2. Aiheet
Tietoturvajohtajan/-päällikön muuttunut rooli
Käytännön esimerkkejä tietoturvallisuuden johtamisesta,
mittaamisesta, raportoinnista ja päätöksenteosta
tietoturvakriittisessä organisaatiossa
Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi
mielletty tietoturvallisuus kommunikoidaan yritysjohdolle
Kokemuksia tietoturvayhteistyöstä johtoryhmän ja
esimiesten kanssa
13.2.2014
JaPi
5. 9.2.2014
JaPi / Turvallisuus - Luottamuksellinen
Hallitus
Turvallisuusosasto
Yksiköiden johtajat
Yksiköiden joryt
Konsernin johtoryhmä
Osastopäälliköt
Henkilöstö
S
t
r
a
t
e
g
i
n
e
n
T
a
k
t
i
n
e
n
O
p
e
r
a
t
i
i
v
i
n
e
n
Tietoturvan johtaminen
Strategia,
resurssit
Toteutus
Ohjaus
(konserni)
Ohjaus
(yksikkö,
osasto)
Seuranta
Valvonta
Mittaaminen
Raportointi
8. Tietoturvatilanteesta ja
toimenpiteistä kannattaa viestiä
säännöllisesti kaikilla tasoilla - ei
vain poikkeamatilanteissa
Turvallisuuskatsaukset omistajille puolivuosittain
Konsernin hallitus
Omistaja-asiakkaiden tarkastuslautakunta
Turvallisuuskatsaukset johdolle neljännesvuosittain
Toimitusjohtaja
Konsernin johtoryhmä
Yksiköiden johtoryhmät
Turvallisuuskatsaukset henkilöstölle neljännesvuosittain
Koko henkilöstö (TurvaBlogi, TJ-info)
Tietoturvallisuuden virtuaalitiimi
13.2.2014
JaPi
9. Johtoryhmän kvartaaliraporttimalli
Turvallisuuden ohjaus
Koulutukset
Tietoturvallisuuden virtuaalitiimin havainnot
Auditointien tulokset sekä tarvittavat toimenpiteet
Katsaus projektien tietoturvatilanteeseen
Sidosryhmäyhteistyö
Turvallisuuspalvelut asiakkaille
Merkittävimmät toimenpiteet ja tuotokset
Ajankohtaiset mittarit
Poikkeamahavainnot ja toimenpiteet
Tilannekuva
Ajankohtaista tietoa tietoturvatilanteesta
Kiitokset tietoturva-aktiivisuudesta
Tulevat turvallisuustapahtumat ja toimenpiteet
13.2.2014
JaPi
10. Kumppaniyhteistyö
13.2.2014
JaPi
Palvelun kokonaisseuranta tietototurva-asioiden eskalointi
Tietoturvallisuuden yhteistyökokoukset jatkuva yhteistyö
Sovitut toimintamallit tietoturvavaatimusten toteutus, RACI
Palvelun tietoturvaperiaatteet sopimusvaatimukset
käytännössä
Palvelusopimus SLA, mittarit, sanktiot
Turvallisuussopimus toimittajakohtainen, määräävä
sopimus
Tarkastukset ja arvioinnit esim. ISF Security Survey
12. Tietoturva ei ole kilpailutekijä, jos
seuraat sokeasti parhaita käytäntöjä
tehden samaa kuin kaikki muutkin.
Kyseenalaista!
Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa
ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla
yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja
hallitsemaan riskit.
Tietoturva EI ole kilpailutekijä, jos:
Ratkaisut ovat tuotelähtöisiä
Seurataan sokeasti ”parhaita käytäntöjä”
Tehdään samaa kuin muutkin
Keskitytään tietoturvan parantamiseen
riskien hallinnan sijaan
Ratkaisujen tehokkuutta ei mitata
Sinisen meren strategia myös
tietoturvallisuudessa –
kyseenalaista vanhat totuudet?
13.2.2014
JaPi
14. Fokus liiketoiminnassa
Tietoturvan tarkoitus Organisaation strategiaan nivoutunut,
liiketoimintaprosesseihin integroitunut
Ihmisten osaamistarve Liiketoiminta- ja
riskienhallintaosaamista tietoturvaosaamisen lisäksi,
innovatiivisuus
Tehtävät Riskienhallinta + vaatimustenmukaisuus +
tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi
Kommunikointi Riskiperustainen tietoturvatietoisuus
Mittarit BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen
tehokkuus
13.2.2014
JaPi
15. Tietoturvajohtamisen haasteina
ulkoiset vaatimukset suhteessa
riskeihin ja keskijohdon tietoturva-
vastuun ulkoistusmentaliteetti
Ulkoiset vaatimukset vs. riskien hallinta
Tietoturvariskien tunnistaminen ja riittävän tietoturvatason määrittely
Monimutkaisuuden hallinta
Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle omistajuus?
Tietoturvallisuus huomiointi ajoissa
Sopimukset, kumppanuudet, tuotevalinnat, projektit,…
”Kuorrutus” vs. ”sisään leivottu” tietoturva
Projektin intressit vs. konsernin intressit
Tietoturvan integrointi olemattomaan prosessiin
Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus
Liiketoiminnan jatkuvuussuunnittelu vs.
tekniset varajärjestelyt
Hyödyllisten mittareiden valinta tilannekuva
13.2.2014
JaPi
16. Organisaation johtoryhmään
valikoituu usein ’toiveikkaita
riskinottajia’ - vaativat perusteluja,
keskustelua ja ohjausta
13.2.2014
JaPi
Huolestuneet riskien
välttelijät
Älä tuhlaa aikaasi täällä
Varman päälle pelaajat
Keskity korjaamaan huonot tavat
Huolettomat seikkailijat
Määrää – älä keskustele
Toiveikkaat riskinottajat
Keskustele, perustele, ohjaa
44% 22%
16% 18%
Lähde: HM Revenue & Customs
17. Yhteenveto
Tietoturvallisuuden nivoutuminen liiketoimintaan edellyttää
tietoturvajohtajilta ja asiantuntijoilta uudenlaista osaamista.
Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit
johdetaan liiketoimintastrategiasta.
Tietoturvatilanteesta ja toimenpiteistä kannattaa viestiä säännöllisesti
kaikilla tasoilla - ei vain poikkeamatilanteissa.
Tietoturva ei ole kilpailutekijä, jos seuraat sokeasti parhaita
käytäntöjä tehden samaa kuin kaikki muutkin. Kyseenalaista!
Tietoturvajohtamisen haasteita ulkoiset vaatimukset suhteessa
riskeihin ja keskijohdon tietoturvavastuun "ulkoistusmentaliteetti”.
Organisaation johtoryhmään valikoituu usein "toiveikkaita
riskinottajia" - vaativat perusteluja, keskustelua ja ohjausta.
13.2.2014
JaPi