Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Turvallisuus- ja yritysjohdon yhteistyö

514 views

Published on

IDC IT Security Conference 2013

 • Be the first to comment

 • Be the first to like this

Turvallisuus- ja yritysjohdon yhteistyö

 1. 1. IDC IT Security Conference, Helsinki Turvallisuus- ja yritysjohdon yhteistyö 19.9.2013 Jari Pirhonen Turvallisuusjohtaja Oy Samlink Ab @japi999
 2. 2. Aiheita • Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle • Käytännön esimerkkejä tietoturvallisuuden mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa • Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa 19.9.2013JaPi 2
 3. 3. Johtamista vai turvallisuusjohtamista? 19.9.2013JaPi 3
 4. 4. 19.9.2013JaPi 4
 5. 5. Turvallisuusvastuut • Turvallisuusjohtaja vastaa siitä, että konsernissa on käytössä riittävät tietoturvaprosessit, –menetelmät ja – ohjeistus. Turvallisuusosasto tukee organisaatiota tietoturvan erityiskysymyksissä ja valvoo tietoturvan toteutumista. • Prosessien ja palveluiden omistajat vastaavat kokonaisuudessaan omista prosesseistaan ja palveluistaan, mukaan lukien tietoturvallisuus. • Esimiehet vastaavat alaistensa turvallisuusohjeiden mukaisesta toiminnasta ja riittävästä osaamisesta. • Projektipäälliköt vastaavat projektityömallimme mukaisesta tietoturvatehtävien toteuttamisesta. • Turvallisuus on jokaisen vastuulla osana jokaisen päivittäistä työtä. 19.9.2013JaPi 5
 6. 6. Hallitus Turvallisuusjohtaja Tietoturvallisuuden virtuaalitiimi Yksiköiden johtajat Esimiehet Operatiivinen johto Tietoturvallisuuden ohjausryhmä Henkilöstö Vaatimukset Periaatteet Ohjeistus Kehitys Tietoisuus Organisointi Suunnittelu Sitoutus Toteutus Turvallinen toiminta Havainnointi Reagointi Raportointi Valvonta Vaatimusten- mukaisuus Riskitaso Strategia Tavoitteet Vastuut SUUNNITTELU TOTEUTUS VALVONTA KEHITYS source: japi Mittaaminen Arviointi MIETI SUOJAA TOIMI HUOMAA 19.9.2013JaPi 6
 7. 7. Tietoturvatavoitteiden lähtökohdat • Konsernistrategian tavoitteet • Mm. palveluintegraattorin rooli, asiakassynergia, moniasiakasjärjestelmät, kustannustehokkuus • Konsernin tuloskortti ja prioriteetit • Mm. asiakastyytyväisyys, tärkeät projektit • Ulkoiset vaatimukset • Lainsäädäntö, viranomaiset, toimiala • Tunnistetut riskit • Riskienhallinta, ulkoiset auditoinnit • Tietoturvamittarit • Mm. ISF Security Benchmark 19.9.2013JaPi 7
 8. 8. Onko tietoturva kunnossa? • Turvallisuuskatsaukset • Konsernin hallitus 2 krt/v. • Omistaja-asiakkaiden tarkastuslautakunnalle 2 krt/v. • Toimitusjohtajalle (raportti + 1 h face-to-face läpikäynti) • Konsernin johtoryhmälle (15-30 min) • Yksiköiden johtoryhmille (mahdollisuuksien mukaan, 30 min) • Tietoturvallisuuden virtuaalitiimille (30 min) • Koko henkilöstölle (TurvaBlogi, toimitusjohtaja-info) • Tietoturvallisuus osana konsernin riskienhallintaa • Tietoturvallisuus osana projektityömallia • Kumppaneilla turvallisuussopimus, sanktioidut mittarit, raportointivelvoite • Mittareita: asiakastyytyväisyys, jatkuvuussuunnitelmien tilanne, tietoturvapoikkeamat, tarkastushavainnot, Internet- rajapinnan tietoturvastatus, sisäverkon tietoturvastatus, käyttövaltuudet, ISF Security Benchmark, … 19.9.2013JaPi 8
 9. 9. Investointipäätökset • Toimenpidesuunnitelma • Riskiarvio • Kustannuslaskelma • Tarvittavat resurssit • ROSI? • Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva 19.9.2013JaPi 9
 10. 10. Onko tietoturva kilpailutekijä? Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. • Tietoturva EI ole kilpailutekijä, jos: • Ratkaisut ovat tuotelähtöisiä • Seurataan sokeasti ”parhaita käytäntöjä” • Tehdään samaa kuin muutkin • Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan • Ratkaisujen tehokkuutta ei mitata • Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? LUO KOROSTA POISTA SUPISTA 19.9.2013JaPi 10
 11. 11. Tekniikka TekniikkaBusiness Business ITTARIT OMMUNIKOINTI EHTÄVÄT MISET ARKOITUS Tietoturvafokus? Lähde: ISF, Role of Information Security in the Enterprise 19.9.2013JaPi 11
 12. 12. 360-asteen analyysi 19.9.2013JaPi 12
 13. 13. 19.9.2013JaPi Huolestuneet riskien välttelijät Älä tuhlaa aikaasi täällä Varman päälle pelaajat Keskity korjaamaan huonot tavat Huolettomat seikkailijat Määrää – älä keskustele Toiveikkaat riskinottajat Keskustele, perustele, ohjaa 44% 22% 16% 18%Lähde: HM Revenue & Customs Kuinka ”johdetaan” johtoryhmää? 13
 14. 14. 19.9.2013JaPi Looginen Analyyttinen Faktoihin perustava Kvantitatiivinen Suoraviivainen Holistinen Intuitiivinen Integroiva Syntetisoiva Kyseenalaistava Järjestelmällinen Organisoitunut Yksityiskohtainen Suunnitelmallinen Kyselijä Tunteikas Fiiliksiin perustava Ihmissuhteisiin perustava Tarinankertoja Elehtijä Kuinka huomioida ihmistyypit? 14
 15. 15. • Ulkoiset vaatimukset vs. riskien hallinta • Tietoturvariskien tunnistaminen • Monimutkaisuuden hallinta, tilannekuva • Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle • Tietoturvallisuus huomiointi ajoissa • Sopimukset, kumppanuudet, tuotevalinnat, projektit,… • ”Kuorrutus” vs. ”sisään leivottu” tietoturva • Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus • Tietojen omistajuus • Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt • Mittaaminen, raportointi • Tietoturvallisuus vs. IT turvallisuus Käytännössä havaittuja johtamishaasteita 19.9.2013JaPi 15
 16. 16. • Tietoturvafokus on muuttunut/muuttumassa teknologialähtöisyydestä liiketoimintalähtöiseksi • Tietoturvan tarkoitus  organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut • Ihmisten osaamistarve  liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus • Tehtävät  riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi • Kommunikointi  riskiperustainen tietoturvatietoisuus • Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus Muutos on jatkuvaa… 19.9.2013JaPi 16
 17. 17. Teknisestä asiantuntijasta tietoturvajohtajaksi 19.9.2013JaPi 17 Lähde: ISF, The Modern CISO

×