IDC IT Security Conference 2013

1. IDC IT Security Conference, Helsinki
Turvallisuus- ja yritysjohdon yhteistyö
19.9.2013
Jari Pirhonen
Turvallisuusjohtaja
Oy Samlink Ab
@japi999

2. Aiheita
• Näkemyksiä siitä, kuinka monimutkainen ja
tekniseksi mielletty tietoturvallisuus
kommunikoidaan yritysjohdolle
• Käytännön esimerkkejä tietoturvallisuuden
mittaamisesta, raportoinnista ja
päätöksenteosta tietoturvakriittisessä
organisaatiossa
• Kokemuksia tietoturvayhteistyöstä
johtoryhmän ja esimiesten kanssa
19.9.2013JaPi
2

3. Johtamista vai turvallisuusjohtamista?
19.9.2013JaPi
3

4. 19.9.2013JaPi
4

5. Turvallisuusvastuut
• Turvallisuusjohtaja vastaa siitä, että konsernissa on
käytössä riittävät tietoturvaprosessit, –menetelmät ja –
ohjeistus. Turvallisuusosasto tukee organisaatiota
tietoturvan erityiskysymyksissä ja valvoo tietoturvan
toteutumista.
• Prosessien ja palveluiden omistajat vastaavat
kokonaisuudessaan omista prosesseistaan ja
palveluistaan, mukaan lukien tietoturvallisuus.
• Esimiehet vastaavat alaistensa turvallisuusohjeiden
mukaisesta toiminnasta ja riittävästä osaamisesta.
• Projektipäälliköt vastaavat projektityömallimme
mukaisesta tietoturvatehtävien toteuttamisesta.
• Turvallisuus on jokaisen vastuulla osana jokaisen
päivittäistä työtä.
19.9.2013JaPi
5

6. Hallitus
Turvallisuusjohtaja
Tietoturvallisuuden virtuaalitiimi
Yksiköiden johtajat
Esimiehet
Operatiivinen johto
Tietoturvallisuuden ohjausryhmä
Henkilöstö
Vaatimukset
Periaatteet
Ohjeistus
Kehitys
Tietoisuus
Organisointi
Suunnittelu
Sitoutus
Toteutus
Turvallinen toiminta
Havainnointi
Reagointi
Raportointi
Valvonta
Vaatimusten-
mukaisuus
Riskitaso
Strategia
Tavoitteet
Vastuut
SUUNNITTELU
TOTEUTUS
VALVONTA
KEHITYS
source: japi
Mittaaminen
Arviointi
MIETI
SUOJAA
TOIMI
HUOMAA
19.9.2013JaPi
6

7. Tietoturvatavoitteiden lähtökohdat
• Konsernistrategian tavoitteet
• Mm. palveluintegraattorin rooli, asiakassynergia,
moniasiakasjärjestelmät, kustannustehokkuus
• Konsernin tuloskortti ja prioriteetit
• Mm. asiakastyytyväisyys, tärkeät projektit
• Ulkoiset vaatimukset
• Lainsäädäntö, viranomaiset, toimiala
• Tunnistetut riskit
• Riskienhallinta, ulkoiset auditoinnit
• Tietoturvamittarit
• Mm. ISF Security Benchmark
19.9.2013JaPi
7

8. Onko tietoturva kunnossa?
• Turvallisuuskatsaukset
• Konsernin hallitus 2 krt/v.
• Omistaja-asiakkaiden tarkastuslautakunnalle 2 krt/v.
• Toimitusjohtajalle (raportti + 1 h face-to-face läpikäynti)
• Konsernin johtoryhmälle (15-30 min)
• Yksiköiden johtoryhmille (mahdollisuuksien mukaan, 30 min)
• Tietoturvallisuuden virtuaalitiimille (30 min)
• Koko henkilöstölle (TurvaBlogi, toimitusjohtaja-info)
• Tietoturvallisuus osana konsernin riskienhallintaa
• Tietoturvallisuus osana projektityömallia
• Kumppaneilla turvallisuussopimus, sanktioidut mittarit,
raportointivelvoite
• Mittareita: asiakastyytyväisyys, jatkuvuussuunnitelmien
tilanne, tietoturvapoikkeamat, tarkastushavainnot, Internet-
rajapinnan tietoturvastatus, sisäverkon tietoturvastatus,
käyttövaltuudet, ISF Security Benchmark, …
19.9.2013JaPi
8

9. Investointipäätökset
• Toimenpidesuunnitelma
• Riskiarvio
• Kustannuslaskelma
• Tarvittavat resurssit
• ROSI?
• Ratkaisuvaihtoehdot:
minimiratkaisu vs.
optimaalinen ratkaisu vs.
maksimaalinen tietoturva
19.9.2013JaPi
9

10. Onko tietoturva kilpailutekijä?
Tuottavuuden määritelmä: Kuka pystyy toisten kanssa
samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan
eniten ja alimmilla yksikkökustannuksilla tavoitellun
laatutason täyttävää tuotetta ja hallitsemaan riskit.
• Tietoturva EI ole kilpailutekijä, jos:
• Ratkaisut ovat tuotelähtöisiä
• Seurataan sokeasti ”parhaita käytäntöjä”
• Tehdään samaa kuin muutkin
• Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan
• Ratkaisujen tehokkuutta ei mitata
• Sinisen meren strategia myös
tietoturvallisuudessa –
kyseenalaista vanhat totuudet?
LUO
KOROSTA
POISTA
SUPISTA
19.9.2013JaPi
10

11. Tekniikka TekniikkaBusiness Business
ITTARIT
OMMUNIKOINTI
EHTÄVÄT
MISET
ARKOITUS
Tietoturvafokus?
Lähde: ISF, Role of Information Security in the Enterprise
19.9.2013JaPi
11

12. 360-asteen analyysi
19.9.2013JaPi
12

13. 19.9.2013JaPi
Huolestuneet riskien
välttelijät
Älä tuhlaa aikaasi täällä
Varman päälle pelaajat
Keskity korjaamaan huonot tavat
Huolettomat seikkailijat
Määrää – älä keskustele
Toiveikkaat riskinottajat
Keskustele, perustele, ohjaa
44% 22%
16% 18%Lähde: HM Revenue & Customs
Kuinka ”johdetaan” johtoryhmää?
13

14. 19.9.2013JaPi
Looginen
Analyyttinen
Faktoihin perustava
Kvantitatiivinen
Suoraviivainen
Holistinen
Intuitiivinen
Integroiva
Syntetisoiva
Kyseenalaistava
Järjestelmällinen
Organisoitunut
Yksityiskohtainen
Suunnitelmallinen
Kyselijä
Tunteikas
Fiiliksiin perustava
Ihmissuhteisiin perustava
Tarinankertoja
Elehtijä
Kuinka huomioida ihmistyypit?
14

15. • Ulkoiset vaatimukset vs. riskien hallinta
• Tietoturvariskien tunnistaminen
• Monimutkaisuuden hallinta, tilannekuva
• Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle
• Tietoturvallisuus huomiointi ajoissa
• Sopimukset, kumppanuudet, tuotevalinnat, projektit,…
• ”Kuorrutus” vs. ”sisään leivottu” tietoturva
• Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus
• Tietojen omistajuus
• Liiketoiminnan jatkuvuussuunnittelu vs.
tekniset varajärjestelyt
• Mittaaminen, raportointi
• Tietoturvallisuus vs. IT turvallisuus
Käytännössä havaittuja johtamishaasteita
19.9.2013JaPi
15

16. • Tietoturvafokus on muuttunut/muuttumassa
teknologialähtöisyydestä liiketoimintalähtöiseksi
• Tietoturvan tarkoitus  organisaation strategiaan
nivoutunut, liiketoimintaprosesseihin integroitunut
• Ihmisten osaamistarve  liiketoiminta- ja
riskienhallintaosaamista tietoturvaosaamisen lisäksi,
innovatiivisuus
• Tehtävät  riskienhallinta + vaatimustenmukaisuus +
tietoturvakonsultointi, IT ja fyysisen turvallisuuden
konvergenssi
• Kommunikointi  riskiperustainen tietoturvatietoisuus
• Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen
tehokkuus
Muutos on jatkuvaa…
19.9.2013JaPi
16

17. Teknisestä asiantuntijasta
tietoturvajohtajaksi
19.9.2013JaPi
17
Lähde: ISF, The Modern CISO