhallintakokonaisuudessa tärkeintä ei ole alkuvaiheessa keskittyminen itse menetelmään tai käytettävään työvälineeseen vaan se, että prosessi saadaan organisaatiossa toimintaan. • Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden organisaatiolle tunnistaa sen toimintaa, suorituskykyä kehittäviä ja parantavia mahdollisuuksia ⇒ riskien- ja mahdollisuuksienhallinta • Pienennetään tavoitteiden saavuttamista ja toimintaa uhkaavia riskejä sekä samalla etsitään mahdollisuuksia parantaa organisaation suorituskykyä ja toimintaa 20.5.2014Valtori – Kimo Rousku –
  • 8. Riskienhallinta •Miten? • organisaation johto hyväksyy riskienhallintapolitiikan / linjauksen, joka toteutetaan ja jalkautetaan läpi koko organisaation 20.5.2014Valtori – Kimo Rousku –
  • 9. Tiedon turvaaminen • Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen Luottamuk- sellisuus Eheys Saatavuus Eheys Saatavuus Eheys Saatavuus Nämä kolme tietoturvallisuuden osa-aluetta voivat olla tasa- painossa, tosin hyvin harvoin Julkisen tiedon osalta eheys ja saatavuus voivat olla tärkeässä roolissa Etenkin erilaisten kriittisten viestintä- ja tiedotuspalveluiden osalta 24/7/365 saatavuus saattaa olla tärkein vaatimus 20.5.2014Valtori – Kimo Rousku – Muista! Tiedon turvaaminen, ei holvaaminen tai halvaannutta- minen
  • 10. Tiedon turvaaminen • Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen organisaation pitää luokitella suojattavat kohteet – perus | korotettu | korkea taso. Luokittelussa pitää huomioida tiedon luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvät vaatimukset. • Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen • Jos kohteeseen liittyvää tietoa yliluokitellaan, kohdistettavat suojausmenetelmät (kontrollit) maksavat liikaa • Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana tietovuoto), eheys (tietoja saatetaan päästä muuttamaan hallitsemattomasti) tai saatavuus (kriittinen palvelu ei ole käytettävissä silloin kun on tarve) 20.5.2014Valtori – Kimo Rousku –
  • 11. Tiedon turvaaminen •Miten? • tietoturvallisuusasetuksen mukaisesti suojattavat kohteet luokitellaan sekä täytetään tietoturvallisuusasetuksen mukaiset vaatimukset 20.5.2014Valtori – Kimo Rousku –
  • 12. Jatkuvuuden takaaminen • ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista. • Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lisää rahaa • Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (SLA). Jos palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä. Häiriötiedote Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ ei ole toiminnassa. Ilmoitamme lisätietoja kahden tunnin kuluttua, mikäli häiriötä ei saada ennen sitä korjattua. 20.5.2014Valtori – Kimo Rousku –
  • 13. Jatkuvuuden takaaminen • Häiriötilanne – tilanne korjaantuu pikku hiljaa, kun sitä aletaan korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole palvelutasosopimusta? • Häiriötilanne – koska kyseessä on kriittinen palvelu, saadaan a) häiriö havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman merkittävää vaikutusta toimintaan 20.5.2014Valtori – Kimo Rousku –
  • 14. Jatkuvuuden takaaminen • Miten? • organisaatio on luokitellut kohteet (toiminto | prosessi | ICT-järjestelmä) kriittisyyden mukaan ja edellyttänyt sen tuottamisessa tarvittavia varautumiseen liittyvä vaatimuksia sekä käytössä on kriittisyyden mukainen palvelutaso. Nämä molemmat koskevat sekä itse tuotettuja tai ulkoistettuja palveluita. 20.5.2014Valtori – Kimo Rousku –
  • 15. Säännöllinen seuranta • Kaikki edellä oleva edellyttää seurantaa, joka koostuu esimerkiksi säännöllisestä raportoinnista ja vaatimustenmukaisuuden täyttymisen arvioinnista eli auditoinneista. Muutama esimerkki: • Riskienhallinta • Mistä tietää että tämä ei toimi? Samat riskit pysyvät korkeina jopa vuodesta toiseen – tehtyjä toimenpiteiden mukaisia päätöksiä pitää valvoa ja seurata, että ne toteutetaan, jolloin niiden riskiarvon tulisi pienentyä – ja uusia nousta tilalle • Tiedon turvaaminen • Onko organisaation toiminnot | prosessit | tietojärjestelmät luokiteltu sekä tietoturvallisuuden että jatkuvuuden osalta perus | korotettu | korkea sekä tämän ja asiakastarpeen perusteella luotu kohteen kriittisyydestä luokitus? Kun kriittisyys tiedetään, voidaan myös kohteeseen liittyvät sekä toimittaja että asiakasraportointi suhteuttaa kohteen tärkeyden mukaisesti 20.5.2014Valtori – Kimo Rousku –
  • 16. Säännöllinen seuranta • Jatkuvuuden takaaminen • Palvelutasoa on seurattava! Kun jotain on tapahtunut (häiriö tai ongelma) ja siitä saadaan raportti niin samalla pitää selvittää keinot, millä saman häiriön toistuminen voidaan välttää • Auditoinnit => vaatimustenmukaisuuden todentaminen • Mitä kriittisemmästä kohteesta on kyse, sitä tärkeämpää on arvioida kohteen vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina. • Auditoinnin tilaaja määrittää, mitkä ovat ne vaatimukset, joita toteutumista arvioinnissa tullaan tarkastelemaan. • Valtaosan edellä kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja jatkuvuuden hallinnan osalta täyttämällä valtionhallinnon tietoturvatasojen (VAHTI 2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla. 20.5.2014Valtori – Kimo Rousku –
  • 17. Laadun kaava - kertaus • Seuranta ja raportointi Riskienhallinta Tiedon turvaaminen Jatkuvuuden takaaminen Saavutetaan tavoitteet ja hallitaan toimintaa uhkaavia kriittisiä riskejä Salassa pidettävät tiedot eivät vuoda, tiedot säilyvät eheinä ja ovat saatavilla niitä tarvitseville henkilöille Häiriö saadaan hallintaan sovitun mukaisesti ilman että se uhkaa toimintaa Vuosikello, auditoinnit, raportointi 20.5.2014Valtori – Kimo Rousku – Toteutetaan samalla tieto- ja yksityisyydensuojaa !
  • 18. Valtorin tietoturvallisuuden asiantuntijapalvelut • Tarvitsetko apua riskienhallintaan, tietoturvallisuuden tai jatkuvuuden hallinnan kehittämiseen tai onko organisaatiollasi tarvetta tehdä ulkopuolisen tahon tekemä auditointi? • Käytössämme on omien asiantuntijoiden ohella >100 alihankkijamme turvallisuusselvitettyä, vaitiolositoumuksen allekirjoittanutta konsulttia • Ota yhteys Valtorin asiakasvastaaviin tai ttpalvelut@valtori.fi saadaksesi lisätietoa! 20.5.2014Valtori – Kimo Rousku –
  • 19. Kiitos! TULOSSA: Valtorin asiakaspäivä 31.10.2014 Helsingissä Merkitse päivä jo kalenteriisi! Tervetuloa! Apulaisjohtaja Kimmo Rousku Valtion tieto- ja viestintätekniikkakeskus Valtori kimmo.rousku@valtori.fi 20.5.2014Valtori – Kimo Rousku –