Successfully reported this slideshow.
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 1
Tietoturvariskit ja bisnes
Jyrki Kontio, Ph.D.
www.jyrkikontio.fi
www.rdware.co...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 2
Jyrki Kontio, Ph.D.
 Founding partner at R & D-Ware Oy, http://www.rdware.com
...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 3
Pääkohdat
 Liiketoiminnallisten vaikutusten arviointi
 Mikä on organisaatioll...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 4
Mitä riski tarkoittaa?
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 5
What is Risk?
1. “We have several vulnerabilities in our computer
network”
2. “...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 6
What is Risk?
1. “We have several vulnerabilities in
our computer network”
2. “...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 7
Riskit ja mahdollisuudet
 Epävarmuuteen liittyy sekä
haittoja että hyötyjä
 R...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 8
Riskin määritelmä
 Yleinen määritelmä:
 Ei-toivotun seuraamuksen mahdollisuus...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 9
Riskin määritelmä
 Tavoitteiden saavuttamiseen
liittyvä epävarmuus
 Pääasiat:...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 10
Riskienhallinnan tulee perustua
sidosryhmäanalyysiin
Sidosryhmät ja tarpeet
 ...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 11
Tietoturvan riskienhallinnan
tavoitteet
 Kontrolli
 Ehkäisevät toimenpiteet ...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 12
Riskien hallinta
 Riskien hallinta tarkoittaa
systemaattista ja läpinäkyvää t...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 13
TIETOTURVAN
LIIKETOIMINNALLISTEN
VAIKUTUSTEN ARVIOINTI
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 14
Tietoturvan sidosryhmät
 Sidosryhmällä tarkoitetaan ihmistä tai organisaatiot...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 15
Liiketoiminnallisten
vaikutusten arviointi
 Vaihe 1: Sidosryhmät
 Tunnista j...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 16
Sidosryhmäanalyysi: esimerkki
Asiakkaat Yritys Kumppanit
Henkilö-
kunta
Yhteis...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 18
Yhteenveto
 Sidosryhmien ja heidän tavoitteidensa priorisointi
auttaa riskien...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 19
TIETOTURVAN
RISKIENHALLINNAN
KYVYKKYYS
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 20
Käytäntö
 Amatöörimäinen riskienhallinta
 Käytössä ei ole menetelmiä, ohjeis...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 21
Riskienhallinnan päävaiheet
Keskity
keskeisten
tehtävien
suorittamiseen
Tunnis...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 22
Riskien tunnistaminen
 Riskien tunnistamisessa tulee
käyttää useita tekniikoi...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 23
Riskien ymmärtäminen
Riskit-menetelmän kuvaustekniikka
Riskit-menetelmän kuvau...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 24
Riskitekijä
(Risk Factor)
 Asia (“fakta”), joka vaikuttaa jonkun riskitapahtu...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 25
Riskitapahtuma
(Risk Event)
 Kuvaa ei-toivotun tapahtuman
 Erikoistapaus: kä...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 26
Riskireaktio (Risk
Reaction)
 Kuvaa riskitapahtuman jälkeisen reaktion
 Reak...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 27
Riskivaikutukset
(Risk Effects)
 Kuvaa riskin lopullista vaikutusta tavoittei...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 28
Risk Statements
Koska
<riskitekijät>
On mahdollista että
<riskitapahtuma>
Jost...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 29
YHTEENVETO
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 30
Tietoturvan riskienhalinnan
haasteita
 Tilastotietoa on vaikea saada
 Varsin...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 31
Menestystekijät
1. Hanki johdun ymmärrys ja tuki
2. Keskity olennaiseen
3. Mää...
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 32
Yhteenveto
 Tietoturvariskien hallinta tulee olla
systemaattista ja läpinäkyv...
Upcoming SlideShare
Loading in …5
×

Tietoturva ja bisnes

959 views

Published on

Keynote-puheenvuoro TIETOTURVA 2011-tapahtumassa 1.12.2010

  • Be the first to comment

  • Be the first to like this

Tietoturva ja bisnes

  1. 1. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 1 Tietoturvariskit ja bisnes Jyrki Kontio, Ph.D. www.jyrkikontio.fi www.rdware.com © Copyright Jyrki Kontio, 2010 Information about the use and licensing of this material: http://creativecommons.org/licenses/by-nc-nd/3.0/
  2. 2. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 2 Jyrki Kontio, Ph.D.  Founding partner at R & D-Ware Oy, http://www.rdware.com  Risk mgmt consulting and training  Software engineering consulting  Technical due diligence  Process management and improvement  Professor of Software Business @ Helsinki University of Technology, 2002 - 07  Acting (part-time) professor of Software Engineering at Helsinki University of Technology (1997-2000)  Nokia, 1986 – 2002  Knowledge-based systems research and consulting at Research Center  Manager of the software engineering research group at Research Center  Quality manager at a business unit  Senior manager at Nokia Networks: process management  Principal Scientist at Nokia Research Center, software capability  Other experience  Senior researcher at University of Maryland in prof. Basili’s research group (1994-96)  Software development and management in software houses and corporations (1982-1986)  Contact information  Email: jyrki.kontio@iki.fi, http://www.jyrkikontio.fi/  Tel: +358 40 8232 800
  3. 3. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 3 Pääkohdat  Liiketoiminnallisten vaikutusten arviointi  Mikä on organisaatiolle oikea tietoturvariskienhallinnan taso ja miten se rakennetaan?  Miten tietoturvariskejä voi tunnistaa ja priorisoida liiketoiminnan näkökulmasta?
  4. 4. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 4 Mitä riski tarkoittaa?
  5. 5. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 5 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company”
  6. 6. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 6 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company” Risk factor: something that influences risks Risk event: occurrence of the risk Risk effects: effects of risk Risk outcome: consequence of an event Risk probability:
  7. 7. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 7 Riskit ja mahdollisuudet  Epävarmuuteen liittyy sekä haittoja että hyötyjä  Riskit  Mahdollisuudet  Tietoturvariskien hallinnassa haitat pääkohde  Mahdollisuudet voivat tarjota lisähyötyjä Epävarmuuden hallinta Haitta (Riski) Hyöty (Mahdollisuus) Toden- näköisyys Vaikutus
  8. 8. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 8 Riskin määritelmä  Yleinen määritelmä:  Ei-toivotun seuraamuksen mahdollisuus – tai mikä tahansa asia, joka liittyy tähän mahdollisuuteen  Riskiin liittyy aina kaksi keskeistä osaa:  Haitta: jokin tavoitteiden kannalta haitallinen seuraamus  Todennäköisyys: ei ole varmuutta riskin toteutumisesta
  9. 9. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 9 Riskin määritelmä  Tavoitteiden saavuttamiseen liittyvä epävarmuus  Pääasiat:  Todennäköisyys: riskin toteutumiseen liittyy epävarmuus  Haitta: tavoitteiden kannalta huono asia Riski Toden- näköisyys Haitta
  10. 10. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 10 Riskienhallinnan tulee perustua sidosryhmäanalyysiin Sidosryhmät ja tarpeet  Riskin merkittävyyden arviointi perustuu haitan arviointiin – se puolestaan riippuu tavoitteista ja tavoitteiden tärkeydestä kullekin osapuolelle:  Tavoitteet ja odotukset: haitan arviointi ei ole mahdollista ilman tietoa tavoitteista  Sidosryhmä (osapuoli): tavoitteet ja odotukset ovat erilaisia eri osapuolille Riski Toden- näköisyys Haitta Tavoite Sidosryhmä
  11. 11. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 11 Tietoturvan riskienhallinnan tavoitteet  Kontrolli  Ehkäisevät toimenpiteet estävät tai pienentävät riskien vaikutuksia  Vähemmän työtä toteutuneiden riskien haittojen korjaamiseksi  Luotettavampip ja ennustettavampi toiminta  Ennakointitieto  Investointien teko  Toiminnan suunnittelu  Resurssien varaus  Voidaan tehdä tietoisia päätöksiä riskinotosta  Yhdenmukainen ymmärrys organisaation riskeistä  Riskeistä oppiminen: parantunut riskinottokyky  Parempi maine  Parempi luottamus yritykseen  Tehokas tietoturva  Vähemmän kriisejä  Liikesalaisuuksien arvo säilyy  Parempi ymmärrys otettujen riskien merkityksestä
  12. 12. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 12 Riskien hallinta  Riskien hallinta tarkoittaa systemaattista ja läpinäkyvää tapaa tunnistaa, analysoida ja kontrolloida riskejä ennen kuin ne tapahtuvat  Riskien hallinta tuottaa kaksi tulosta:  Toimenpiteet, joilla vaikutetaan riskeihin  Tietoa riskeistä ja riskitasosta  Vain toimenpiteet pienentävät riskejä! Riskienhallinta- prosessi Ymmärrys riskeistä Toimenpiteet Tilannetieto Menetelmät
  13. 13. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 13 TIETOTURVAN LIIKETOIMINNALLISTEN VAIKUTUSTEN ARVIOINTI
  14. 14. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 14 Tietoturvan sidosryhmät  Sidosryhmällä tarkoitetaan ihmistä tai organisaatiota joka vaikuttaa projektiin tai johon projekti vaikuttaa  Sidosryhmiin voi kuulua esim.  Asiakkaat  Yritys  Osakkeenomistajat  Henkilökunta  Yhteistyökumppanit  Yhteiskunta  Sidosryhmien tietoturvatavoitteet tulee kartoittaa
  15. 15. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 15 Liiketoiminnallisten vaikutusten arviointi  Vaihe 1: Sidosryhmät  Tunnista ja priorisoi  Vaihe 2: Tietoturvatarpeet  Tunnista tarpeet  Arvioi ne sekä liiketoiminnallisten että muiden vaikutusten kannalta  Priorisoi tarpeet sidosryhmittäin  Vaihe 3: Vaikutukset  Kuvaa tietoturvatarpeen merkitys kunkin sidosryhmän kannalta  Vaihe 4: Priorisoi  Arvioi kunkin sidosryhmän ja tarpeen merkitys liiketoiminnan kannalta
  16. 16. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 16 Sidosryhmäanalyysi: esimerkki Asiakkaat Yritys Kumppanit Henkilö- kunta Yhteis- kunta Luottamuksellisen tiedon suojaus Järjestelmien toimivuus Liikesalaisuuksien suojaus IT-resurssien käytön suojaus
  17. 17. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 18 Yhteenveto  Sidosryhmien ja heidän tavoitteidensa priorisointi auttaa riskien analyysissä  Tärkeysjärjestyksen ei tarvitse olla tarkka  Sidosryhmäanalyysi on tärkeä riskienhallinnan lähtökohta  Osa modernia projektijohtamista
  18. 18. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 19 TIETOTURVAN RISKIENHALLINNAN KYVYKKYYS
  19. 19. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 20 Käytäntö  Amatöörimäinen riskienhallinta  Käytössä ei ole menetelmiä, ohjeistusta tai työpohjia  Perustuu intuitioon, ei analyysiin  Riskienhallinnan tuloksia ei dokumentoida  Reagointia, ei ennakointia – riskit ratkotaan vasta niiden lauettua  Yleinen tapa toimia  Ohjeita ja työpohjia on olemassa – mutta niitä ei käytetä systemaattisesti tai tehokkaasti  Riskilokit täytetään projektin alussa, mutta niitä ei ylläpidetä  Riskienhallintatoimenpiteet ovat prosessin pääkohdissa mukana vaatimuksni, mutta niitä noudatetaan harvoin  Parhaiden yritysten käytännöt  Yrityksellä on riskipolitiikka, joka kuvaa riskienhallinnan tavoitteet, vastuut ja keinot  Riskienhallinnan koulutusta tarjotaan henkilökunnalle  Johto keskustelee riskeistä ja seuraa niitä – riskit ovat johtoryhmän agendoilla  Riskienhalinnan menetelmät, ohjeistus ja työpohjat ovat olemassa, niitä käytetään ja niitä kehitetään jatkuvasti  Aktiivista riskienhallintaa vaaditaan ja sitä tuetaan
  20. 20. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 21 Riskienhallinnan päävaiheet Keskity keskeisten tehtävien suorittamiseen Tunnista Arvioi Kontrolloi Seuraa Potentiaaliset uhat Priorisoidut riskit Toimenpiteet Uutta informaatiota Uudet uhat Riittämätön vaikutus
  21. 21. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 22 Riskien tunnistaminen  Riskien tunnistamisessa tulee käyttää useita tekniikoita  Yhteistyö ja keskustelut useiden ihmisten kanssa parantavat osumatarkkuutta  Aivoriihitekniikat ja tarkistuslistat ovat tehokkaita apuvälineitä riskien tunnistamisessa
  22. 22. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 23 Riskien ymmärtäminen Riskit-menetelmän kuvaustekniikka Riskit-menetelmän kuvaustekniikka  Jäsentää riskien kuvausta  Esittää riskin osien riippuvuudet visuaalisesti  Tukee kommunikaatiota ja analyysiä  Voidaan kuvata myös verbaalisesti Reaction Reaction Factor Risk factor Event Risk event Effect set Risk effects
  23. 23. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 24 Riskitekijä (Risk Factor)  Asia (“fakta”), joka vaikuttaa jonkun riskitapahtuman todennäköisyyteen tai olemassaoloon  Kuvaa tilannetta ja ympäristöä – esim. resursseja tai rajoitteita  Riskitekijään ei liity todennäköisyyttä  Tyypillisesti kuvaavat asioita, joiden takia tilanne on riskipitoisempi kuin normaalisti  Myös positiivisiä tekijöitä voidaan luetella riskitekijöinä Factor Risk factor Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riskitekijä • Henkilökunnan kokemattomuus • Uuden teknologian käyttö • Uusien menetelmien käyttö • Alihankkijoiden käyttö • Epäterveellinen ruokavalio • Asuminen maanjäristysvyöhykkeellä • Lumisade
  24. 24. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 25 Riskitapahtuma (Risk Event)  Kuvaa ei-toivotun tapahtuman  Erikoistapaus: käy ilmi, että aiemmat oletukset tai suunnitelmat eivät pidä paikkaansa  Riskitapahtumalla on todennäköisyys – ei ole varmuutta siitä, tapahtuuko se vai ei  Useat riskitekijät voivat vaikuttaa tapahtumaan  Voi myös vaikuttaa muihin riskeihin Event Risk event Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- tapahtuma • Avainhenkilö irtisanoutuu • Asennukset eivät ole valmiina ajoissa • Alihankkijan toimitus myöhästyy • Testiajot epäonnistuvat • Sydänkohtaus • Maanjäristys • Autokolari
  25. 25. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 26 Riskireaktio (Risk Reaction)  Kuvaa riskitapahtuman jälkeisen reaktion  Reaktiot vaikuttavat siihen, mikä on riskin laukeamisen lopullinen vaikutus tavoitteisiin Reaction Risk reaction Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- reaktio • Konsulttien käyttö korvaamaan puuttuvia resursseja • Aikataulun suunnittelu uudelleen • Ylityöt • Hoito sairaalassa, leikkaus • Rakennusten korjaus • Auton hinaus korjaamoon
  26. 26. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 27 Riskivaikutukset (Risk Effects)  Kuvaa riskin lopullista vaikutusta tavoitteisiin  Huomioiden reaktion vaikutuksen  Vaikutukset voidaan kuvata numeroina tai verbaalisesti Effect set Risk effect set Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- vaikutukset • Budjetin ylitys 100 K€ • Kuukauden viivästys aikatauluun • Asiakas huomattavan tyytymätön • Menetetty työaika • Kipu ja särky • Korjauskustannukset • Nousseet vakuutusmaksut
  27. 27. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 28 Risk Statements Koska <riskitekijät> On mahdollista että <riskitapahtuma> Josta seuraa <riskivaikutukset> Factor Event Effect set
  28. 28. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 29 YHTEENVETO
  29. 29. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 30 Tietoturvan riskienhalinnan haasteita  Tilastotietoa on vaikea saada  Varsinkin uusista uhista ei ole historiatietoa  Riskejä on vaikea kvantifioida  Esim. asiakkaan luottamuksen menetys tai mainevahinko  Uhkien epäsuoria vaikutuksia on vaikea arvioida  Epäsuoria vaikutuksia voi olla paljon  Ne voivat vaikuttaa muihin sidosryhmiin  Riskien arvioinnin tulokset vanhenevat nopeasti  Uudet teknologiat ja ympäristöt  Hakkereiden uudet toimintatavat GAO, 1999
  30. 30. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 31 Menestystekijät 1. Hanki johdun ymmärrys ja tuki 2. Keskity olennaiseen 3. Määritä selkeät menetelmät ja toimintatavat 4. Osallistuta sekä teknisiä asiantuntijoita, johtoa että käyttäjiä 5. Anna vastuu liiketoimintayksiköille 6. Pidä kunkin vaiheen fokus rajattuna  Tarvittaessa myös analysoi alue pala kerrallaan 7. Dokumentoi tulokset ja toista prosessi riittävän useinGAO, 1999
  31. 31. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 32 Yhteenveto  Tietoturvariskien hallinta tulee olla systemaattista ja läpinäkyvää  Sidosryhmien ja tarpeiden tunnistaminen auttaa tunnistamaan tehokkaita toimenpiteitä  Riskien tunnistaminen ja analyysi täytyy tehdä riittävän usein

×