Organisaation liiketoimintaan integroitu    tietoturvallisuuden hallinta    Juhani Anttila    Venture Knowledgist Quality ...
Organisaation liiketoimintaan integroitu    tietoturvallisuuden hallinta              Tarkasteltavat pääteemat:           ...
Tietoturvallisuus organisaatioissa ja yhteiskunnassa                         Ihmisten ja organisaatioiden toiminnan turval...
Pragmaattinen aito tieto              •     Tietoa on todeksi todistettu ja perusteltu uskomus jonkin asian luonteesta.   ...
Kiinteä ”parisuhde”: Tieto ja tiedon kantaja              Tietoa ei voi esiintyä ”irrallisena”, vaan sillä on aina jonkinl...
Tietoturvallisuuden hallinnan kokonaiskuva                                         Liiketoimintayhteisö (verkottuneet orga...
“Integrointi”: Tietoturvallisuus toteutuu aidosti    vain organisaation todellisessa toiminnassa,              Tietoturval...
Tietoturvallisuus syntyy organisaation sisäisellä    tietoturvallisuuden hallinnalla ja näkyy tuotteissa                  ...
Major challenges for the information    security management              1.         Integration:                        – ...
Tietoturvallisuuden hallinnan integrointi     liiketoimintaan                                                     (1) Selk...
Mitä tietoturvallisuus on?              Tietoturvallisuuden tavoitteena on tiedon:                           Peruskäsittei...
Mitä on tietoturvallisuuden hallinta?              Peruskäsitteet:                                                   Perus...
Organisaation tietoturvallisuuden hallinnan kaksi     tavoitetta ja toiminta-aluetta               1. Sisäinen tavoite    ...
Tietoturvallisuuden hallinta ja varmistus                                                                     AA/B        ...
Tietoturvallisuuden hallinta     ja tietoturvallisuuden varmistus                                                         ...
Tietoturvallisuuden hallinta on organisaation     johtamista              Tietoturvallisuuden hallinta: Koordinoidut toime...
Tietoturvallisuuden hallintajärjestelmä,     Information security management system (ISMS),               Ainakin alan per...
Organisaation laadukkaan johtamisen ja tietoturvalli-     suuden hallinnan yleisperiaatteiden integrointi              Org...
Johtamisjärjestelmä(*): Organisaation tarkoituksen ja     tavoitteiden johdonmukainen toteuttaminen (**)                  ...
Erillisistä hallintajärjestelmistä     järjestelmällisyyteen               Organisatorinen järjestelmällisyys toteutuu lii...
Business leaders have the key role in information     security management but are not adequately prepared               St...
Why business leaders are poorly commitment     to information security management?              •       Basic professional...
Consequences when senior executives don’t commit     to information security management            •        Information se...
Effective dialogue and cooperation is needed     between business leaders and experts               Business leaders know ...
Tietoturvallisuuden generalisti-spesialisti-dilemma:     liiketoimintajohtajien ja asiantuntijoiden yhteistoiminta        ...
Konfliktit johtamisessa                                                Tietoturvallisuuden              Talouden          ...
Integrating specialized domains of management     standardization and ensuring natural business diversity              The...
Kansainvälinen tietoturvallisuuden hallinnan     standardisointi                                              Standardien ...
Standardointi ja organisaatioiden reaalitoiminta                                             Standardointi Y: Aihealue Y /...
Organisaatioita ei pidä yrittää sopeuttaa oppeihin     tai malleihin. Entä miten päinvastoin?30     2902/2.10.2004/jan
From a business     establishment                                                                                         ...
Organisaation strateginen (1) ja operatiivinen (2)     tietoturvallisuuden hallinta              (1) Strateginen johtamine...
Organisaation johtamisen tehtävä: Mission     toteuttaminen ja visioon pyrkiminen                            Operatiivinen...
Information security management: Planning, controlling,     and improving the performance of business processes           ...
Johtaminen: “Koordinoidut toimenpiteet     organisaation suuntaamiseksi ja ohjaamiseksi” (*)             PDCA-johtamis-   ...
Organisaation osaamisen ja oppimisen     sekä johtamisen tasot                                         Suunnittelu        ...
Yrityksen johtamisen neljä tasoa               Kulttuurinen ja normatiivinen johtaminen:                 • Luodaan liiketo...
Organisaation strateginen johtaminen     (johtamisprosessi)                                                              2...
Laadukkaan operatiivisen johtamisen perustavoite:     Sidosryhmälle kannattavasti puoleensa vetävää hyötyä             Org...
Prosessit ja tuote liiketoimintayhteydessä               Organisaatiot liiketoimintayhteydessä:                           ...
Organisaation tuote               •     Tavara, väline, järjestelmä, materiaali, tms.         Tuote on organisaation liike...
Tuote koostuu tavarasta ja palvelusta               Tuote      = Prosessien tuotos                                     Pel...
Tuote ja sen rakenneosat               Tuote syntyy prosesseilla. Kutakin erityistä tuotetta edustaa yksi piste kuviossa: ...
General systematic detailed grouping of performance     characteristics of any product (6E+2S)             Effective- Ergo...
Prosessit organisaatioissa - Tieto prosesseissa              Prosessi:              Reaaliaikainen ”luonnollinen” toimimin...
Tasapaino prosessien ja struktuurin välillä                            Toimivuus            Struktuuri #1                 ...
Perinteinen hierarkinen organisaatiorakenne     (“Siilo-organisaatio”)                                  Organisaation joht...
Organisaationlaajuinen liiketoimintaprosessien     hahmottaminen: Prosessiviitekehys                                      ...
Organisaation liiketoiminnan prosessikartta                                                                 ASIAKAS       ...
Yksittäisen prosessin toiminta                           Ulkopuolinen                                                     ...
Prosessin hallinnan toiminnot                                           A    P                                            ...
Information security assurance - creating confidence     among customers - takes place through processes                  ...
Uusi perusta organisaation johtamiselle!                                         Epävarmuus ja monikäsitteisyys:          ...
Organisaatioiden luonnolliset toimintaolosuhteet:     Kompleksiset vuorovaikutusprosessit                                 ...
Staceyn Matriisin toiminta-alueet             •     Rationaalinen ohjaus perustuu toiminnallisiin rakenteisiin ja onnistuu...
Toimijat verkostossa               Verkosto on itsestään syntyvä (emergentti) ja itseohjautuva. Toimijan roolia verkossa v...
Perinteiset tietoturvallisuuden hallinnan     keinot eivät toimi verkostoissa              Tietoturvallisuuden hallinnassa...
Prosessitoimintojen luonne               Prosessin sisäiset toiminnat voidaan ryhmitellä luonteeltaan mekanistisiksi, orga...
Reaalitoiminnan monipuolisuus              Organisaation kaikkiin toimintoihin (prosesseihin)              sisältyy kolmen...
Vaihtelevuus prosesseissa                               Mekanistinen                Orgaaninen           Dynaaminen       ...
Kaikki työntekijät (mukaan lukien esimiesasemassa     olevat) ovat tietotyöntekijöitä                                Tietä...
Työ tuottaa aina ”asiantuntija”-palvelun              Ammattimaisesti toteutettu työ voidaan aina ymmärtää ja hallita palv...
Liiketoiminnan johtamisen tärkeä haaste:     Kuinka hallita tietoa ja tietojen käyttöä?              Suurin osa organisaat...
Toiminnan tietopohjainen johtaminen                           Viisaus                           - myytit                  ...
A person in working environments                            External business process:                            business...
Tietoturvallisuuden hallinta     ei ole ON / EI asia!                      ON                                       (1)   ...
Organisaation tietoturvallisuuden hallinnan     suorituskyvyn sumeus (fuzziness)               Huipputasoa                ...
Toiminnan kokonaisvaltainen johtaminen:     Suorituskyvyn ohjaus ja jatkuva parantaminen               Visio, ulkoiset    ...
Liiketoiminnan suorituskyvyn arviointi (*)                – Liiketoiminnan suorituskyvyn itsearviointi (business excellenc...
Näkökulmat itsearvioinnissa                                                     A                                         ...
Evaluation of the performance     of information security management               •     Assessment should be based on cle...
Organisaation tietoturvallisuuden hallinnan arviointi     - 3in1-metodiikka              Organisaation tietoturvallisuuden...
Organisaation tietoturvallisuuden hallinnan arviointi     - 3in1 Start -metodiikka            Miten tietoturvallisuus on o...
Toiminnan kehittyneisyyden määrääminen     itsearvioinnissa                           Tarinavaihe               =====> ===...
Kajaani2010
Kajaani2010
Kajaani2010
Kajaani2010
Kajaani2010
Kajaani2010
Kajaani2010
Kajaani2010
Kajaani2010
Upcoming SlideShare
Loading in …5
×

Kajaani2010

1,156 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,156
On SlideShare
0
From Embeds
0
Number of Embeds
27
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Kajaani2010

  1. 1. Organisaation liiketoimintaan integroitu tietoturvallisuuden hallinta Juhani Anttila Venture Knowledgist Quality Integration juhani.anttila@telecon.fi , www.QualityIntegration.net 31.3.2010 These pages are licensed under Creative Commons Nimeä 3.0 lisenssi1 http://creativecommons.org/licenses/by/3.0/deed.fi Mainitse lähde
  2. 2. Organisaation liiketoimintaan integroitu tietoturvallisuuden hallinta Tarkasteltavat pääteemat: 1. Tieto, tietoturvallisuus ja tietoturvallisuuden hallinta organisaatioissa 2. Tietoturvallisuuden hallinnan integrointi 3. Tietoturvallisuuden varmistus 4. Liiketoimintajohdon sitoutuminen tietoturvallisuuden hallintaan 5. Integroitu hallinta ja standardit 6. Tietoturvallisuus organisaation strategisessa johtamisessa 7. Tietoturvallisuus organisaation tuotteissa 8. Tietoturvallisuus organisaation operatiivisessa toiminnassa (liiketoimintaprosessien hallinta) 9. Näkökulmia nykyajan liiketoimintaolosuhteiden vaatimuksiin 10. Tietoturvallisuuden hallinnan arviointi ja kehittäminen2 xxxx/28.1.2010/jan
  3. 3. Tietoturvallisuus organisaatioissa ja yhteiskunnassa Ihmisten ja organisaatioiden toiminnan turvallisuus Tietoturvallisuus tuotteen laatuna Tavarat Palvelut Organisaation operatiivinen suorituskyky  Tieto on ihmisten, organisaatioiden ja koko Ihmiset Prosessit Materiaalit yhteiskunnan toiminnan perusta.  Tietoturvallisuus on Organisaation kokonaissuorituskyky (tietoturvallisuuden hallinta) arkinen ja jokapäiväinen myönteinen asia. Yrityskulttuuri Johto Rakenne Henkilöstö Välineet  Tietoturvallisuus toteutuu hyvin toimivan yhteiskunnan Yhteiskunnan tietoturvallisuuskulttuurisuus ja organisaatioiden kautta.  Tietoturvattomuutta ei voi Kulttuuri Kehittyneisyys Infrastruktuuri poistaa vain reaktiivisilla3 toimenpiteillä 2991/28.1.2005/jan (Ref. Dr. Seghezzi EOQ ’88 Moskova)
  4. 4. Pragmaattinen aito tieto • Tietoa on todeksi todistettu ja perusteltu uskomus jonkin asian luonteesta. Aitoa tieto on silloin, kun sen seurauksena tiedon saanut kykenee toimimaan uudella mielekkäällä tavalla. • Tiedoksi ei pitäisi luokitella muuta, kuin toiminnassa koeteltu ja toiminnaksi muuttunut tieto. Tieto ei voi olla ’arvovapaata’, objektiivista. • Tieto muodostaa yhteisön ja sen käytännöllisen toiminnan perustan. ”The knowledge you take is equal to the knowledge you make.” (*) Charles Sanders Peirce4 1014/4.3.2010/jan (Ref.: Jaana Venkula) (*) Lennon, McCartney
  5. 5. Kiinteä ”parisuhde”: Tieto ja tiedon kantaja Tietoa ei voi esiintyä ”irrallisena”, vaan sillä on aina jonkinlainen ”kantaja”: • Muistivälineeseen, esim. CD-levy ja muistitikku, sisältyvä tieto • Liiketoimintaprosessi ja prosessiominaisuudet • Tavaratuote ja sen ominaisuudet sekä tuotetiedot • Tietojärjestelmässä oleva tieto • Tilastoissa tai dokumenteissa julkaistu tieto • Asiantuntijan neuvontana antama tietopalvelu • Ammattihenkilön osaamiseen ja tietämiseen sisältyvä tieto (tacit knowledge) • Organisaation tai yhteisön viisaus Itse asiassa organisaatioiden kaikki prosessit ovat tietoprosesseja, kaikki työntekijät tietotyötekijöitä ja kaikki tuotteet ovat tietotuotteita.5 2350/15.1.2010/jan
  6. 6. Tietoturvallisuuden hallinnan kokonaiskuva Liiketoimintayhteisö (verkottuneet organisaatiot) Organisaatiot Yhteentoimivat organisaatioiden liiketoimintaprosessit  Tuotteet Sovellukset, ihmiset ja verkot (tekniset ja henkilöverkot) SW / HW modulit, Käyttäytymismallit Teoreettiset, ICT järjestelmät matemaattiset Rakenneosat, protokollat, jne. Meemit ja tieteelliset perustat6 3385/28.1.2010/jan
  7. 7. “Integrointi”: Tietoturvallisuus toteutuu aidosti vain organisaation todellisessa toiminnassa, Tietoturvallisuus (information security) toteutuu luonnollisesti ja tehokkaasti, kun se on osana organisaation tuoteominaisuuksia ja sen hallinta (information security management) on välittömästi sisällytetty organisaation liiketoimintoihin ja niiden johtamiseen. Kaikki liiketoiminnasta ylimääräinen tietoturvallisuustoiminta on turhaa ja haitallista. Tietoturvallisuuden hallinta organisaatiossa on johtamiskysymys. Jos organisaation johtaminen ei ole hallinnassa, tietoturvallisuuden toteutuminen on sattumanvaraista. Irrallisena todellisten organisaatioiden johtamiskäytännöistä tietoturvallisuus- vaatimukset tai -standardit tai muut tietoturvallisuuden ”opit” ja teoriat ovat vain ”hengettömiä” sanoja, ”purkitettuja” ajatuksia tai toimintaa. Ne ovat tietoturvallisuuden hallinnassa käytettäviä työkaluja, jotka alkavat elää vasta kun niitä aletaan hyödyntää todellisen organisaation toiminnoissa ja liiketoiminnan tarpeisiin.7 1920/30.1.2010/jan
  8. 8. Tietoturvallisuus syntyy organisaation sisäisellä tietoturvallisuuden hallinnalla ja näkyy tuotteissa Toimintaympäristö Yleiset olosuhteet ja vaatimukset - Sidosryhmät vaik utus Organisaatio Vuoro ntäpinta it Asiakkaat (B2B, B2C) tä sess (toimija / toimittaja) lii pro ja muut sidosryhmät utus is- Liiketoimintajärjestelmä va ik ak äym t uoro anssahtuma K p Tietoturvallisuuden hallintaV ta Muut toimi(tta)jat Tuotteet Sopimukset, Tietoturvallisuus määräykset Tietoturvallisuus on organisaation välttämättömyys mutta myös kilpailuetu8 3774/7.1.2010/jan
  9. 9. Major challenges for the information security management 1. Integration: – Implementing effective / efficient and business-relevant Information security information security principles and methodology management  information embedded within organization’s normal activities of strategic and operational management security in management 2. Responsiveness: – Being able to adjust quickly to suddenly altered Dynamic and flexible external conditions, and to resume stable operation without undue delay business management 3. Innovation: – Striving continuously for new organization-dedicated Standard approach  innovative and unique solutions and encouraging An organization’s unique various choices for information security management in different organizations. approach9 3784/2.1.2010/jan
  10. 10. Tietoturvallisuuden hallinnan integrointi liiketoimintaan (1) Selkeät johtavat Tietoturvallisuuden suorituskyky, periaatteet (integroidun ylivertaisuus stö tietoturvallisuuden ay ion äri hallinnan ymmärtäminen) int aat mp im nis eto rga O liik Suorituskyvyn TOIMINTA vertailukohteet (Liiketoiminnan prosessit ja projektit) TUOTTEET (Tavara- ja palvelu- (3) Innovatiivinen (2) Tehokkaat työkalut tuotteet) johtamis- (menetelmät, infrastruktuuri teoriat, jne.)10 2472/3.3.2010/jan (Ref. Peter Senge, Learning organization)
  11. 11. Mitä tietoturvallisuus on? Tietoturvallisuuden tavoitteena on tiedon: Peruskäsitteiden vaikeus ja • Virheettömyys (eheys), integrity monitulkintaisuus sekä niiden • Saatavuus, availability välisten suhteiden epäselvyys • Luottamuksellisuus, confidentiality haittaavat niiden tehokasta Lisäksi näiden yhteydessä tuodaan esille myös: käytännön toteutumista. • Aitous, authenticity Epäselvyyttä aiheutuu myös käsitteiden safety (turva) ja Koko tietoturvallisuusajattelun peruskäsitteinä, “arkkityyppeinä”, security (turvallisuus) ovat epäjohdonmukaisesta • Identiteetti , identity käytöstä. • Yksityisyys, privacy Huom: Securityn alkuperäinen Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA. merkitys tarkoittaa huoletonta olotilaa ja toimintaa: Latinan Käytännön tasolla nämä ominaisuudet toteutuvat organisaation sēcūrus huoleton = sē- tietoturvallisuuden hallinnan (information security management) (prefix) ilman, erossa + cūr(a) kautta organisaation liiketoiminnan prosessien ja tuotteiden huoli + -us adjektiivi suffix. ominaisuuksina.11 1923/11.2.2010/jan
  12. 12. Mitä on tietoturvallisuuden hallinta? Peruskäsitteet: Peruskäsitteiden vaikeus ja • Information security management (ISM) monitulkintaisuus sekä niiden • Information security management system (ISMS) välisten suhteiden epäselvyys • Information security assurance (ISA) haittaavat niiden tehokasta • Information security governance (ISG) toteutumista. eivät valitettavasti ole selkeitä tai yksikäsitteisiä edes alan Jokaisen organisaation, joka asiantuntijoiden piirissä tai standardeissa. haluaa vakavasti paneutua tietoturvallisuuden hallintaan, Nämä käsitteet pitäisi ymmärtää organisaation yleisen pitäisikin omaa käyttöään liiketoiminnan johtamisen kannalta, jossa yhteydessä esiintyy varten selkiyttää kaikki mm. seuraavia käsitteitä: tarvittavat peruskäsitteet. • Business management • Quality management • Quality assurance • Corporate governance • IT governance12 3775/11.2.2010/jan
  13. 13. Organisaation tietoturvallisuuden hallinnan kaksi tavoitetta ja toiminta-aluetta 1. Sisäinen tavoite - Tietoturvallisuuden hallinta (information security management): liiketoiminnan suorituskyvyn ylivoimaisuuteen, performance excellence, pyrkiminen ja suorituskyvyn jatkuva parantaminen - Liiketoimintatavoitteiden - organisaation sidosryhmien tarpeiden ja odotusten - täyttäminen 2. Ulkoinen tavoite - Tietoturvallisuuden varmistus (information security assurance): luottamuksen (confidence) synnyttäminen ja vahvistaminen organisaation asiakkaissa ja muissa sidosryhmissä - Sidosryhmätarpeiden ja -odotusten täyttäminen tietoturvallisuuden varmistuksen suhteen Tietoturvallisuuden varmistus on tietoturvallisuuden hallinnan osa-alue!13 1925/2.3.2010/jan
  14. 14. Tietoturvallisuuden hallinta ja varmistus AA/B YRITYS A MA AB/C YRITYS B MB YRITYS C Tarkoitukset: M  Ekselenssi (sisäinen kiinnostus) MC A  Konfidenssi (ulkoinen kiinnostus) Organization B2 MB2 Organisaation tietoturvallisuustoiminnan kaksijakoisuus: • MA, MB, MC Organisaation tietoturvallisuuden hallinta (management) • AA/B, AB/C Organisaatioiden välinen tietoturvallisuuden varmistus (assurance)14 (perustuen tieturvallisuuden hallintaan) - Varmistus on luonteeltaan viestintää 3779/29.1.2010/jan
  15. 15. Tietoturvallisuuden hallinta ja tietoturvallisuuden varmistus Tietoturvallisuuden hallinta (*), ISO/IEC27001 ISO/IEC27002 on osa ISO/IEC27002:a Tietoturvallisuuden varmistus (**), ISO/IEC27001 Tietoturvallisuuden hallinnan periaatteet (*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus (**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus15 3665/3.5.2009/jan
  16. 16. Tietoturvallisuuden hallinta on organisaation johtamista Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksi ja ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaan organisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointia organisaation liiketoiminnan johtamiseen:  Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla.  Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa. Jos organisaation yleinen liiketoiminnallinen johtaminen ei ole hallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutua asianmukaisesti eikä vaikuttavasti tai tehokkaasti.16 3776/3.1.2010/jan
  17. 17. Tietoturvallisuuden hallintajärjestelmä, Information security management system (ISMS), Ainakin alan perusstandardeissa on peruskäsitteenä tietoturvallisuuden hallintajärjestelmä (information security management system, ISMS). Käsite muodostuu kahdesta osasta: 1. Organisaation johtamisjärjestelmä (management system, MS): - Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteiden saavuttamiseen käytettävä järjestelmä 2. Tietoturvallisuus (information security, IS): - Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä ISMS =/= Tietoturvallisuuden johtamisjärjestelmä ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuutta tietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. ISMS on pääasiallissesti tarkoitettu organisaation liiketoimintatarpeita varten. Itse asiassa, käsitettä ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan. Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen17 erillisiä järjestelmiä tietoturvallisuuden hallintaa varten. 3777/2.1.2010/jan
  18. 18. Organisaation laadukkaan johtamisen ja tietoturvalli- suuden hallinnan yleisperiaatteiden integrointi Organisaation laadukkaan johtamisen Tietoturvallisuuden hallinnan yleisperiaatteet yleisperiaatteet (ISO 9000): (OECD 2002): 1) Asiakaskeskeisyys 1) Turvallisuustietoisuus: Tietoisuus 2) Johtajuus tietoturvallisuuden tarpeesta ja toimenpiteet sen edistämiseksi 3) Henkilöstön osallistuminen 2) Vastuullisuus: Vastuullisuus tietoturvallisuudesta 4) Prosessimainen toimintamalli 3) Vastatoimet: Toiminta tietoturvallisuuden 5) Järjestelmällinen johtamistapa loukkausten havaitaksemiseksi ja ehkäisemiseksi 6) Jatkuva parantaminen sekä vastatoimenpiteet niihin 4) Eettisyys: Toisten oikeutettujen etujen 7) Tosiasioihin perustuva kunnioittaminen päätöksenteko 5) Demokratia: Sopeutuminen demokraattisen 8) Molempia osapuolia hyödyttävät yhteiskunnan arvoihin liiketoimintasuhteet 6) Riskien arviointi: Riskien arviointien tekeminen 7) Tietoturvallisuuden suunnittelu ja toteuttaminen tietojärjestelmien ja verkkojen olennaiseksi osaksi 8) Turvallisuuden hallinta: Tietoturvallisuuden hallinnan toteuttaminen kokonaisvaltaisesti 9) Tietoturvallisuuden arviointien toteuttaminen laajasti ja johdonmukaisesti18 Organisaation johtamisessa tulee ottaa huomioon tietoturvallisuuden hallinnan periaatteet 3773/9.2.2010/jan ja tietoturvallisuuden hallintaa tulee toteuttaa laadukkaan johtamisen keinoin.
  19. 19. Johtamisjärjestelmä(*): Organisaation tarkoituksen ja tavoitteiden johdonmukainen toteuttaminen (**) Kehitys/muutos- Toiminta- projektit: Strategiat ”liiketoiminta- (etenemis- suunnitelmat, Tarkoitus prosessit mallin, prosessien tapa) ja menettelyjen (olemassa- Visio (toimintamalli) olon (tulevai- parantaminen” peruste) suuden Johtavat toivetila) periaatteet Resurssit, Operatiiviset Politiikat menettelyt, (toiminta- prosessit: dokumentit, ”Tarkoituksen tapa) työkalut päivittäinen toteuttaminen” ARVOSTUKSET JOHTAMISESSA (”ARVOT”) Yrityksen Strategiset suunnitelmat Toteutuskeinot Toiminta tarkoitus 3...5 1...2 0,4...1 juuri nyt vuotta vuotta vuotta19 2748/3.11.2005/jan (*) Aina organisaatiokohtainen infrastruktuuriratkaisu, (**) Integroitu laadukkuus
  20. 20. Erillisistä hallintajärjestelmistä järjestelmällisyyteen Organisatorinen järjestelmällisyys toteutuu liiketoiminnan rakenteiden ja toiminnan (prosessien) kautta.20 Todellinen ”hallintajärjestelmä” on illuusio ja erityinen hallintajärjestelmä on keinotekoinen rajoite ja rasite. 3752/7.1.2010/jan
  21. 21. Business leaders have the key role in information security management but are not adequately prepared Studies and observations made in small and big companies and governmental offices:  Although: • Most people in our organizations know the fundamentals and basic principles of information security and recognize their importance, and even may be well-motivated. • There is a lot of general and organization-dedicated information security training and education programs for increasing awareness and skills of information security.  However: • Senior executives in those organizations: – Are not really interested in information security in their own management practices – Don’t understand or recognize their managing role for information security – Have only a superficial understanding of information security – Lack the necessary skills for managing an organization with regard to information security – Senior executives are not familiar with the information security standards – Easily delegate their responsible duties to external consultants or even outsource the whole issue21 3183/22.1.2010/jan
  22. 22. Why business leaders are poorly commitment to information security management? • Basic professional information security concepts, e.g. integrity, availability and confidentiality, are difficult, complicated and strange to business people. • Information security management requires specific knowledge and skills. • Guidance materials for information security management are complicated and confusing, and difficult to realize and apply consistently: – General standards and guidelines, e.g. ISO/IEC 27000 family of standards and OECD Guidelines – Information technology and service references that normally consider also information security aspects, e.g. ISO/IEC 20000, ITIL, COBIT, Sarbanes-Oxley Act, etc. • General management references, e.g. ISO 9000 standards, extensive and multifaceted general management literature, and management education, e.g. MBA programmes, don’t clarify information security as a management issue and don’t explicitly promote the issue. • Information security is a multidisciplinary issue and difficult to cope with simple managerial practices - and particularly in today’s turbulent business environments. • Communication between business leaders and information security (and other related) experts is ineffective and uncreative in general and within organizations. • Business leaders are very busy, subjective, authoritative, and holistic generalists. • External third party audits and certifications undermine business leaders’ active responsibility. • Business information is principally based on tacit (implicit) knowledge, and management of22 the security of tacit knowledge is a sophisticated issue. 3186/22.1.2010/jan
  23. 23. Consequences when senior executives don’t commit to information security management • Information security is not being managed business-minded and not aligned with real business needs. • Information security is seen only as a reactive and negative question to fulfil some standardized requirements. • Organizations keep busy with separate and restricted information security questions • Information security standards are not understood from the managerial responsibility • Organizations take only “cosmetic” or superficial actions for information security management. • Business leaders delegate their management responsibilities to experts or outsource the whole issue to external consulting organizations. • Organizations keep silent on their problems or incompetence in information security – and suffer consequences, or hope that nothing serious will happen.23 3187/22.1.2010/jan
  24. 24. Effective dialogue and cooperation is needed between business leaders and experts Business leaders know the right things and experts know the best means to do things right: • Business leaders are generalists and strongly acting individuals with strong organizational positions. • Experts are specialists and deeply knowing individuals with low position- based authority. Clear responsibility / authority roles should be established between business leaders and experts, and an effective dialogue and cooperation between them made possible.24 1816/2.1.2010/jan
  25. 25. Tietoturvallisuuden generalisti-spesialisti-dilemma: liiketoimintajohtajien ja asiantuntijoiden yhteistoiminta Liiketoimintajohtajat ja -päälliköt ovat vastuullisia omien alueittensa johtamisesta kokonaisuudessaan. He ovat vastuullisia myös omilla alueillaan tietoturvallisuuden johtamisesta. Sitä vastuuta ei voi siirtää organisaation sisäisille tai ulkoisille tietoturva- asiantuntijoille. Tietoturvallisuuden asiantuntemusta tarvitaan, jotta sen johtaminen ja hallinta voisi tapahtua ammattimaisella ja systemaattisella tavalla hyödyntämällä alan parhaita käytäntöjä ja keinoja. Sitä varten on olemassa tietoturvallisuusasiantuntijoita. Heidän tehtävänsä on tukitehtävä tietoturvaratkaisujen kehittämiseksi ja toteuttamiseksi käytäntöön. Heitä tarvitaan myös vaikeiden ongelmatilanteiden ratkaisemisessa. Jos operatiivisissa tehtävissä joudutaan "kiertämään" asiantuntijoiden kautta se hidastuttaa toimintaa, lisää kustannuksia ja yleensä johtaa byrokratian lisääntymiseen kielteisessä mielessä. Jos sen sijaan jossain prosessissa tietoturvallisuusasiat ovat niin merkityksellisiä tai ongelmallisia, että tarvitaan erityisiä tietoturvallisuuden asiantuntijatietoja ja -taitoja, ne tulisi suoraan nimetä ko.25 prosessin henkilöresursseiksi joko pysyväisinä tai OTO-rooleina. 2353/30.7.2002/jan
  26. 26. Konfliktit johtamisessa Tietoturvallisuuden Talouden hallinta Riskien hallinta hallinta Henkilöstön- hallinta Asian X hallinta Tiedon/tietämyksen hallinta Laadun- Työturvallisuuden Ympäristön- hallinta hallinta hallinta Mahdolliset konfliktitilanteet: - Strategisella tasolla: toimitusjohtajan sitoutuminen26 - Operatiivisella tasolla: liiketoimintaprosessien hallinta 2401/20.2.2010/jan
  27. 27. Integrating specialized domains of management standardization and ensuring natural business diversity The Finnish model Finance for integration (MSS) Product General management Environment quality system General Occupational management Ethics responsibilities health and safety and business Organizational system identity & privacy Social Security responsibility Risks Organizational diversity27 3342/20.8..2009/jan (Ref.: ISO Management systems standardization, MSS)
  28. 28. Kansainvälinen tietoturvallisuuden hallinnan standardisointi Standardien käytännön soveltajan kannalta tilanne on hyvin sekava ja hämmentävä. Erityisesti ISO/IEC 27000 - standardiperheen osalta olisi välttämätöntä jämäkkä perhesuunnittelu. Joka tapauksessa vastuu soveltamisesta lankeaa yksittäisille soveltaja- organisaatioille.28 3778/4.3.2010/jan
  29. 29. Standardointi ja organisaatioiden reaalitoiminta Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X Standardoinnin aihealue Aihealueen todellinen käytännön toteutus Organisaatio A: Toteutuselementit A: Innovaatioprosessi A29 Organisaatio B: Toteutuselementit B: Innovaatioprosessi B 3484.7.1.2010/jan
  30. 30. Organisaatioita ei pidä yrittää sopeuttaa oppeihin tai malleihin. Entä miten päinvastoin?30 2902/2.10.2004/jan
  31. 31. From a business establishment Promotion and support: to satisfying AN ORGANIZATION * Standardization * Political impact requirements * Consultancy * etc. Business activities: -Operational duties- -Strategic development- Action plans Infrastructure Management + Management system  Owner, Strategies Vision Mission Values and Policies Stakeholders + Needs and expectations: * Performance Competitors (Business creator) apprecia- * Price and cost + tions Purpose31 Profound knowledge: Business management sciences and experiences + Expertises in quality, information security, environmental protection, etc. 3749/25.1.2010.2009/jan
  32. 32. Organisaation strateginen (1) ja operatiivinen (2) tietoturvallisuuden hallinta (1) Strateginen johtaminen: – Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä systeemikokonaisuutena) – Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle tietoturvallisuuskysymyksissä – Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat lisääntymässä – Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit – Muutosjohtaminen, entisestä luopuminen (2) Operatiivinen johtaminen: – Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa – Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti – Operatiivinen nykyisyysnäkökulma – Prosessin / projektin sisäinen parantamistoiminta Molempia näkökulmia tarvitaan organisaation johtamisessa koko ajan samanaikaisesti. Niitä varten on erilaiset menettelyt.32 3780/2.3.2010/jan
  33. 33. Organisaation johtamisen tehtävä: Mission toteuttaminen ja visioon pyrkiminen Operatiivinen johtaminen Strateginen johtaminen Tulevaisuus: 20xx (liiketoimintaprosessit) (Kehittämisprojektit) Kenelle? Visio Toiminta- ajatus (missio, liikeidea, Strategia olemassaolon oikeutus) Toiminta Mennyt nyt: 2010 Miten? Mitä?33 2752/10.2.2010/jan ORGANISAATION TOIMINTAYMPÄRISTÖ
  34. 34. Information security management: Planning, controlling, and improving the performance of business processes Performance (5) New performance A P planning Good C D Control with the new limit A P (4) Breakthrough C D improvement (2) Performance control (3) Small step improvement ”Kaizen” (1) Performance A P planning Control limit Prevention C D Bad Rectifying sporadic problems Time34 Feedback 3766/12.1.2010/jan (Ref. Dr. Juran: Trilogy Approach)
  35. 35. Johtaminen: “Koordinoidut toimenpiteet organisaation suuntaamiseksi ja ohjaamiseksi” (*) PDCA-johtamis- malli: TOIMI TARKISTUS- SUUNNITTELE P = Plan TULOSTEN TOIMINTA D = Do PERUSTEELLA • Toiminta- / tulos- C = Check • Viestintä, suunnitelma PDCA:n soveltaminen A = Act palkitseminen • Toiminta- (“Triple PDCA): • Ehkäisevä toiminta periaatteet ja -malli • Parantava toiminta • Menettelyt ja • Toiminnan ohjaus (control) A P menetelmät (rationaalinen, operatiivinen) C D • Jatkuva pienten askelten TARKISTA, MITEN TOIMI SUUNNITELMAN parantaminen (Kaizen) ON TOIMITTU JA MUKAISESTI (rationaalinen, operatiivinen) MITÄ SAATU AIKAAN • Menettelyjen • Suuret muutokset • Arvioinnit soveltaminen tulosten (breakthrough) • Katselmukset aikaansaamiseksi (innovatiivinen, strateginen) • Korjaava toiminta35 2600/10.10.2009/jan (Ref.: Deming / Shewhart, ISO 9000, Shiba, Bodhnath Stupa / Kathmandu)
  36. 36. Organisaation osaamisen ja oppimisen sekä johtamisen tasot Suunnittelu Tekeminen Oppiminen (ohjaus ja varmistus) (parantaminen) Liitetoiminta- yhteisö, KULTTUURINEN,NORMATIIVINEN (konserni) A Liiketoiminnan S alue (business) STRATEGINEN T I U A O K T A Prosessi OPERATIIVINEN E S Yksilö tai tiimi HENKILÖKOHTAINEN36 0042/30.1.2004/jan (Ref. D. Seghezzi, G. Rummler & A Brace, J. Juran)
  37. 37. Yrityksen johtamisen neljä tasoa Kulttuurinen ja normatiivinen johtaminen: • Luodaan liiketoiminnalle kokonaisuudessaan merkitys, yhteinen suunta ja yhteiset työkalut, ts. meidän tapamme toimia (konserni, toimitusjohtaja) Srateginen johtaminen: • Johdetaan liiketoimintaa kokonaisuutena ja tulevaisuuden kilpailukykyyn (liiketoiminta-alue, liiketoimintajohtaja) Operatiivinen johtaminen: • Johdetaan liiketoiminnan päivittäistapahtumia juuri nyt ja yksittäisissä toiminnan pisteissä (liiketoimintaprosessi, prosessinomistaja) Henkilökohtainen johtaminen: • Toimintaa johdetaan yksittäisten toimijoiden henkilökohtaisen osallistumisen ja sitoutumisen kannalta (henkilöt ja tiimit, minä itse)37 1835/2.2.2003/jan
  38. 38. Organisaation strateginen johtaminen (johtamisprosessi) 2015 Visio (”unelmatilanne”) Strategisen muutoksen Strateginen visioon toteutuminen, parantunut perustuva tarve Strateginen toimintajärjestelmä muutokseen lähikautena ja toiminnan tehokkuus johtamisprosessi: (muutokset toimintaprosesseihin), suuret strategiset muutokset Oleva tilanne toiminta- - suunnittelu ympäristössä (sidosryhmät, (tavoitteet ja keinot) toiset toimijat) - toimeenpano Jokapäiväisen toiminnan toteuttaminen olevalla - seuranta ja ohjaus toimintajärjestelmällä Organisaation sisäinen tilanne ja edellisen (olevat toimintaprosessit), toimintakauden pienten askelten parantuminen toteutunut toiminta ja tulokset (prosessien toiminta)38 2544/26.4.2007/jan
  39. 39. Laadukkaan operatiivisen johtamisen perustavoite: Sidosryhmälle kannattavasti puoleensa vetävää hyötyä Organisaation sidosryhmäsuuntautumisen tarkoituksena on pystyä tuottamaan molemminpuolista arvoa ja kilpailutilanteessa voittavan tuotteen: Tuote: Sidosryhmä Info (asiakas): Organisaatio: Myönteiset ja Lasku kielteiset tekijät ---- Johtaminen ---- Tavara Valinta Ihmis- palvelu Automaatti- palvelu Prosessit Liitäntäpinta sidosryhmään39 Sidosryhmätransaktiot 0241/14.2.2010/jan (”totuuden hetket”)
  40. 40. Prosessit ja tuote liiketoimintayhteydessä Organisaatiot liiketoimintayhteydessä: Asiakas (*) Toimittaja (organisaatio) Tuote (palvelu & tavara ) Toimittajan liiketoimintaprosessit Asiakkaan liiketoimintaprosessit Liiketoimintaliitäntäpinta (liiketoimintakanssakäymiset) Alihankkija, osatoimittaja40 2335/15.19.2004/jan (*) Pätee myös muille toimittajan sidosryhmille
  41. 41. Organisaation tuote • Tavara, väline, järjestelmä, materiaali, tms. Tuote on organisaation liiketoiminta- • Palvelu prosessien tuotos. • Sivutuotteet • Edellisten yhdistelmät (Huom. Tieto ei voi olla erillisenä tuotteena, vaan se on aina liittyneenä johonkin välineeseen tai palveluun)41 0134/22.1.2010/jan
  42. 42. Tuote koostuu tavarasta ja palvelusta Tuote = Prosessien tuotos Pelkkä tavara = Tavara + Palvelu 100% 0% Tuottajan prosessit => Tavara Tuottajan ja vastaanottajan prosessit => Palvelu Tuotteen vastaanottajalle synnyttämä arvo Tavaran Palvelun perustuu tuotteen tavara- ja palveluosuuteen arvo-osuus arvo-osuus yhdessä. 20% 80% 0% 100% Pelkkä palvelu42 2898/15.9.2009/jan
  43. 43. Tuote ja sen rakenneosat Tuote syntyy prosesseilla. Kutakin erityistä tuotetta edustaa yksi piste kuviossa: Tavaratuote Tuote synnyttää arvoa vastaanottajalle yksilöllisellä tavalla rakenneosiensa kautta. a P b Kehityksen suunta c Ihmispalvelu Automaattipalvelu43 3391/13.1.2008/jan
  44. 44. General systematic detailed grouping of performance characteristics of any product (6E+2S) Effective- Ergo- Serve- Security Esthetic Ethics Social per- Ecology Economy ness nomics ability (*) formance Quantitative sufficiency Environmental compatibility Dependability The product performance characteristics may be Reliability designed systematically and performance objectively by the product Maintainability developer but they are always performance perceived comprehensively All product characteristics Maintenance support and subjectively by the are interlinked with each others performance product user.44 0375/3.12.2008/jan (*) accessibility + retainability
  45. 45. Prosessit organisaatioissa - Tieto prosesseissa Prosessi: Reaaliaikainen ”luonnollinen” toimiminen, tekeminen, tapahtuminen, jne. Organisaatioissa toimijoina ovat ihmiset ja muut resurssit. Prosessi on reaalimaailman ilmiö. Luonnollisimmin prosessitoiminta tapahtuu ihmisten ajattelussa ja puheessa. Alkeisprosessit: Organisaatioissa tapahtuvia yksinkertaisia perustoimia, kuten On tärkeätä ymmärtää keskusteleminen, puhelinkeskustelu, yhteyden pitäminen, ero organisaation siirtyminen paikasta toiseen, tapaaminen, kokoontuminen, prosessien ja struktuurin neuvotteleminen, tekstin kirjoittaminen tai lukeminen, jne. välillä: Liiketoimintaprosessi: Prosessi Yhteen liittyneet toiminnot (aktiviteetit), erityisesti ”alkeisprosessit”, sekä niiden väliset tietoa ja materiaaleja siirtävät yhteydet jonkin (toiminta) keskeisen liiketoimintatarpeen ja tavoitteen toteuttamiseksi. Prosessien kautta organisaation resurssit suunnataan ja järjestetään toimimaan yhdessä organisaation tavoitteiden toteuttamiseksi. Struktuuri Prosessien suorituskyky määrää organisaation tuloksellisuuden ja (rakenne) tehokkuuden. Prosessien kautta tapahtuvat kaikki organisaation ja sen sidosryhmien väliset kanssakäymiset.45 Organisaatioiden kaikkea tietoa käsitellään organisaatioiden prosesseissa. 3781/3.1.2010/jan Tietoturvallisuuden hallinta voi tapahtua vain prosessien hallinnan kautta.
  46. 46. Tasapaino prosessien ja struktuurin välillä Toimivuus Struktuuri #1 Struktuurin tulee palvella prosesseja (ts. toimintaa). Ulkopuolisesti pakotettu Struktuuri #2 struktuuri on haitallinen Prosessi (toiminta): organisaation identiteetin Itsestään kannalta. syntyvä, reaali- aikainen, aktiivinen, taitava, ohjautuva, oppiva, Tasapaino: avoin, - Vapaus / ohjaus elävä Rakenteen - Tietoisuus / ohjeet jäykkyys - Ihmiset / järjestelmät Struktuuri (oleva): Suunniteltu, rakennettu, ohjattu, - Luovuus / reaktiivisuus passiivinen, opetettu, pakotettu, suljettu, kuollut46 360624/10.1.2010/jan
  47. 47. Perinteinen hierarkinen organisaatiorakenne (“Siilo-organisaatio”) Organisaation johto Tuki- funktiot T&K Tuotanto Markkinointi & Myynti47 3008/15.2.20052/jan
  48. 48. Organisaationlaajuinen liiketoimintaprosessien hahmottaminen: Prosessiviitekehys Markkinat Kilpailu- • mahdollisuudet Markkinaprosessit: kykyiset • tarpeet Uusien tuotteiden toteuttaminen markkinoiden tarpeisiin ja odotuksiin. Tuotteiden kokonaishallinta. Markkinaviestintä. tuoterat- kaisut Asiakkaat Laadukkaat • tarpeet Asiakasprosessit: Asiakas- • odotukset Asiakkaiden tarpeiden ja odotusten täyttäminen tuottamalla tuotteita organisaation “tuotesalkun” mukaisesti suhteet ja -palvelu Johtamisprosessit: Organisaation suorituskyvyn kokonaisjohtaminen Tukiprosessit: Organisaation prosessien tehokas tukeminen48 = Organisaatioyksiköt = Kumppanit 2867/6.1.2007/jan
  49. 49. Organisaation liiketoiminnan prosessikartta ASIAKAS syöte tuotos syöte tuotos asia Prosessi b asia Prosessi a Prosessi d tuotos Prosessi e syöte syöte Prosessi c syöte tuotos syöte Osa- asia Osa- Osa- asia Osa- prosessi 1 prosessi 2 prosessi 4 prosessi 5 syöte asia asia asia Prosessi f syöte Osa- prosessi 3 Prosessi X MUUT SIDOSRYHMÄT49 0942x/7.9.2004/jan
  50. 50. Yksittäisen prosessin toiminta Ulkopuolinen Ulkopuolinen Osapuoli 1 toiminto toiminto syöte laskutus- tuotos Tekijä 1 Tehtävä tieto Toiminto Yksikkö 1 tarkis- tuloste Toiminto tus data tieto Tieto- Sovellus- toimitus- sovellus toiminto tieto Tie- dosto ulkopuo- Järjes- Tekninen linen telmä järjestelmä palvelu toiminto Osapuoli 2 Ulkopuolinen50 toiminto 0691/27.8.2004/jan
  51. 51. Prosessin hallinnan toiminnot A P C D Strateginen johtaminen • katselmukset Arviointi, auditointi Uudelleen- Korjaava Poikkeamat suunnittelu toiminta M i Prosessi- t tuotos t Tulos Prosessisyötteet Työ a • vaatimukset a • tarpeet m • resurssit Muut i • aineet Ihmiset resurssit Menettelyt n Muut e Muut prosessit n prosessit51 Paranta- 0921/2.3.2010/jan minen Analysointi
  52. 52. Information security assurance - creating confidence among customers - takes place through processes Process (product realization) Output/Product Process management Input Product delivery Customer channel Information security assurance (ISA) - ISA plan ISA communication channel52 2459/16.1.2010/jan
  53. 53. Uusi perusta organisaation johtamiselle! Epävarmuus ja monikäsitteisyys:  Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja –ohjautuvissa verkoissa  Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja  Toiminta globaalista ja aluepatrioottista  Toiminnot ja muutokset jatkuvasti nopeutuneet  Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet)  Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen  Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut  Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä asemassa  Transaktiokustannuksilla tärkeä merkitys ja vaikutus  Johdolla ja työntekijöillä alituinen kiire Varmuus ja ennustettavuus53 2839/2.11.2009/jan (Refs.:D Zohar, R D Stacey)
  54. 54. Organisaatioiden luonnolliset toimintaolosuhteet: Kompleksiset vuorovaikutusprosessit “Staceyn Matriisi” Pieni Kaaos, hajaantuminen, anarkia Sopimussidonnaisuus Poliittinen Kompleksinen ohjaus ohjaus Kaikki nykyaikaisten organisaatioiden liiketoimintaprosessit ovat kompleksisia vuorovaikutusprosesseja ja niiden hallinnassa tulee ottaa huomioon Rationaalinen Harkintaperusteinen ohjaus ohjaus kuvion (”Staceyn Matriisin”) kaikki alueet. Suuri Suuri Varmuus Pieni54 3684/15.1.2010/jan (Ref.: Stacey: http://www.plexusinstitute.org/edgeware/archive/think/main_aides3.html)
  55. 55. Staceyn Matriisin toiminta-alueet • Rationaalinen ohjaus perustuu toiminnallisiin rakenteisiin ja onnistuu vain pienessä määrin prosesseissa. Johtaminen on faktapohjaista ja hyödyntää erilaisia ohjausjärjestelmiä ja menettelyohjeita. Tiukka ohjaus ei arvosta tilannekohtaisia ratkaisuja eikä terveen järjen käyttöä. • Poliittisluontoisessa ohjauksessa korostuvat erilaiset liittoutumat, neuvottelut ja kompromissit, jotka ovat tavallisia organisaatioiden johtamisessa. Ratkaisut perustuvat usein henkilöiden valta-asemaan, intuitiivisiin näkemyksiin ja jälkiselityksiin. • Harkintaperusteinen ohjaus liittyy erilaisiin kokeiluihin. Sitä on perinteinen suunnitelmallinen ja jatkuvan kehitystyö, joka hyödyntää olevia malleja ja rationaalista tietoa. Asioista ollaan samaa mieltä, vaikka ei ole selkeää varmuutta tulosten toteutumisesta. • Kompleksinen ohjaus on oleellinen organisaatioiden menestymisen kannalta. Se toteuttaa luovuuden ja innovaatiot sekä toimintamuotoje uusiutumisen. Toimintaa ei voi johtaa pelkästään rationaalisesti tai faktapohjaisesti. Edellytetään erilaisuuksien ja monimuotoisuuden hyväksymistä ja hyödyntämistä, joka toteutuu erityisesti ulkopuolisten verkostojen kautta. • Kaoottiset ilmiöt ovat rasittavia monien organisaatioiden johtamisen kannalta, koska niitä ei voi perinteisillä johtamiskeinoilla hallita tai edes täysin välttää. Liiketoimintaprosessien verkostoissa on aina mukana myös tekijöitä ja toimijoita, joista ei edes tarkkaan ole tietoakaan. Henkilöiden monipuolinen tietoisuus sekä johtamisen joustavuus ja nopeus ovat hyväksi hankalissa tilanteissa.55 3709/2.11.2009/jan
  56. 56. Toimijat verkostossa Verkosto on itsestään syntyvä (emergentti) ja itseohjautuva. Toimijan roolia verkossa voidaan kuvata ”verkostokeskeisyydellä”, johon sisältyy toimijan välimatka ja läheisyys toisiin sekä aktiivisuus ja vaikuttavuus verkostossa. Toimijan vaikuttaminen verkostossa: • Pääsy = Kyky seurata mitä verkostossa tapahtuu, pääsy verkoston tietoihin • Tavoittavuus = Tehokkuus tavoittaa toisia toimijoita ja kytkeytyä niihin • Ohjaus = Voima ohjata verkoston toimintoja Toimijayhteisö Yritys Julkinen organisaatio Vapaaehtoisorganisaatio Yksilö (verkostojäsen) Vierailija (satunnaisyhteys56 verkostoon) 3010/15.9.2007/jan
  57. 57. Perinteiset tietoturvallisuuden hallinnan keinot eivät toimi verkostoissa Tietoturvallisuuden hallinnassa - niinkuin muussakin johtamistoiminnassa - on oleellista että se, joka laatii tavoite- ja menettelymäärittelyjä, on myös täysin vastuussa niiden toteuttamisesta. Siten kokonaisen verkoston kannalta ei voi toteuttaa perinteisiä laadunhallinnan keinoja, koska: – Jokainen verkoston toimija on itsenäinen päätöksenteoissaan toimien omien tarpeittensa ja intressiensä mukaisesti. – Verkosto ei voi toimia yhtenäisenä järjestelmänä, jolla olisi yhteiset arvostukset, tavoitteet, suunnitelmat tai yhteinen johto. – Verkosto kehittyy itsestään sen toimijoiden omien päätösten mukaisesti. Verkostoissa on hyödynnetty erilaisia sopimusratkaisuja, mutta niiden mahdollisuudet ovat rajallisia koskien parhaimmissa tapauksissa vain tieturvallisuuden varmistusta mutta ei sen hallintaa. Kuitenkin verkoston jäsenet voivat tehdä varkostonlaatustrategioita itselleen ja se voi olla hyödyllistä niin kyseisen toimijan kuin koko verkostonkin kannalta. Stacey: Organisaatioiden välinen yhteistoiminta tapahtuu kompleksisten vuorovaikutusprosessien57 kautta (“Complex responsive processes of relating”). 3785/15.1.2010/jan
  58. 58. Prosessitoimintojen luonne Prosessin sisäiset toiminnat voidaan ryhmitellä luonteeltaan mekanistisiksi, orgaanisiksi tai dynaamisiksi sen perusteella, miten monivivahteisia toiminnat ovat ja miten paljon vapausasteita ne sisältävät: a) Mekanistisissa toiminnoissa on vähän osallistujia, ne tapahtuvat sarjamuotoisesti ja kurinalaisesti ja niitä on - ainakin periaatteellisesti - helppo hallita täsmällisillä menettelyohjeilla. Vaihtelut toiminnassa pidetään pieninä. b) Orgaaniset toiminnat tapahtuvat verkkomaisesti ja ne muodostavat kompleksisen useiden toimijoiden kokonaisuuden, mutta jota voi kuitenkin perinteisilläkin johtamiskeinoilla vielä hallita. Kompleksisuudesta johtuen toiminnassa on edelliseen verrattuna enemmän vaihtelumahdollisuuksia. c) Dynaamiset toiminnat tapahtuvat sattumanvaraisesti ja niissä toimijoiden, vapausasteiden tai toimintamahdollisuuksien määrät ovat niin suuret, että niitä ei voi varmasti ennakoida eikä yksityiskohtaisesti suunnitella, eikä siten toimintaa ole myöskään mahdollista rationaalisesti johtaa.58 2345/15.8.2003/jan
  59. 59. Reaalitoiminnan monipuolisuus Organisaation kaikkiin toimintoihin (prosesseihin) sisältyy kolmenlaisia toimintamuotoja riippuen toiminnan vapausasteista ja luonnollisista vaihteluista: 3. Dynaaminen toiminta: - monimutkainen Vaihtelu, 2. Orgaaninen toiminta: - kaoottinen Vapaus- - rinnakkainen - spontaani, satunnainen asteet 1. Mekanistinen - monimutkainen - innovatiiivinen toiminta: - organisoitu - virtuaalinen - sarjamuotoinen - vuorovaikutteinen - vaihteleva - automaattinen - verkostotoiminta - persoonallinen - tarkka kurinalainen Kompleksisuus59 2739/27.10.2009/jan (Ref.: Legat)
  60. 60. Vaihtelevuus prosesseissa Mekanistinen Orgaaninen Dynaaminen Myynti- Tarjouksen laadinta Tietojen hankinta ja Sopimusneuvottelu prosessi arviointi Osallistuvien osapuolten määrittely Tuotekehitys- Ohjelmiston koodaus Asiakastarpeen ja Teknologiamahdol- prosessi Komponenttien asiakasarvon iisuuksien valinta integrointi määrittäminen Ratkaisun luomi- Testaus Validointi nen Strateginen Strategian ja budjetin Osapuolten panostukset Lähtötietojen suunnittelu- kirjaaminen ja sitoutuminen hankinta ja hyödyn- prosessi täminen Vaihtoehtojen valinta60 1512/17.2.2010/jan
  61. 61. Kaikki työntekijät (mukaan lukien esimiesasemassa olevat) ovat tietotyöntekijöitä Tietämys Arvo Data & toiminta- informaatio Osaaminen Taidot kumppaneille • Tulkinnat • Arvioinnit • Päätökset61 2747/2.8.2004/jan
  62. 62. Työ tuottaa aina ”asiantuntija”-palvelun Ammattimaisesti toteutettu työ voidaan aina ymmärtää ja hallita palvelutuotteena: – työ synnyttää tuotoksen, jolla on arvoa sen vastaanottajalle – työ edellyttää vuorovaikutusta vastaanottajan ja muiden työn sidosryhmien kanssa Työ on ammattihenkilön eksplisiittiseen ja tacit-tietoon perustuva tietotuote. Kaikki yritykset ovat asiantuntijayrityksiä ja tietoyrityksiä. Tietoturvallisuus on jokaisen työntekijän henkilökohtainen asia: • Tietoisuus • Vastuu • Välineet62 1407/15.1.2010/jan
  63. 63. Liiketoiminnan johtamisen tärkeä haaste: Kuinka hallita tietoa ja tietojen käyttöä? Suurin osa organisaation (ja sen prosessien) tiedoista on hiljaista (tacit) tietoa. Näkyvillä oleva (explicit) tieto: - data Tietoinen - dokumentit - tallenteet Alitajuinen - tiedostot Hiljainen (tacit) tieto: Vain miljoonasosa ihmisen aivojen - tietoisuus, tajuisuus käsittelemästä tiedosta on tietoista! - osaaminen - sitoutuminen, teot63 2428x/3.1.2008/jan (Ref.: H. Koivunen)
  64. 64. Toiminnan tietopohjainen johtaminen Viisaus - myytit - arvot Tietämys - Avoimet tiedot (tallenteet) Pohdinta ja päätöksen teko Vaikuttaminen - Hiljainen tieto (Suunnitelmat (osaaminen, ymmärtäminen) ja Merkitystieto toimenpiteet) Vuorovaikutus- Analysointi ympäristö ”Ba” A P Mittaustieto C D Liiketoiminta- ympäristö Mittaaminen ... Tosiasiatiedot Vaikutukset64 Organisaation toimintarealiteetti (prosessit) 2744x/25.9.2007/jan
  65. 65. A person in working environments External business process: business targets and needs Explicit knowledge and information Internal mental process: Tacit knowledge conscious • appreciations (values) • feelings subconscious What is the work all about: • “An activity that produces something value for other people” (O’Toole) • “Human work include the following elements: (1) creativity (joy of thinking), (2) physical activity (joy of physical work), (3) sociality ( joy of sharing pleasure and pain with colleagues)” (Nishibori)65 2200/17.15.2004/jan
  66. 66. Tietoturvallisuuden hallinta ei ole ON / EI asia! ON (1) Tieto- turvallisuus EI (0) EI ON ”Tietoturvallisuustemput”66 1934/30.1.2010/jan
  67. 67. Organisaation tietoturvallisuuden hallinnan suorituskyvyn sumeus (fuzziness) Huipputasoa 1 = täydellinen yritys Kypsyyttä Organisaatiot, joilla on Kilpailukykyä kolmannen osapuolen sertifikaatti (*) Muutostarve? Tehokkuutta Miten toteuttaa muutos? Alkua Tarinaa 0 = täysin kyvytön 0 10 30 40 60 70 90 100 yritys Suorituskyvyn arviointitulos %67 3688/7.9.2007/jan
  68. 68. Toiminnan kokonaisvaltainen johtaminen: Suorituskyvyn ohjaus ja jatkuva parantaminen Visio, ulkoiset Toiminta Toiminnan ja sisäiset tarpeet, (suorituskyky) tulokset strategia Suunnittelu Ohjaus Menettelyn (*) Ehkäisevä ja ja toiminta tarve toteutus korjaava toiminta suunnitel- Toiminta- Päätös ma Analysointi ja parantaminen Vertailut68 (benchmarking) 2716/15.8.2004/jan (*) Prosessi
  69. 69. Liiketoiminnan suorituskyvyn arviointi (*) – Liiketoiminnan suorituskyvyn itsearviointi (business excellence -mallit) • kohteena yksikkö, kokonainen business, liiketoimintaprosessien verkko • luonteeltaan (enemmän) strateginen • vertikaalinen arviointi • arvioijana johto itse – Prosessien suorituskyvyn arviointi (auditointi ISO 19011) • kohteena yksittäiset prosessit • luonteeltaan (enemmän) operatiivinen • horisontaalinen arviointi • tuottaa myös tietoa koko liiketoiminnan arviointeihin • arvioijana riippumattomat arvioijat Auditointien lisäksi voi tietysti myös olla prosessitasolla itsearviointeja. Koko liiketoiminnan arvioinnissa tulevat myös keskeiset prosessit arvioiduiksi. Arviointien tuloksia tarkastellaan johdon katselmuksissa.69 0864/27.2.2010/jan (*) Ref.: laatupalkintokriteerit ja ISO 9004 -standardisto
  70. 70. Näkökulmat itsearvioinnissa A Arviointikriteerit Organisaation Olennainen tieto arviointia varten: toimintaa koskevia Toiminta (menettelyt ja niiden soveltaminen) tosiasioita sekä toiminnasta johtuvat tulokset Organisaation toimintaa Arvioinnin koskevat tarpeet ja B tulokset ja johtopäätökset odotukset jatkotoimenpiteitä varten70 2715/2.1.2004/jan
  71. 71. Evaluation of the performance of information security management • Assessment should be based on clear business-related methodology and criteria that gives recognition on improvement actions and development results. • Assessments can be made by – the first-party (the company itself) – a second party (customer), or – a third party (organization independent from the first two parties). • It is essential that the company’s own leadership self-assesses alongside business management and commences improvement initiatives and measures based on results of the assessment. • One can also present a first, second, or third party certificate on the basis of an assessment (or an audit), indicating how the assessment criteria are met. – Third party certificates have often had an overly emphasized significance. There are no unambiguous evidence that one could in reality assure information security on the basis of such certificates. – Focusing on certificates has also easily had a decelerating or damaging effect on striving towards continual improvement in realizing performance excellence.71 2481/2.3.2004/jan
  72. 72. Organisaation tietoturvallisuuden hallinnan arviointi - 3in1-metodiikka Organisaation tietoturvallisuuden hallinnan kehittyneisyyttä arvoitaessa tarkastellaan erikseen organisaation toimintaa ja toiminnan kautta syntyneitä liiketoiminnan tuloksia tietoturvallisuuden kannalta: - Arvioinnissa ei ole tarkoituksena selvittää, täyttääkö organisaatio jotkin tietyt vaatimukset tietoturvallisuuden suhteen, vaan arvioida, miten tietoturvallisuus on organisaatiossa kehittynyt organisaation liiketoimintatarpeiden mukaisesti. - Kehittymistä arvioidaan prosesenttiasteikolla 0 … 100%. Karkeasti voitaisiin päätellä, että mailman parhaat organisaatiot ovat kaikkien arvioitavien aiheiden osalta 80% -tasolla ja Suomessa todennäköisesti ei ole 60% ylittäviä organisaatioita. - 60% taso edellyttää organisaatiolta tyypillisesti johdonmukaisia toiminnan arvioinnin ja parantamisen kierroksia usean vuoden ajan ja näistä seuraavia tulosten myönteisiä kehittymisiä. 3in1-metodiikka korostaa liiketoimintaintegrointia, koska siinä yhdistyy kolme eri näkökulmaa: (1) Alan standardit, erityisesti ISO/IEC 27002, (2) Ns. ekselenssimallit, joita yleisesti käytetään organisaatioiden liiketoiminta-arvioinneissa ja (3) tarkasteltavan organisaation oma liiketoiminta.72 3782/18.2.2010/jan
  73. 73. Organisaation tietoturvallisuuden hallinnan arviointi - 3in1 Start -metodiikka Miten tietoturvallisuus on otettu huomioon organisaation toiminnassa? Miten tietoturvallisuus on toteutunut 1. Organisaatiolla on liiketoimintatarpeiden mukaisesti määritelty ja organisaation toiminnan tuloksissa? organisaation laajuisesti toteutettu yleinen suhtautuminen ja 1. Tietoturvallisuus on toteutunut suuntautuminen tietoturvallisuuteen (ns. tietoturvallisuuspolitiikka). tavara- ja palvelutuotteissa. 2. Organisaatiolla on koko liiketoiminnan ja sidosryhmien kattavasti 2. Tietoturvallisuuden hallinnalla on käytössä yleinen toimintamalli tietoturvallisuuden hallintaa varten. tulosvaikutukset organisaation 3. Organisaatiolla on asianmukaiset menettelyt liiketoiminnan tietojen sidosryhmien näkökulmasta hallintaa varten. tarkasteltuna. 4. Organisaation henkilöt ovat tietoisia siitä, miten heidän tulee 3. Tietoturvallisuuden hallinnalla on suhtautua ja toimia tietoturvallisuuden suhteen omissa tulosvaikutukset organisaation työtehtävissään. taloudellisten tulosten ja 5. Organisaation toimintatilat ja –ympäristöt ovat turvalliset tietojen markkina-aseman kannalta. hallinnan suhteen. 4. Tietoturvallisuus on toteutunut 6. Tietoturvallisuus on osana organisaation liiketoimintaprosessien henkilöstön toimintaa koskevien hallintaa ja viestintä. tulosten osalta. 7. Pääsyn hallinta liiketoiminnan tietoihin on toteutettu 5. Tietoturvallisuus on toteutunut asianmukaisesti. liiketoimintaprosessien 8. Tietoturvallisuus on otettu asianmukaisesti huomioon vaikuttavuudessa ja tietojärjestelmien hankinnoissa, kehittämisessä ja ylläpidossa. tehokkuudessa. 9. Tietoturvallisuuden ongelmatapausten hallintaa varten on käytössä 6. Tietoturvallisuus on toteutunut asianmukaiset menettelyt. johdon toimintaa koskevissa 10. Organisaation toiminnan jatkuvuus on saatu liiketoiminnan tietojen tuloksissa. osalta aikaan asianmukaisilla menettelyillä. 11. Organisaatiolla on käytössä asianmukaiset riskien hallinnan menettelyt tietoturvallisuuden suhteen.73 12. Organisaatiolla on käytössä asianmukaiset menettelyt sidosryhmien vaatimusten täyttämiseksi. 3783/18.2.2010/jan
  74. 74. Toiminnan kehittyneisyyden määrääminen itsearvioinnissa Tarinavaihe =====> ====> Huipputaso Arvioitavan aiheen vaatimusten Aihetta koskevat vaatimukset ja toteuttamiseksi ei ole käytössä odotukset täytetään koko organisaatiossa suunnitelmallista toimintatapaa tädellisesti ja monipuolisesti tehokkaalla eikä toiminnan kehittäistä. suunnitelmallisella toimintatavalla täysin Ongelmiin reagoidaan ilman mitään heikkouksia tai puutteita. tilannekohtaisesti. Toiminta Analysointiin ja tiedon jakamiseen organisaation eri puolilla ei ole perustuvat arviointi- ja yhdensuuntaista parantamismenettelyt, organisaation oppiminen ja innovaatiot toteutuvat organisaationlaajuisesti ja johdonmukaisesti kaikilla toiminnan alueilla organisaation yksilöityjen liiketoimintatarpeiden mukaisesti.74 3695/18.4.2009/jan

×