SlideShare uma empresa Scribd logo

Kokemuksia tietoturvallisuuden johtamisesta

Transferir como PPTX, PDF
J
japijapi

Esitys ICT Leaders Finland ja ISACA FInladn yhteisseminarissa.

Negócios
1 de 17
Kokemuksia tietoturvallisuuden johtamisesta ja yhteistyöstä yritysjohdon kanssa Tietoturvan johtaminen liiketoiminnan ja tietohallinnon yhteistyönä ILF ry + ISACA 13.2.2014 Jari Pirhonen CISA, CRISC turvallisuusjohtaja
Aiheet Tietoturvajohtajan/-päällikön muuttunut rooli Käytännön esimerkkejä tietoturvallisuuden johtamisesta, mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa 13.2.2014 JaPi
xx xx 13.2.2014 JaPi
Tietoturvallisuuden nivoutuminen liiketoimintaan edellyttää tietoturvajohtajilta ja asiantuntijoilta uudenlaista osaamista 13.2.2014 JaPi Lähde: ISF, The Modern CISO, 2013 CISO
9.2.2014 JaPi / Turvallisuus - Luottamuksellinen Hallitus Turvallisuusosasto Yksiköiden johtajat Yksiköiden joryt Konsernin johtoryhmä Osastopäälliköt Henkilöstö S t r a t e g i n e n T a k t i n e n O p e r a t i i v i n e n Tietoturvan johtaminen Strategia, resurssit Toteutus Ohjaus (konserni) Ohjaus (yksikkö, osasto) Seuranta Valvonta Mittaaminen Raportointi
13.2.2014 JaPi Asiakas- tyytyväisyys tutkimus Turvallisuuden vuosisuunnitelma Strateginen toimenpide Turvallisuustoimenpide 1 Kustannukset / htp Aikataulu Strateginen toimenpide Turvallisuustoimenpide 2 Kustannukset / htp Aikataulu Strateginen toimenpide Turvallisuustoimenpide 3 Kustannukset / htp Aikataulu ~ 30 toimenpidettä + palvelut + projektit Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit johdetaan liiketoimintastrategiasta Konsernin tuloskortti Henkilöstö- tyytyväisyys tutkimus Henkilö- kohtaiset tavoitteet Tietoturva- riskien hallinta Tietoturva- auditoinnit Tietoturva benchmark Konsernin riskien- hallinta
Tilannekuva Tietoturvallisuus integroitu konsernin riskienhallintaan Tietoturvallisuus integroitu projektityömalliin Turvallisuustoiminnon mittareita mm. Asiakastyytyväisyys Havaitut tietoturvariskit Jatkuvuussuunnitelmien tilanne Tietoturvapoikkeamat Tarkastushavainnot Internet-rajapinnan tietoturvastatus Sisäverkon tietoturvastatus Käyttövaltuudet Tietoturvan vertailututkimus (ISF) Tietoturvakorjausten peitto 13.2.2014 JaPi
Tietoturvatilanteesta ja toimenpiteistä kannattaa viestiä säännöllisesti kaikilla tasoilla - ei vain poikkeamatilanteissa Turvallisuuskatsaukset omistajille puolivuosittain Konsernin hallitus Omistaja-asiakkaiden tarkastuslautakunta Turvallisuuskatsaukset johdolle neljännesvuosittain Toimitusjohtaja Konsernin johtoryhmä Yksiköiden johtoryhmät Turvallisuuskatsaukset henkilöstölle neljännesvuosittain Koko henkilöstö (TurvaBlogi, TJ-info) Tietoturvallisuuden virtuaalitiimi 13.2.2014 JaPi
Johtoryhmän kvartaaliraporttimalli Turvallisuuden ohjaus Koulutukset Tietoturvallisuuden virtuaalitiimin havainnot Auditointien tulokset sekä tarvittavat toimenpiteet Katsaus projektien tietoturvatilanteeseen Sidosryhmäyhteistyö Turvallisuuspalvelut asiakkaille Merkittävimmät toimenpiteet ja tuotokset Ajankohtaiset mittarit Poikkeamahavainnot ja toimenpiteet Tilannekuva Ajankohtaista tietoa tietoturvatilanteesta Kiitokset tietoturva-aktiivisuudesta Tulevat turvallisuustapahtumat ja toimenpiteet 13.2.2014 JaPi
Kumppaniyhteistyö 13.2.2014 JaPi Palvelun kokonaisseuranta  tietototurva-asioiden eskalointi Tietoturvallisuuden yhteistyökokoukset  jatkuva yhteistyö Sovitut toimintamallit  tietoturvavaatimusten toteutus, RACI Palvelun tietoturvaperiaatteet  sopimusvaatimukset käytännössä Palvelusopimus  SLA, mittarit, sanktiot Turvallisuussopimus  toimittajakohtainen, määräävä sopimus Tarkastukset ja arvioinnit  esim. ISF Security Survey
Investoinnit Toimenpidesuunnitelma Riskiarvio Kustannuslaskelma Tarvittavat resurssit ROSI? Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva 13.2.2014 JaPi Esim. Uhan arvioidaan toteutuvan 3 vuoden välein, ARO 33% Ilman suojausta toteutuneen uhan vaikutukset euroina 290-350 k€ Suojauksen ollessa käytössä vaikutukset 1-10 k€ Suojautumiskulut 4 k€/kk  ROSI ~160 k€ (3 v) 64% varmuustasolla Break-even ARO 13% (uhka toteutuu 7-8 v. välein) 80% varmuustaso, jos ARO 50% (uhka toteutuu joka 2. vuosi)
Tietoturva ei ole kilpailutekijä, jos seuraat sokeasti parhaita käytäntöjä tehden samaa kuin kaikki muutkin. Kyseenalaista! Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. Tietoturva EI ole kilpailutekijä, jos: Ratkaisut ovat tuotelähtöisiä Seurataan sokeasti ”parhaita käytäntöjä” Tehdään samaa kuin muutkin Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan Ratkaisujen tehokkuutta ei mitata Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? 13.2.2014 JaPi
Turvallisuustoiminnon fokus? 13.2.2014 JaPi
Fokus liiketoiminnassa Tietoturvan tarkoitus  Organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut Ihmisten osaamistarve  Liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus Tehtävät  Riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi Kommunikointi  Riskiperustainen tietoturvatietoisuus Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus 13.2.2014 JaPi
Tietoturvajohtamisen haasteina ulkoiset vaatimukset suhteessa riskeihin ja keskijohdon tietoturva- vastuun ulkoistusmentaliteetti Ulkoiset vaatimukset vs. riskien hallinta Tietoturvariskien tunnistaminen ja riittävän tietoturvatason määrittely Monimutkaisuuden hallinta Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle  omistajuus? Tietoturvallisuus huomiointi ajoissa Sopimukset, kumppanuudet, tuotevalinnat, projektit,… ”Kuorrutus” vs. ”sisään leivottu” tietoturva Projektin intressit vs. konsernin intressit Tietoturvan integrointi olemattomaan prosessiin Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt Hyödyllisten mittareiden valinta  tilannekuva 13.2.2014 JaPi
Organisaation johtoryhmään valikoituu usein ’toiveikkaita riskinottajia’ - vaativat perusteluja, keskustelua ja ohjausta 13.2.2014 JaPi Huolestuneet riskien välttelijät Älä tuhlaa aikaasi täällä Varman päälle pelaajat Keskity korjaamaan huonot tavat Huolettomat seikkailijat Määrää – älä keskustele Toiveikkaat riskinottajat Keskustele, perustele, ohjaa 44% 22% 16% 18% Lähde: HM Revenue & Customs
Yhteenveto Tietoturvallisuuden nivoutuminen liiketoimintaan edellyttää tietoturvajohtajilta ja asiantuntijoilta uudenlaista osaamista. Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit johdetaan liiketoimintastrategiasta. Tietoturvatilanteesta ja toimenpiteistä kannattaa viestiä säännöllisesti kaikilla tasoilla - ei vain poikkeamatilanteissa. Tietoturva ei ole kilpailutekijä, jos seuraat sokeasti parhaita käytäntöjä tehden samaa kuin kaikki muutkin. Kyseenalaista! Tietoturvajohtamisen haasteita ulkoiset vaatimukset suhteessa riskeihin ja keskijohdon tietoturvavastuun "ulkoistusmentaliteetti”. Organisaation johtoryhmään valikoituu usein "toiveikkaita riskinottajia" - vaativat perusteluja, keskustelua ja ohjausta. 13.2.2014 JaPi

Recomendados

Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaKimmo Vesajoki
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanPietari Sarjakivi
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021japijapi
 

Recomendados

Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaKimmo Vesajoki
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
Nixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanNixu 2012 Mista business case lokienhallintaan
Nixu 2012 Mista business case lokienhallintaanPietari Sarjakivi
 
Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021Cybersecurity skills-gap 2021
Cybersecurity skills-gap 2021japijapi
 
TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20japijapi
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22japijapi
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020japijapi
 
9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeistaSysart Oy
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnesJyrki Kontio
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010japijapi
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaCGI Suomi
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöjapijapi
 
Data Governance - Hypeä vai tie parempaan johtamiseen?
Data Governance - Hypeä vai tie parempaan johtamiseen?Data Governance - Hypeä vai tie parempaan johtamiseen?
Data Governance - Hypeä vai tie parempaan johtamiseen?Sovelto
 
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?Sari Tappura
 
Kajaani2010
Kajaani2010Kajaani2010
Kajaani2010Juhani Anttila
 
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Sari Tappura
 
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko Babitzin
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko BabitzinTiedolla johtamisen tulevaisuus ja avoin data, Mikko Babitzin
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko BabitzinTilastokeskus
 
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...Suomen eOppimiskeskus ry
 
Johdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinJohdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinLoihde Advisory
 
Valoa turvallisuustyöhön
Valoa turvallisuustyöhönValoa turvallisuustyöhön
Valoa turvallisuustyöhönSari Tappura
 
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibe
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibeKilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibe
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibePia Adibe
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Kiwa Inspecta Suomi
 
Data analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksilleData analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksilleMika Aho
 

Mais conteúdo relacionado

Mais procurados

TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20japijapi
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22japijapi
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020japijapi
 
9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeistaSysart Oy
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnesJyrki Kontio
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010japijapi
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaCGI Suomi
 

Mais procurados (10)

TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22
 
Cybersecurity skills gap 2020
Cybersecurity skills gap 2020Cybersecurity skills gap 2020
Cybersecurity skills gap 2020
 
9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista9 faktaa teknologiahankkeista
9 faktaa teknologiahankkeista
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
 

Semelhante a Kokemuksia tietoturvallisuuden johtamisesta

Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöjapijapi
 
Data Governance - Hypeä vai tie parempaan johtamiseen?
Data Governance - Hypeä vai tie parempaan johtamiseen?Data Governance - Hypeä vai tie parempaan johtamiseen?
Data Governance - Hypeä vai tie parempaan johtamiseen?Sovelto
 
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?Sari Tappura
 
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Sari Tappura
 
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko Babitzin
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko BabitzinTiedolla johtamisen tulevaisuus ja avoin data, Mikko Babitzin
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko BabitzinTilastokeskus
 
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...Suomen eOppimiskeskus ry
 
Johdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinJohdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinLoihde Advisory
 
Valoa turvallisuustyöhön
Valoa turvallisuustyöhönValoa turvallisuustyöhön
Valoa turvallisuustyöhönSari Tappura
 
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibe
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibeKilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibe
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibePia Adibe
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Kiwa Inspecta Suomi
 
Data analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksilleData analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksilleMika Aho
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise SolutionsLiiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise SolutionsAccountor Enterprise Solutions Oy
 
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudestaMika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudestaSenaatti-kiinteistöt
 
Liiketoimintalähtöisen it-strategian laatiminen
Liiketoimintalähtöisen it-strategian laatiminenLiiketoimintalähtöisen it-strategian laatiminen
Liiketoimintalähtöisen it-strategian laatiminenNiklas Wallenius
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairsKimmo Vesajoki
 
Trend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaTrend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaKimmo Vesajoki
 
Talent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseTalent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseLoihde Advisory
 

Semelhante a Kokemuksia tietoturvallisuuden johtamisesta (20)

Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
 
Data Governance - Hypeä vai tie parempaan johtamiseen?
Data Governance - Hypeä vai tie parempaan johtamiseen?Data Governance - Hypeä vai tie parempaan johtamiseen?
Data Governance - Hypeä vai tie parempaan johtamiseen?
 
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
Millaista tukea esimiehet tarvitsevat turvallisuustyössään?
 
Kajaani2010
Kajaani2010Kajaani2010
Kajaani2010
 
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
Turvallisuuden johtajat, esimiesten johtajuus, osaaminen ja sitoutuminen turv...
 
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko Babitzin
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko BabitzinTiedolla johtamisen tulevaisuus ja avoin data, Mikko Babitzin
Tiedolla johtamisen tulevaisuus ja avoin data, Mikko Babitzin
 
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...
DigiKilta: GDPR-valmistelut – sisällön- ja palveluntuottajan näkökulma 2016-2...
 
Johdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinJohdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriin
 
Valoa turvallisuustyöhön
Valoa turvallisuustyöhönValoa turvallisuustyöhön
Valoa turvallisuustyöhön
 
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibe
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibeKilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibe
Kilpailukykyä tietopääomaa hyödyntämällä ta 4-2013_pia adibe
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
 
Data analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksilleData analytiikkakoulutus pk-yrityksille
Data analytiikkakoulutus pk-yrityksille
 
Ketteryyden perusteet
Ketteryyden perusteetKetteryyden perusteet
Ketteryyden perusteet
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise SolutionsLiiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
 
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudestaMika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
Mika Susi: EK:n yleiskatsaus toimitilojen turvallisuudesta
 
Liiketoimintalähtöisen it-strategian laatiminen
Liiketoimintalähtöisen it-strategian laatiminenLiiketoimintalähtöisen it-strategian laatiminen
Liiketoimintalähtöisen it-strategian laatiminen
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
 
Trend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaaTrend Micro - 25 vuotta tietoturvaa
Trend Micro - 25 vuotta tietoturvaa
 
Talent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseTalent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyse
 

Mais de japijapi

Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Tietoturvakatsaus 2022
Tietoturvakatsaus 2022Tietoturvakatsaus 2022
Tietoturvakatsaus 2022japijapi
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfjapijapi
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998japijapi
 
Aalto cyber-10.4.18
Aalto cyber-10.4.18Aalto cyber-10.4.18
Aalto cyber-10.4.18japijapi
 
Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017japijapi
 
Digitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössäDigitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössäjapijapi
 
Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15japijapi
 
Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13japijapi
 
Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10japijapi
 

Mais de japijapi (10)

Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Tietoturvakatsaus 2022
Tietoturvakatsaus 2022Tietoturvakatsaus 2022
Tietoturvakatsaus 2022
 
Management Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdfManagement Events kybervoimavara 16.2.22.pdf
Management Events kybervoimavara 16.2.22.pdf
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
 
Aalto cyber-10.4.18
Aalto cyber-10.4.18Aalto cyber-10.4.18
Aalto cyber-10.4.18
 
Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017Reality of cybersecurity 11.4.2017
Reality of cybersecurity 11.4.2017
 
Digitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössäDigitaalinen turvallisuus muuttuvassa ympäristössä
Digitaalinen turvallisuus muuttuvassa ympäristössä
 
Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15Samlink-sd-drinks-10.2.15
Samlink-sd-drinks-10.2.15
 
Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13Finanssialan tietoturvakatsaus 8.5.13
Finanssialan tietoturvakatsaus 8.5.13
 
Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10Tietoturvallisuuden mittaaminen 3.2.10
Tietoturvallisuuden mittaaminen 3.2.10
 

Kokemuksia tietoturvallisuuden johtamisesta

  • 1. Kokemuksia tietoturvallisuuden johtamisesta ja yhteistyöstä yritysjohdon kanssa Tietoturvan johtaminen liiketoiminnan ja tietohallinnon yhteistyönä ILF ry + ISACA 13.2.2014 Jari Pirhonen CISA, CRISC turvallisuusjohtaja
  • 2. Aiheet Tietoturvajohtajan/-päällikön muuttunut rooli Käytännön esimerkkejä tietoturvallisuuden johtamisesta, mittaamisesta, raportoinnista ja päätöksenteosta tietoturvakriittisessä organisaatiossa Näkemyksiä siitä, kuinka monimutkainen ja tekniseksi mielletty tietoturvallisuus kommunikoidaan yritysjohdolle Kokemuksia tietoturvayhteistyöstä johtoryhmän ja esimiesten kanssa 13.2.2014 JaPi
  • 4. Tietoturvallisuuden nivoutuminen liiketoimintaan edellyttää tietoturvajohtajilta ja asiantuntijoilta uudenlaista osaamista 13.2.2014 JaPi Lähde: ISF, The Modern CISO, 2013 CISO
  • 5. 9.2.2014 JaPi / Turvallisuus - Luottamuksellinen Hallitus Turvallisuusosasto Yksiköiden johtajat Yksiköiden joryt Konsernin johtoryhmä Osastopäälliköt Henkilöstö S t r a t e g i n e n T a k t i n e n O p e r a t i i v i n e n Tietoturvan johtaminen Strategia, resurssit Toteutus Ohjaus (konserni) Ohjaus (yksikkö, osasto) Seuranta Valvonta Mittaaminen Raportointi
  • 6. 13.2.2014 JaPi Asiakas- tyytyväisyys tutkimus Turvallisuuden vuosisuunnitelma Strateginen toimenpide Turvallisuustoimenpide 1 Kustannukset / htp Aikataulu Strateginen toimenpide Turvallisuustoimenpide 2 Kustannukset / htp Aikataulu Strateginen toimenpide Turvallisuustoimenpide 3 Kustannukset / htp Aikataulu ~ 30 toimenpidettä + palvelut + projektit Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit johdetaan liiketoimintastrategiasta Konsernin tuloskortti Henkilöstö- tyytyväisyys tutkimus Henkilö- kohtaiset tavoitteet Tietoturva- riskien hallinta Tietoturva- auditoinnit Tietoturva benchmark Konsernin riskien- hallinta
  • 7. Tilannekuva Tietoturvallisuus integroitu konsernin riskienhallintaan Tietoturvallisuus integroitu projektityömalliin Turvallisuustoiminnon mittareita mm. Asiakastyytyväisyys Havaitut tietoturvariskit Jatkuvuussuunnitelmien tilanne Tietoturvapoikkeamat Tarkastushavainnot Internet-rajapinnan tietoturvastatus Sisäverkon tietoturvastatus Käyttövaltuudet Tietoturvan vertailututkimus (ISF) Tietoturvakorjausten peitto 13.2.2014 JaPi
  • 8. Tietoturvatilanteesta ja toimenpiteistä kannattaa viestiä säännöllisesti kaikilla tasoilla - ei vain poikkeamatilanteissa Turvallisuuskatsaukset omistajille puolivuosittain Konsernin hallitus Omistaja-asiakkaiden tarkastuslautakunta Turvallisuuskatsaukset johdolle neljännesvuosittain Toimitusjohtaja Konsernin johtoryhmä Yksiköiden johtoryhmät Turvallisuuskatsaukset henkilöstölle neljännesvuosittain Koko henkilöstö (TurvaBlogi, TJ-info) Tietoturvallisuuden virtuaalitiimi 13.2.2014 JaPi
  • 9. Johtoryhmän kvartaaliraporttimalli Turvallisuuden ohjaus Koulutukset Tietoturvallisuuden virtuaalitiimin havainnot Auditointien tulokset sekä tarvittavat toimenpiteet Katsaus projektien tietoturvatilanteeseen Sidosryhmäyhteistyö Turvallisuuspalvelut asiakkaille Merkittävimmät toimenpiteet ja tuotokset Ajankohtaiset mittarit Poikkeamahavainnot ja toimenpiteet Tilannekuva Ajankohtaista tietoa tietoturvatilanteesta Kiitokset tietoturva-aktiivisuudesta Tulevat turvallisuustapahtumat ja toimenpiteet 13.2.2014 JaPi
  • 10. Kumppaniyhteistyö 13.2.2014 JaPi Palvelun kokonaisseuranta  tietototurva-asioiden eskalointi Tietoturvallisuuden yhteistyökokoukset  jatkuva yhteistyö Sovitut toimintamallit  tietoturvavaatimusten toteutus, RACI Palvelun tietoturvaperiaatteet  sopimusvaatimukset käytännössä Palvelusopimus  SLA, mittarit, sanktiot Turvallisuussopimus  toimittajakohtainen, määräävä sopimus Tarkastukset ja arvioinnit  esim. ISF Security Survey
  • 11. Investoinnit Toimenpidesuunnitelma Riskiarvio Kustannuslaskelma Tarvittavat resurssit ROSI? Ratkaisuvaihtoehdot: minimiratkaisu vs. optimaalinen ratkaisu vs. maksimaalinen tietoturva 13.2.2014 JaPi Esim. Uhan arvioidaan toteutuvan 3 vuoden välein, ARO 33% Ilman suojausta toteutuneen uhan vaikutukset euroina 290-350 k€ Suojauksen ollessa käytössä vaikutukset 1-10 k€ Suojautumiskulut 4 k€/kk  ROSI ~160 k€ (3 v) 64% varmuustasolla Break-even ARO 13% (uhka toteutuu 7-8 v. välein) 80% varmuustaso, jos ARO 50% (uhka toteutuu joka 2. vuosi)
  • 12. Tietoturva ei ole kilpailutekijä, jos seuraat sokeasti parhaita käytäntöjä tehden samaa kuin kaikki muutkin. Kyseenalaista! Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. Tietoturva EI ole kilpailutekijä, jos: Ratkaisut ovat tuotelähtöisiä Seurataan sokeasti ”parhaita käytäntöjä” Tehdään samaa kuin muutkin Keskitytään tietoturvan parantamiseen riskien hallinnan sijaan Ratkaisujen tehokkuutta ei mitata Sinisen meren strategia myös tietoturvallisuudessa – kyseenalaista vanhat totuudet? 13.2.2014 JaPi
  • 14. Fokus liiketoiminnassa Tietoturvan tarkoitus  Organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut Ihmisten osaamistarve  Liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus Tehtävät  Riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi Kommunikointi  Riskiperustainen tietoturvatietoisuus Mittarit  BSC, KPI, ROSI, tietoturvan arvo, ratkaisujen tehokkuus 13.2.2014 JaPi
  • 15. Tietoturvajohtamisen haasteina ulkoiset vaatimukset suhteessa riskeihin ja keskijohdon tietoturva- vastuun ulkoistusmentaliteetti Ulkoiset vaatimukset vs. riskien hallinta Tietoturvariskien tunnistaminen ja riittävän tietoturvatason määrittely Monimutkaisuuden hallinta Tietoturvallisuuden ”ulkoistus” turvallisorganisaatiolle  omistajuus? Tietoturvallisuus huomiointi ajoissa Sopimukset, kumppanuudet, tuotevalinnat, projektit,… ”Kuorrutus” vs. ”sisään leivottu” tietoturva Projektin intressit vs. konsernin intressit Tietoturvan integrointi olemattomaan prosessiin Tehtäväkohtaisesti kohdennetut ohjeet ja koulutus Liiketoiminnan jatkuvuussuunnittelu vs. tekniset varajärjestelyt Hyödyllisten mittareiden valinta  tilannekuva 13.2.2014 JaPi
  • 16. Organisaation johtoryhmään valikoituu usein ’toiveikkaita riskinottajia’ - vaativat perusteluja, keskustelua ja ohjausta 13.2.2014 JaPi Huolestuneet riskien välttelijät Älä tuhlaa aikaasi täällä Varman päälle pelaajat Keskity korjaamaan huonot tavat Huolettomat seikkailijat Määrää – älä keskustele Toiveikkaat riskinottajat Keskustele, perustele, ohjaa 44% 22% 16% 18% Lähde: HM Revenue & Customs
  • 17. Yhteenveto Tietoturvallisuuden nivoutuminen liiketoimintaan edellyttää tietoturvajohtajilta ja asiantuntijoilta uudenlaista osaamista. Tietoturvallisuuden tarkoitus, tehtävät, osaamisvaateet ja mittarit johdetaan liiketoimintastrategiasta. Tietoturvatilanteesta ja toimenpiteistä kannattaa viestiä säännöllisesti kaikilla tasoilla - ei vain poikkeamatilanteissa. Tietoturva ei ole kilpailutekijä, jos seuraat sokeasti parhaita käytäntöjä tehden samaa kuin kaikki muutkin. Kyseenalaista! Tietoturvajohtamisen haasteita ulkoiset vaatimukset suhteessa riskeihin ja keskijohdon tietoturvavastuun "ulkoistusmentaliteetti”. Organisaation johtoryhmään valikoituu usein "toiveikkaita riskinottajia" - vaativat perusteluja, keskustelua ja ohjausta. 13.2.2014 JaPi