1. Organisaation liiketoimintaan integroitu
tietoturvallisuuden hallinta
Juhani Anttila
Venture Knowledgist Quality Integration
juhani.anttila@telecon.fi , www.QualityIntegration.net
31.3.2010
These pages are licensed under
Creative Commons Nimeä 3.0 lisenssi
1 http://creativecommons.org/licenses/by/3.0/deed.fi
Mainitse lähde
2. Organisaation liiketoimintaan integroitu
tietoturvallisuuden hallinta
Tarkasteltavat pääteemat:
1. Tieto, tietoturvallisuus ja tietoturvallisuuden hallinta organisaatioissa
2. Tietoturvallisuuden hallinnan integrointi
3. Tietoturvallisuuden varmistus
4. Liiketoimintajohdon sitoutuminen tietoturvallisuuden hallintaan
5. Integroitu hallinta ja standardit
6. Tietoturvallisuus organisaation strategisessa johtamisessa
7. Tietoturvallisuus organisaation tuotteissa
8. Tietoturvallisuus organisaation operatiivisessa toiminnassa
(liiketoimintaprosessien hallinta)
9. Näkökulmia nykyajan liiketoimintaolosuhteiden vaatimuksiin
10. Tietoturvallisuuden hallinnan arviointi ja kehittäminen
2
xxxx/28.1.2010/jan
3. Tietoturvallisuus organisaatioissa ja yhteiskunnassa
Ihmisten ja organisaatioiden toiminnan turvallisuus
Tietoturvallisuus tuotteen laatuna
Tavarat Palvelut
Organisaation operatiivinen suorituskyky Tieto on ihmisten,
organisaatioiden ja koko
Ihmiset Prosessit Materiaalit yhteiskunnan toiminnan
perusta.
Tietoturvallisuus on
Organisaation kokonaissuorituskyky (tietoturvallisuuden hallinta) arkinen ja jokapäiväinen
myönteinen asia.
Yrityskulttuuri Johto Rakenne Henkilöstö Välineet Tietoturvallisuus toteutuu
hyvin toimivan yhteiskunnan
Yhteiskunnan tietoturvallisuuskulttuurisuus ja organisaatioiden kautta.
Tietoturvattomuutta ei voi
Kulttuuri Kehittyneisyys Infrastruktuuri poistaa vain reaktiivisilla
3 toimenpiteillä
2991/28.1.2005/jan (Ref. Dr. Seghezzi EOQ ’88 Moskova)
4. Pragmaattinen aito tieto
• Tietoa on todeksi todistettu ja perusteltu uskomus jonkin asian luonteesta.
Aitoa tieto on silloin, kun sen seurauksena tiedon saanut kykenee toimimaan
uudella mielekkäällä tavalla.
• Tiedoksi ei pitäisi luokitella muuta, kuin toiminnassa koeteltu ja toiminnaksi
muuttunut tieto. Tieto ei voi olla ’arvovapaata’, objektiivista.
• Tieto muodostaa yhteisön ja sen käytännöllisen toiminnan perustan.
”The knowledge you take
is equal to the knowledge you make.” (*)
Charles Sanders Peirce
4
1014/4.3.2010/jan (Ref.: Jaana Venkula) (*) Lennon, McCartney
5. Kiinteä ”parisuhde”: Tieto ja tiedon kantaja
Tietoa ei voi esiintyä ”irrallisena”, vaan sillä on aina jonkinlainen ”kantaja”:
• Muistivälineeseen, esim. CD-levy ja muistitikku, sisältyvä tieto
• Liiketoimintaprosessi ja prosessiominaisuudet
• Tavaratuote ja sen ominaisuudet sekä tuotetiedot
• Tietojärjestelmässä oleva tieto
• Tilastoissa tai dokumenteissa julkaistu tieto
• Asiantuntijan neuvontana antama tietopalvelu
• Ammattihenkilön osaamiseen ja tietämiseen sisältyvä tieto (tacit knowledge)
• Organisaation tai yhteisön viisaus
Itse asiassa organisaatioiden kaikki prosessit ovat tietoprosesseja, kaikki työntekijät
tietotyötekijöitä ja kaikki tuotteet ovat tietotuotteita.
5
2350/15.1.2010/jan
6. Tietoturvallisuuden hallinnan kokonaiskuva
Liiketoimintayhteisö (verkottuneet organisaatiot)
Organisaatiot
Yhteentoimivat organisaatioiden liiketoimintaprosessit Tuotteet
Sovellukset, ihmiset ja verkot (tekniset ja henkilöverkot)
SW / HW modulit, Käyttäytymismallit
Teoreettiset, ICT järjestelmät
matemaattiset
Rakenneosat, protokollat, jne. Meemit
ja tieteelliset
perustat
6
3385/28.1.2010/jan
7. “Integrointi”: Tietoturvallisuus toteutuu aidosti
vain organisaation todellisessa toiminnassa,
Tietoturvallisuus (information security) toteutuu luonnollisesti ja tehokkaasti, kun se
on osana organisaation tuoteominaisuuksia ja sen hallinta (information security
management) on välittömästi sisällytetty organisaation liiketoimintoihin ja niiden
johtamiseen. Kaikki liiketoiminnasta ylimääräinen tietoturvallisuustoiminta on turhaa ja
haitallista.
Tietoturvallisuuden hallinta organisaatiossa on johtamiskysymys. Jos organisaation
johtaminen ei ole hallinnassa, tietoturvallisuuden toteutuminen on sattumanvaraista.
Irrallisena todellisten organisaatioiden johtamiskäytännöistä tietoturvallisuus-
vaatimukset tai -standardit tai muut tietoturvallisuuden ”opit” ja teoriat ovat vain
”hengettömiä” sanoja, ”purkitettuja” ajatuksia tai toimintaa. Ne ovat
tietoturvallisuuden hallinnassa käytettäviä työkaluja, jotka alkavat elää vasta kun niitä
aletaan hyödyntää todellisen organisaation toiminnoissa ja liiketoiminnan tarpeisiin.
7
1920/30.1.2010/jan
8. Tietoturvallisuus syntyy organisaation sisäisellä
tietoturvallisuuden hallinnalla ja näkyy tuotteissa
Toimintaympäristö
Yleiset olosuhteet ja vaatimukset
- Sidosryhmät
vaik utus
Organisaatio Vuoro ntäpinta it
Asiakkaat (B2B, B2C)
tä sess
(toimija / toimittaja) lii pro
ja muut sidosryhmät
utus is-
Liiketoimintajärjestelmä va ik ak äym t
uoro anssahtuma
K p
Tietoturvallisuuden hallintaV ta
Muut toimi(tta)jat
Tuotteet Sopimukset,
Tietoturvallisuus määräykset
Tietoturvallisuus on organisaation
välttämättömyys mutta myös kilpailuetu
8
3774/7.1.2010/jan
9. Major challenges for the information
security management
1. Integration:
– Implementing effective / efficient and business-relevant Information security
information security principles and methodology management information
embedded within organization’s normal activities of
strategic and operational management security in management
2. Responsiveness:
– Being able to adjust quickly to suddenly altered Dynamic and flexible
external conditions, and to resume stable operation
without undue delay business management
3. Innovation:
– Striving continuously for new organization-dedicated Standard approach
innovative and unique solutions and encouraging An organization’s unique
various choices for information security management
in different organizations. approach
9
3784/2.1.2010/jan
10. Tietoturvallisuuden hallinnan integrointi
liiketoimintaan
(1) Selkeät johtavat Tietoturvallisuuden suorituskyky,
periaatteet (integroidun ylivertaisuus
stö tietoturvallisuuden
ay ion
äri
hallinnan ymmärtäminen)
int aat
mp
im nis
eto rga
O
liik
Suorituskyvyn
TOIMINTA vertailukohteet
(Liiketoiminnan
prosessit ja projektit)
TUOTTEET
(Tavara- ja palvelu-
(3) Innovatiivinen (2) Tehokkaat työkalut
tuotteet)
johtamis- (menetelmät,
infrastruktuuri teoriat, jne.)
10
2472/3.3.2010/jan (Ref. Peter Senge, Learning organization)
11. Mitä tietoturvallisuus on?
Tietoturvallisuuden tavoitteena on tiedon: Peruskäsitteiden vaikeus ja
• Virheettömyys (eheys), integrity monitulkintaisuus sekä niiden
• Saatavuus, availability välisten suhteiden epäselvyys
• Luottamuksellisuus, confidentiality haittaavat niiden tehokasta
Lisäksi näiden yhteydessä tuodaan esille myös: käytännön toteutumista.
• Aitous, authenticity Epäselvyyttä aiheutuu myös
käsitteiden safety (turva) ja
Koko tietoturvallisuusajattelun peruskäsitteinä, “arkkityyppeinä”, security (turvallisuus)
ovat epäjohdonmukaisesta
• Identiteetti , identity käytöstä.
• Yksityisyys, privacy
Huom: Securityn alkuperäinen
Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA. merkitys tarkoittaa huoletonta
olotilaa ja toimintaa: Latinan
Käytännön tasolla nämä ominaisuudet toteutuvat organisaation sēcūrus huoleton = sē-
tietoturvallisuuden hallinnan (information security management) (prefix) ilman, erossa + cūr(a)
kautta organisaation liiketoiminnan prosessien ja tuotteiden huoli + -us adjektiivi suffix.
ominaisuuksina.
11
1923/11.2.2010/jan
12. Mitä on tietoturvallisuuden hallinta?
Peruskäsitteet: Peruskäsitteiden vaikeus ja
• Information security management (ISM) monitulkintaisuus sekä niiden
• Information security management system (ISMS) välisten suhteiden epäselvyys
• Information security assurance (ISA) haittaavat niiden tehokasta
• Information security governance (ISG) toteutumista.
eivät valitettavasti ole selkeitä tai yksikäsitteisiä edes alan
Jokaisen organisaation, joka
asiantuntijoiden piirissä tai standardeissa. haluaa vakavasti paneutua
tietoturvallisuuden hallintaan,
Nämä käsitteet pitäisi ymmärtää organisaation yleisen pitäisikin omaa käyttöään
liiketoiminnan johtamisen kannalta, jossa yhteydessä esiintyy varten selkiyttää kaikki
mm. seuraavia käsitteitä: tarvittavat peruskäsitteet.
• Business management
• Quality management
• Quality assurance
• Corporate governance
• IT governance
12
3775/11.2.2010/jan
13. Organisaation tietoturvallisuuden hallinnan kaksi
tavoitetta ja toiminta-aluetta
1. Sisäinen tavoite
- Tietoturvallisuuden hallinta (information security management): liiketoiminnan
suorituskyvyn ylivoimaisuuteen, performance excellence, pyrkiminen ja
suorituskyvyn jatkuva parantaminen
- Liiketoimintatavoitteiden - organisaation sidosryhmien tarpeiden ja odotusten -
täyttäminen
2. Ulkoinen tavoite
- Tietoturvallisuuden varmistus (information security assurance): luottamuksen
(confidence) synnyttäminen ja vahvistaminen organisaation asiakkaissa ja muissa
sidosryhmissä
- Sidosryhmätarpeiden ja -odotusten täyttäminen tietoturvallisuuden varmistuksen
suhteen
Tietoturvallisuuden varmistus on tietoturvallisuuden hallinnan osa-alue!
13
1925/2.3.2010/jan
14. Tietoturvallisuuden hallinta ja varmistus
AA/B YRITYS A
MA
AB/C YRITYS B
MB
YRITYS C Tarkoitukset:
M Ekselenssi (sisäinen kiinnostus)
MC A Konfidenssi (ulkoinen kiinnostus)
Organization B2
MB2
Organisaation tietoturvallisuustoiminnan kaksijakoisuus:
• MA, MB, MC Organisaation tietoturvallisuuden hallinta (management)
• AA/B, AB/C Organisaatioiden välinen tietoturvallisuuden varmistus (assurance)
14 (perustuen tieturvallisuuden hallintaan) - Varmistus on luonteeltaan
viestintää
3779/29.1.2010/jan
15. Tietoturvallisuuden hallinta
ja tietoturvallisuuden varmistus
Tietoturvallisuuden
hallinta (*), ISO/IEC27001
ISO/IEC27002 on osa
ISO/IEC27002:a
Tietoturvallisuuden
varmistus (**),
ISO/IEC27001
Tietoturvallisuuden hallinnan periaatteet
(*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus
(**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus
15
3665/3.5.2009/jan
16. Tietoturvallisuuden hallinta on organisaation
johtamista
Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksi
ja ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa
Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaan
organisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointia
organisaation liiketoiminnan johtamiseen:
Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla.
Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa.
Jos organisaation yleinen liiketoiminnallinen johtaminen ei ole
hallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutua
asianmukaisesti eikä vaikuttavasti tai tehokkaasti.
16
3776/3.1.2010/jan
17. Tietoturvallisuuden hallintajärjestelmä,
Information security management system (ISMS),
Ainakin alan perusstandardeissa on peruskäsitteenä tietoturvallisuuden
hallintajärjestelmä (information security management system, ISMS). Käsite muodostuu
kahdesta osasta:
1. Organisaation johtamisjärjestelmä (management system, MS):
- Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä
tavoitteiden saavuttamiseen käytettävä järjestelmä
2. Tietoturvallisuus (information security, IS):
- Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi
tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä
ISMS =/= Tietoturvallisuuden johtamisjärjestelmä
ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuutta
tietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä.
ISMS on pääasiallissesti tarkoitettu organisaation liiketoimintatarpeita varten.
Itse asiassa, käsitettä ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan.
Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen
17 erillisiä järjestelmiä tietoturvallisuuden hallintaa varten.
3777/2.1.2010/jan
18. Organisaation laadukkaan johtamisen ja tietoturvalli-
suuden hallinnan yleisperiaatteiden integrointi
Organisaation laadukkaan johtamisen Tietoturvallisuuden hallinnan yleisperiaatteet
yleisperiaatteet (ISO 9000): (OECD 2002):
1) Asiakaskeskeisyys 1) Turvallisuustietoisuus: Tietoisuus
2) Johtajuus tietoturvallisuuden tarpeesta ja toimenpiteet sen
edistämiseksi
3) Henkilöstön osallistuminen 2) Vastuullisuus: Vastuullisuus tietoturvallisuudesta
4) Prosessimainen toimintamalli 3) Vastatoimet: Toiminta tietoturvallisuuden
5) Järjestelmällinen johtamistapa loukkausten havaitaksemiseksi ja ehkäisemiseksi
6) Jatkuva parantaminen sekä vastatoimenpiteet niihin
4) Eettisyys: Toisten oikeutettujen etujen
7) Tosiasioihin perustuva kunnioittaminen
päätöksenteko 5) Demokratia: Sopeutuminen demokraattisen
8) Molempia osapuolia hyödyttävät yhteiskunnan arvoihin
liiketoimintasuhteet 6) Riskien arviointi: Riskien arviointien tekeminen
7) Tietoturvallisuuden suunnittelu ja toteuttaminen
tietojärjestelmien ja verkkojen olennaiseksi osaksi
8) Turvallisuuden hallinta: Tietoturvallisuuden
hallinnan toteuttaminen kokonaisvaltaisesti
9) Tietoturvallisuuden arviointien toteuttaminen
laajasti ja johdonmukaisesti
18 Organisaation johtamisessa tulee ottaa huomioon tietoturvallisuuden hallinnan periaatteet
3773/9.2.2010/jan
ja tietoturvallisuuden hallintaa tulee toteuttaa laadukkaan johtamisen keinoin.
19. Johtamisjärjestelmä(*): Organisaation tarkoituksen ja
tavoitteiden johdonmukainen toteuttaminen (**)
Kehitys/muutos-
Toiminta- projektit:
Strategiat ”liiketoiminta-
(etenemis- suunnitelmat,
Tarkoitus prosessit mallin, prosessien
tapa) ja menettelyjen
(olemassa- Visio (toimintamalli)
olon (tulevai- parantaminen”
peruste) suuden
Johtavat toivetila)
periaatteet Resurssit, Operatiiviset
Politiikat menettelyt,
(toiminta- prosessit:
dokumentit, ”Tarkoituksen
tapa) työkalut päivittäinen
toteuttaminen”
ARVOSTUKSET JOHTAMISESSA (”ARVOT”)
Yrityksen Strategiset suunnitelmat Toteutuskeinot Toiminta
tarkoitus 3...5 1...2 0,4...1 juuri nyt
vuotta vuotta vuotta
19
2748/3.11.2005/jan (*) Aina organisaatiokohtainen infrastruktuuriratkaisu, (**) Integroitu laadukkuus
20. Erillisistä hallintajärjestelmistä
järjestelmällisyyteen
Organisatorinen järjestelmällisyys toteutuu liiketoiminnan
rakenteiden ja toiminnan (prosessien) kautta.
20 Todellinen ”hallintajärjestelmä” on illuusio ja erityinen
hallintajärjestelmä on keinotekoinen rajoite ja rasite.
3752/7.1.2010/jan
21. Business leaders have the key role in information
security management but are not adequately prepared
Studies and observations made in small and big companies and governmental offices:
Although:
• Most people in our organizations know the fundamentals and basic principles of
information security and recognize their importance, and even may be well-motivated.
• There is a lot of general and organization-dedicated information security training and
education programs for increasing awareness and skills of information security.
However:
• Senior executives in those organizations:
– Are not really interested in information security in their own management practices
– Don’t understand or recognize their managing role for information security
– Have only a superficial understanding of information security
– Lack the necessary skills for managing an organization with regard to information
security
– Senior executives are not familiar with the information security standards
– Easily delegate their responsible duties to external consultants or even outsource
the whole issue
21
3183/22.1.2010/jan
22. Why business leaders are poorly commitment
to information security management?
• Basic professional information security concepts, e.g. integrity, availability and
confidentiality, are difficult, complicated and strange to business people.
• Information security management requires specific knowledge and skills.
• Guidance materials for information security management are complicated and confusing,
and difficult to realize and apply consistently:
– General standards and guidelines, e.g. ISO/IEC 27000 family of standards and OECD
Guidelines
– Information technology and service references that normally consider also information
security aspects, e.g. ISO/IEC 20000, ITIL, COBIT, Sarbanes-Oxley Act, etc.
• General management references, e.g. ISO 9000 standards, extensive and multifaceted
general management literature, and management education, e.g. MBA programmes, don’t
clarify information security as a management issue and don’t explicitly promote the issue.
• Information security is a multidisciplinary issue and difficult to cope with simple managerial
practices - and particularly in today’s turbulent business environments.
• Communication between business leaders and information security (and other related)
experts is ineffective and uncreative in general and within organizations.
• Business leaders are very busy, subjective, authoritative, and holistic generalists.
• External third party audits and certifications undermine business leaders’ active
responsibility.
• Business information is principally based on tacit (implicit) knowledge, and management of
22 the security of tacit knowledge is a sophisticated issue.
3186/22.1.2010/jan
23. Consequences when senior executives don’t commit
to information security management
• Information security is not being managed business-minded and not aligned with real
business needs.
• Information security is seen only as a reactive and negative question to fulfil some
standardized requirements.
• Organizations keep busy with separate and restricted information security questions
• Information security standards are not understood from the managerial responsibility
• Organizations take only “cosmetic” or superficial actions for information security
management.
• Business leaders delegate their management responsibilities to experts or outsource
the whole issue to external consulting organizations.
• Organizations keep silent on their problems or incompetence in information security
– and suffer consequences, or hope that nothing serious will happen.
23
3187/22.1.2010/jan
24. Effective dialogue and cooperation is needed
between business leaders and experts
Business leaders know the right things and experts know the best means to
do things right:
• Business leaders are generalists and strongly acting individuals with
strong organizational positions.
• Experts are specialists and deeply knowing individuals with low position-
based authority.
Clear responsibility / authority roles should be established between business
leaders and experts, and an effective dialogue and cooperation between
them made possible.
24
1816/2.1.2010/jan
25. Tietoturvallisuuden generalisti-spesialisti-dilemma:
liiketoimintajohtajien ja asiantuntijoiden yhteistoiminta
Liiketoimintajohtajat ja -päälliköt ovat vastuullisia omien alueittensa johtamisesta
kokonaisuudessaan. He ovat vastuullisia myös omilla alueillaan tietoturvallisuuden
johtamisesta. Sitä vastuuta ei voi siirtää organisaation sisäisille tai ulkoisille tietoturva-
asiantuntijoille.
Tietoturvallisuuden asiantuntemusta tarvitaan, jotta sen johtaminen ja hallinta voisi
tapahtua ammattimaisella ja systemaattisella tavalla hyödyntämällä alan parhaita
käytäntöjä ja keinoja. Sitä varten on olemassa tietoturvallisuusasiantuntijoita. Heidän
tehtävänsä on tukitehtävä tietoturvaratkaisujen kehittämiseksi ja toteuttamiseksi
käytäntöön. Heitä tarvitaan myös vaikeiden ongelmatilanteiden ratkaisemisessa.
Jos operatiivisissa tehtävissä joudutaan "kiertämään" asiantuntijoiden kautta se
hidastuttaa toimintaa, lisää kustannuksia ja yleensä johtaa byrokratian
lisääntymiseen kielteisessä mielessä. Jos sen sijaan jossain prosessissa
tietoturvallisuusasiat ovat niin merkityksellisiä tai ongelmallisia, että tarvitaan
erityisiä tietoturvallisuuden asiantuntijatietoja ja -taitoja, ne tulisi suoraan nimetä ko.
25 prosessin henkilöresursseiksi joko pysyväisinä tai OTO-rooleina.
2353/30.7.2002/jan
26. Konfliktit johtamisessa
Tietoturvallisuuden
Talouden hallinta Riskien
hallinta hallinta
Henkilöstön-
hallinta
Asian X
hallinta Tiedon/tietämyksen
hallinta
Laadun- Työturvallisuuden Ympäristön-
hallinta hallinta hallinta
Mahdolliset konfliktitilanteet:
- Strategisella tasolla: toimitusjohtajan sitoutuminen
26
- Operatiivisella tasolla: liiketoimintaprosessien hallinta
2401/20.2.2010/jan
27. Integrating specialized domains of management
standardization and ensuring natural business diversity
The Finnish model Finance
for integration (MSS) Product General management
Environment
quality system
General
Occupational
management
Ethics responsibilities health and safety
and business Organizational
system identity & privacy
Social
Security responsibility
Risks
Organizational diversity
27
3342/20.8..2009/jan (Ref.: ISO Management systems standardization, MSS)
28. Kansainvälinen tietoturvallisuuden hallinnan
standardisointi
Standardien käytännön
soveltajan kannalta tilanne on
hyvin sekava ja hämmentävä.
Erityisesti ISO/IEC 27000 -
standardiperheen osalta olisi
välttämätöntä jämäkkä
perhesuunnittelu.
Joka tapauksessa vastuu
soveltamisesta lankeaa
yksittäisille soveltaja-
organisaatioille.
28
3778/4.3.2010/jan
29. Standardointi ja organisaatioiden reaalitoiminta
Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y
Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X
Standardoinnin
aihealue
Aihealueen todellinen
käytännön toteutus
Organisaatio A: Toteutuselementit A: Innovaatioprosessi A
29 Organisaatio B: Toteutuselementit B: Innovaatioprosessi B
3484.7.1.2010/jan
30. Organisaatioita ei pidä yrittää sopeuttaa oppeihin
tai malleihin. Entä miten päinvastoin?
30
2902/2.10.2004/jan
31. From a business
establishment Promotion
and support:
to satisfying AN ORGANIZATION
* Standardization
* Political impact
requirements * Consultancy
* etc.
Business activities:
-Operational duties-
-Strategic development-
Action plans Infrastructure
Management
+
Management system
Owner,
Strategies
Vision
Mission
Values
and
Policies
Stakeholders
+ Needs and expectations:
* Performance
Competitors
(Business creator) apprecia- * Price and cost
+ tions
Purpose
31 Profound knowledge: Business management sciences and experiences +
Expertises in quality, information security, environmental protection, etc.
3749/25.1.2010.2009/jan
32. Organisaation strateginen (1) ja operatiivinen (2)
tietoturvallisuuden hallinta
(1) Strateginen johtaminen:
– Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä
systeemikokonaisuutena)
– Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle
tietoturvallisuuskysymyksissä
– Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys
ovat lisääntymässä
– Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit
– Muutosjohtaminen, entisestä luopuminen
(2) Operatiivinen johtaminen:
– Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa
– Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien
mukaisesti
– Operatiivinen nykyisyysnäkökulma
– Prosessin / projektin sisäinen parantamistoiminta
Molempia näkökulmia tarvitaan organisaation johtamisessa koko ajan samanaikaisesti. Niitä
varten on erilaiset menettelyt.
32
3780/2.3.2010/jan
33. Organisaation johtamisen tehtävä: Mission
toteuttaminen ja visioon pyrkiminen
Operatiivinen johtaminen Strateginen johtaminen
Tulevaisuus: 20xx
(liiketoimintaprosessit) (Kehittämisprojektit)
Kenelle? Visio
Toiminta-
ajatus (missio,
liikeidea, Strategia
olemassaolon
oikeutus)
Toiminta
Mennyt nyt: 2010
Miten?
Mitä?
33
2752/10.2.2010/jan ORGANISAATION TOIMINTAYMPÄRISTÖ
34. Information security management: Planning, controlling,
and improving the performance of business processes
Performance
(5) New performance A P
planning Good C D
Control with the new limit
A P (4) Breakthrough
C D improvement
(2) Performance control
(3) Small step improvement
”Kaizen”
(1) Performance A P
planning Control limit Prevention C D
Bad Rectifying sporadic
problems
Time
34 Feedback
3766/12.1.2010/jan (Ref. Dr. Juran: Trilogy Approach)
35. Johtaminen: “Koordinoidut toimenpiteet
organisaation suuntaamiseksi ja ohjaamiseksi” (*)
PDCA-johtamis-
malli: TOIMI TARKISTUS- SUUNNITTELE
P = Plan TULOSTEN TOIMINTA
D = Do PERUSTEELLA • Toiminta- / tulos-
C = Check • Viestintä, suunnitelma PDCA:n soveltaminen
A = Act palkitseminen • Toiminta-
(“Triple PDCA):
• Ehkäisevä toiminta periaatteet ja -malli
• Parantava toiminta • Menettelyt ja • Toiminnan ohjaus (control)
A P menetelmät (rationaalinen, operatiivinen)
C D • Jatkuva pienten askelten
TARKISTA, MITEN TOIMI SUUNNITELMAN parantaminen (Kaizen)
ON TOIMITTU JA MUKAISESTI (rationaalinen, operatiivinen)
MITÄ SAATU AIKAAN • Menettelyjen • Suuret muutokset
• Arvioinnit soveltaminen tulosten (breakthrough)
• Katselmukset aikaansaamiseksi (innovatiivinen, strateginen)
• Korjaava toiminta
35
2600/10.10.2009/jan (Ref.: Deming / Shewhart, ISO 9000, Shiba, Bodhnath Stupa / Kathmandu)
36. Organisaation osaamisen ja oppimisen
sekä johtamisen tasot
Suunnittelu Tekeminen Oppiminen
(ohjaus ja varmistus) (parantaminen)
Liitetoiminta-
yhteisö, KULTTUURINEN,NORMATIIVINEN
(konserni)
A
Liiketoiminnan S
alue (business) STRATEGINEN T I
U A
O K
T A
Prosessi OPERATIIVINEN
E S
Yksilö tai tiimi HENKILÖKOHTAINEN
36
0042/30.1.2004/jan (Ref. D. Seghezzi, G. Rummler & A Brace, J. Juran)
37. Yrityksen johtamisen neljä tasoa
Kulttuurinen ja normatiivinen johtaminen:
• Luodaan liiketoiminnalle kokonaisuudessaan merkitys, yhteinen suunta ja yhteiset
työkalut, ts. meidän tapamme toimia
(konserni, toimitusjohtaja)
Srateginen johtaminen:
• Johdetaan liiketoimintaa kokonaisuutena ja tulevaisuuden kilpailukykyyn
(liiketoiminta-alue, liiketoimintajohtaja)
Operatiivinen johtaminen:
• Johdetaan liiketoiminnan päivittäistapahtumia juuri nyt ja yksittäisissä toiminnan
pisteissä
(liiketoimintaprosessi, prosessinomistaja)
Henkilökohtainen johtaminen:
• Toimintaa johdetaan yksittäisten toimijoiden henkilökohtaisen osallistumisen ja
sitoutumisen kannalta
(henkilöt ja tiimit, minä itse)
37
1835/2.2.2003/jan
38. Organisaation strateginen johtaminen
(johtamisprosessi)
2015 Visio (”unelmatilanne”)
Strategisen muutoksen
Strateginen visioon toteutuminen, parantunut
perustuva tarve Strateginen toimintajärjestelmä
muutokseen lähikautena ja toiminnan tehokkuus
johtamisprosessi:
(muutokset toimintaprosesseihin),
suuret strategiset muutokset
Oleva tilanne toiminta- - suunnittelu
ympäristössä (sidosryhmät, (tavoitteet ja keinot)
toiset toimijat) - toimeenpano Jokapäiväisen toiminnan
toteuttaminen olevalla
- seuranta ja ohjaus toimintajärjestelmällä
Organisaation sisäinen
tilanne ja edellisen (olevat toimintaprosessit),
toimintakauden pienten askelten parantuminen
toteutunut toiminta
ja tulokset (prosessien
toiminta)
38
2544/26.4.2007/jan
39. Laadukkaan operatiivisen johtamisen perustavoite:
Sidosryhmälle kannattavasti puoleensa vetävää hyötyä
Organisaation sidosryhmäsuuntautumisen tarkoituksena on pystyä tuottamaan molemminpuolista
arvoa ja kilpailutilanteessa voittavan tuotteen:
Tuote: Sidosryhmä
Info (asiakas):
Organisaatio: Myönteiset ja
Lasku kielteiset tekijät
----
Johtaminen ----
Tavara
Valinta
Ihmis-
palvelu
Automaatti-
palvelu
Prosessit
Liitäntäpinta sidosryhmään
39 Sidosryhmätransaktiot
0241/14.2.2010/jan (”totuuden hetket”)
40. Prosessit ja tuote liiketoimintayhteydessä
Organisaatiot liiketoimintayhteydessä:
Asiakas (*)
Toimittaja
(organisaatio)
Tuote
(palvelu & tavara )
Toimittajan liiketoimintaprosessit
Asiakkaan liiketoimintaprosessit
Liiketoimintaliitäntäpinta
(liiketoimintakanssakäymiset)
Alihankkija,
osatoimittaja
40
2335/15.19.2004/jan (*) Pätee myös muille toimittajan sidosryhmille
41. Organisaation tuote
• Tavara, väline, järjestelmä, materiaali, tms. Tuote on organisaation liiketoiminta-
• Palvelu prosessien tuotos.
• Sivutuotteet
• Edellisten yhdistelmät
(Huom. Tieto ei voi olla erillisenä tuotteena,
vaan se on aina liittyneenä johonkin välineeseen tai palveluun)
41
0134/22.1.2010/jan
42. Tuote koostuu tavarasta ja palvelusta
Tuote = Prosessien tuotos Pelkkä tavara
= Tavara + Palvelu 100% 0%
Tuottajan prosessit => Tavara
Tuottajan ja vastaanottajan prosessit => Palvelu
Tuotteen vastaanottajalle synnyttämä arvo Tavaran Palvelun
perustuu tuotteen tavara- ja palveluosuuteen arvo-osuus arvo-osuus
yhdessä.
20% 80%
0% 100%
Pelkkä palvelu
42
2898/15.9.2009/jan
43. Tuote ja sen rakenneosat
Tuote syntyy prosesseilla. Kutakin erityistä tuotetta edustaa yksi piste kuviossa:
Tavaratuote
Tuote synnyttää arvoa vastaanottajalle
yksilöllisellä tavalla rakenneosiensa
kautta.
a
P b
Kehityksen suunta
c
Ihmispalvelu Automaattipalvelu
43
3391/13.1.2008/jan
44. General systematic detailed grouping of performance
characteristics of any product (6E+2S)
Effective- Ergo- Serve- Security Esthetic Ethics Social per- Ecology Economy
ness nomics ability (*) formance
Quantitative
sufficiency
Environmental
compatibility
Dependability The product performance
characteristics may be
Reliability designed systematically and
performance objectively by the product
Maintainability developer but they are always
performance perceived comprehensively
All product characteristics
Maintenance support and subjectively by the
are interlinked with each others
performance product user.
44
0375/3.12.2008/jan (*) accessibility + retainability
45. Prosessit organisaatioissa - Tieto prosesseissa
Prosessi:
Reaaliaikainen ”luonnollinen” toimiminen, tekeminen, tapahtuminen,
jne. Organisaatioissa toimijoina ovat ihmiset ja muut resurssit.
Prosessi on reaalimaailman ilmiö. Luonnollisimmin prosessitoiminta
tapahtuu ihmisten ajattelussa ja puheessa.
Alkeisprosessit:
Organisaatioissa tapahtuvia yksinkertaisia perustoimia, kuten On tärkeätä ymmärtää
keskusteleminen, puhelinkeskustelu, yhteyden pitäminen, ero organisaation
siirtyminen paikasta toiseen, tapaaminen, kokoontuminen, prosessien ja struktuurin
neuvotteleminen, tekstin kirjoittaminen tai lukeminen, jne. välillä:
Liiketoimintaprosessi: Prosessi
Yhteen liittyneet toiminnot (aktiviteetit), erityisesti ”alkeisprosessit”,
sekä niiden väliset tietoa ja materiaaleja siirtävät yhteydet jonkin (toiminta)
keskeisen liiketoimintatarpeen ja tavoitteen toteuttamiseksi.
Prosessien kautta organisaation resurssit suunnataan ja järjestetään
toimimaan yhdessä organisaation tavoitteiden toteuttamiseksi. Struktuuri
Prosessien suorituskyky määrää organisaation tuloksellisuuden ja (rakenne)
tehokkuuden. Prosessien kautta tapahtuvat kaikki organisaation ja
sen sidosryhmien väliset kanssakäymiset.
45 Organisaatioiden kaikkea tietoa käsitellään organisaatioiden prosesseissa.
3781/3.1.2010/jan
Tietoturvallisuuden hallinta voi tapahtua vain prosessien hallinnan kautta.
46. Tasapaino prosessien ja struktuurin välillä
Toimivuus Struktuuri #1 Struktuurin tulee palvella
prosesseja (ts. toimintaa).
Ulkopuolisesti pakotettu
Struktuuri #2 struktuuri on haitallinen
Prosessi
(toiminta): organisaation identiteetin
Itsestään kannalta.
syntyvä,
reaali-
aikainen,
aktiivinen,
taitava,
ohjautuva,
oppiva, Tasapaino:
avoin, - Vapaus / ohjaus
elävä Rakenteen - Tietoisuus / ohjeet
jäykkyys - Ihmiset / järjestelmät
Struktuuri (oleva): Suunniteltu, rakennettu, ohjattu, - Luovuus / reaktiivisuus
passiivinen, opetettu, pakotettu, suljettu, kuollut
46
360624/10.1.2010/jan
48. Organisaationlaajuinen liiketoimintaprosessien
hahmottaminen: Prosessiviitekehys
Markkinat
Kilpailu- • mahdollisuudet
Markkinaprosessit:
kykyiset • tarpeet
Uusien tuotteiden toteuttaminen markkinoiden tarpeisiin ja odotuksiin.
Tuotteiden kokonaishallinta. Markkinaviestintä. tuoterat-
kaisut
Asiakkaat
Laadukkaat • tarpeet
Asiakasprosessit:
Asiakas- • odotukset
Asiakkaiden tarpeiden ja odotusten täyttäminen tuottamalla
tuotteita organisaation “tuotesalkun” mukaisesti suhteet
ja -palvelu
Johtamisprosessit: Organisaation suorituskyvyn kokonaisjohtaminen
Tukiprosessit: Organisaation prosessien tehokas tukeminen
48
= Organisaatioyksiköt = Kumppanit
2867/6.1.2007/jan
49. Organisaation liiketoiminnan prosessikartta
ASIAKAS
syöte tuotos syöte tuotos
asia Prosessi b asia
Prosessi a Prosessi d tuotos Prosessi e
syöte syöte Prosessi c
syöte tuotos
syöte
Osa- asia Osa- Osa- asia Osa-
prosessi 1 prosessi 2 prosessi 4 prosessi 5
syöte
asia asia
asia
Prosessi f syöte Osa-
prosessi 3
Prosessi X
MUUT SIDOSRYHMÄT
49
0942x/7.9.2004/jan
50. Yksittäisen prosessin toiminta
Ulkopuolinen Ulkopuolinen
Osapuoli 1 toiminto toiminto
syöte
laskutus- tuotos
Tekijä 1 Tehtävä tieto Toiminto
Yksikkö 1 tarkis- tuloste
Toiminto tus
data
tieto
Tieto- Sovellus- toimitus-
sovellus toiminto tieto Tie-
dosto
ulkopuo- Järjes-
Tekninen linen telmä
järjestelmä palvelu toiminto
Osapuoli 2 Ulkopuolinen
50 toiminto
0691/27.8.2004/jan
51. Prosessin hallinnan toiminnot A P
C D
Strateginen johtaminen
• katselmukset
Arviointi, auditointi
Uudelleen- Korjaava Poikkeamat
suunnittelu toiminta
M
i
Prosessi- t
tuotos t Tulos
Prosessisyötteet Työ a
• vaatimukset a
• tarpeet m
• resurssit Muut i
• aineet Ihmiset resurssit Menettelyt
n
Muut e Muut
prosessit n prosessit
51 Paranta-
0921/2.3.2010/jan minen Analysointi
52. Information security assurance - creating confidence
among customers - takes place through processes
Process (product realization) Output/Product
Process
management
Input Product delivery Customer
channel
Information security assurance (ISA)
- ISA plan ISA communication
channel
52
2459/16.1.2010/jan
53. Uusi perusta organisaation johtamiselle!
Epävarmuus ja monikäsitteisyys:
Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja
–ohjautuvissa verkoissa
Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja
Toiminta globaalista ja aluepatrioottista
Toiminnot ja muutokset jatkuvasti nopeutuneet
Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet)
Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen
Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut
Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä
asemassa
Transaktiokustannuksilla tärkeä merkitys ja vaikutus
Johdolla ja työntekijöillä alituinen kiire
Varmuus ja ennustettavuus
53
2839/2.11.2009/jan (Refs.:D Zohar, R D Stacey)
54. Organisaatioiden luonnolliset toimintaolosuhteet:
Kompleksiset vuorovaikutusprosessit
“Staceyn Matriisi”
Pieni
Kaaos,
hajaantuminen,
anarkia
Sopimussidonnaisuus
Poliittinen Kompleksinen
ohjaus ohjaus
Kaikki nykyaikaisten organisaatioiden
liiketoimintaprosessit ovat kompleksisia
vuorovaikutusprosesseja ja niiden
hallinnassa tulee ottaa huomioon
Rationaalinen Harkintaperusteinen
ohjaus ohjaus kuvion (”Staceyn Matriisin”) kaikki alueet.
Suuri
Suuri Varmuus Pieni
54
3684/15.1.2010/jan (Ref.: Stacey: http://www.plexusinstitute.org/edgeware/archive/think/main_aides3.html)
55. Staceyn Matriisin toiminta-alueet
• Rationaalinen ohjaus perustuu toiminnallisiin rakenteisiin ja onnistuu vain pienessä määrin prosesseissa.
Johtaminen on faktapohjaista ja hyödyntää erilaisia ohjausjärjestelmiä ja menettelyohjeita. Tiukka ohjaus ei
arvosta tilannekohtaisia ratkaisuja eikä terveen järjen käyttöä.
• Poliittisluontoisessa ohjauksessa korostuvat erilaiset liittoutumat, neuvottelut ja kompromissit, jotka ovat
tavallisia organisaatioiden johtamisessa. Ratkaisut perustuvat usein henkilöiden valta-asemaan, intuitiivisiin
näkemyksiin ja jälkiselityksiin.
• Harkintaperusteinen ohjaus liittyy erilaisiin kokeiluihin. Sitä on perinteinen suunnitelmallinen ja jatkuvan
kehitystyö, joka hyödyntää olevia malleja ja rationaalista tietoa. Asioista ollaan samaa mieltä, vaikka ei ole
selkeää varmuutta tulosten toteutumisesta.
• Kompleksinen ohjaus on oleellinen organisaatioiden menestymisen kannalta. Se toteuttaa luovuuden ja
innovaatiot sekä toimintamuotoje uusiutumisen. Toimintaa ei voi johtaa pelkästään rationaalisesti tai
faktapohjaisesti. Edellytetään erilaisuuksien ja monimuotoisuuden hyväksymistä ja hyödyntämistä, joka
toteutuu erityisesti ulkopuolisten verkostojen kautta.
• Kaoottiset ilmiöt ovat rasittavia monien organisaatioiden johtamisen kannalta, koska niitä ei voi perinteisillä
johtamiskeinoilla hallita tai edes täysin välttää. Liiketoimintaprosessien verkostoissa on aina mukana myös
tekijöitä ja toimijoita, joista ei edes tarkkaan ole tietoakaan. Henkilöiden monipuolinen tietoisuus sekä
johtamisen joustavuus ja nopeus ovat hyväksi hankalissa tilanteissa.
55
3709/2.11.2009/jan
56. Toimijat verkostossa
Verkosto on itsestään syntyvä (emergentti) ja itseohjautuva. Toimijan roolia verkossa voidaan
kuvata ”verkostokeskeisyydellä”, johon sisältyy toimijan välimatka ja läheisyys toisiin sekä
aktiivisuus ja vaikuttavuus verkostossa.
Toimijan vaikuttaminen verkostossa:
• Pääsy = Kyky seurata mitä verkostossa
tapahtuu, pääsy verkoston tietoihin
• Tavoittavuus = Tehokkuus tavoittaa toisia
toimijoita ja kytkeytyä niihin
• Ohjaus = Voima ohjata verkoston toimintoja
Toimijayhteisö
Yritys
Julkinen organisaatio
Vapaaehtoisorganisaatio
Yksilö (verkostojäsen)
Vierailija (satunnaisyhteys
56
verkostoon)
3010/15.9.2007/jan
57. Perinteiset tietoturvallisuuden hallinnan
keinot eivät toimi verkostoissa
Tietoturvallisuuden hallinnassa - niinkuin muussakin johtamistoiminnassa - on oleellista että
se, joka laatii tavoite- ja menettelymäärittelyjä, on myös täysin vastuussa niiden
toteuttamisesta. Siten kokonaisen verkoston kannalta ei voi toteuttaa perinteisiä
laadunhallinnan keinoja, koska:
– Jokainen verkoston toimija on itsenäinen päätöksenteoissaan toimien omien tarpeittensa
ja intressiensä mukaisesti.
– Verkosto ei voi toimia yhtenäisenä järjestelmänä, jolla olisi yhteiset arvostukset,
tavoitteet, suunnitelmat tai yhteinen johto.
– Verkosto kehittyy itsestään sen toimijoiden omien päätösten mukaisesti.
Verkostoissa on hyödynnetty erilaisia sopimusratkaisuja, mutta niiden mahdollisuudet ovat
rajallisia koskien parhaimmissa tapauksissa vain tieturvallisuuden varmistusta mutta ei sen
hallintaa.
Kuitenkin verkoston jäsenet voivat tehdä varkostonlaatustrategioita itselleen ja se voi olla
hyödyllistä niin kyseisen toimijan kuin koko verkostonkin kannalta.
Stacey: Organisaatioiden välinen yhteistoiminta
tapahtuu kompleksisten vuorovaikutusprosessien
57 kautta (“Complex responsive processes of relating”).
3785/15.1.2010/jan
58. Prosessitoimintojen luonne
Prosessin sisäiset toiminnat voidaan ryhmitellä luonteeltaan mekanistisiksi, orgaanisiksi tai
dynaamisiksi sen perusteella, miten monivivahteisia toiminnat ovat ja miten paljon
vapausasteita ne sisältävät:
a) Mekanistisissa toiminnoissa on vähän osallistujia, ne tapahtuvat sarjamuotoisesti ja
kurinalaisesti ja niitä on - ainakin periaatteellisesti - helppo hallita täsmällisillä
menettelyohjeilla. Vaihtelut toiminnassa pidetään pieninä.
b) Orgaaniset toiminnat tapahtuvat verkkomaisesti ja ne muodostavat kompleksisen
useiden toimijoiden kokonaisuuden, mutta jota voi kuitenkin perinteisilläkin
johtamiskeinoilla vielä hallita. Kompleksisuudesta johtuen toiminnassa on edelliseen
verrattuna enemmän vaihtelumahdollisuuksia.
c) Dynaamiset toiminnat tapahtuvat sattumanvaraisesti ja niissä toimijoiden,
vapausasteiden tai toimintamahdollisuuksien määrät ovat niin suuret, että niitä ei voi
varmasti ennakoida eikä yksityiskohtaisesti suunnitella, eikä siten toimintaa ole
myöskään mahdollista rationaalisesti johtaa.
58
2345/15.8.2003/jan
59. Reaalitoiminnan monipuolisuus
Organisaation kaikkiin toimintoihin (prosesseihin)
sisältyy kolmenlaisia toimintamuotoja riippuen
toiminnan vapausasteista ja luonnollisista vaihteluista:
3. Dynaaminen toiminta:
- monimutkainen
Vaihtelu, 2. Orgaaninen toiminta: - kaoottinen
Vapaus- - rinnakkainen - spontaani, satunnainen
asteet 1. Mekanistinen - monimutkainen - innovatiiivinen
toiminta: - organisoitu - virtuaalinen
- sarjamuotoinen - vuorovaikutteinen - vaihteleva
- automaattinen - verkostotoiminta - persoonallinen
- tarkka kurinalainen
Kompleksisuus
59
2739/27.10.2009/jan (Ref.: Legat)
60. Vaihtelevuus prosesseissa
Mekanistinen Orgaaninen Dynaaminen
Myynti- Tarjouksen laadinta Tietojen hankinta ja Sopimusneuvottelu
prosessi arviointi
Osallistuvien osapuolten
määrittely
Tuotekehitys- Ohjelmiston koodaus Asiakastarpeen ja Teknologiamahdol-
prosessi Komponenttien asiakasarvon iisuuksien valinta
integrointi määrittäminen Ratkaisun luomi-
Testaus Validointi nen
Strateginen Strategian ja budjetin Osapuolten panostukset Lähtötietojen
suunnittelu- kirjaaminen ja sitoutuminen hankinta ja hyödyn-
prosessi täminen
Vaihtoehtojen
valinta
60
1512/17.2.2010/jan
61. Kaikki työntekijät (mukaan lukien esimiesasemassa
olevat) ovat tietotyöntekijöitä
Tietämys Arvo
Data & toiminta-
informaatio Osaaminen
Taidot kumppaneille
• Tulkinnat
• Arvioinnit
• Päätökset
61
2747/2.8.2004/jan
62. Työ tuottaa aina ”asiantuntija”-palvelun
Ammattimaisesti toteutettu työ voidaan aina ymmärtää ja hallita palvelutuotteena:
– työ synnyttää tuotoksen, jolla on arvoa sen vastaanottajalle
– työ edellyttää vuorovaikutusta vastaanottajan ja muiden työn sidosryhmien
kanssa
Työ on ammattihenkilön eksplisiittiseen ja tacit-tietoon perustuva tietotuote.
Kaikki yritykset ovat asiantuntijayrityksiä ja tietoyrityksiä.
Tietoturvallisuus on jokaisen
työntekijän henkilökohtainen
asia:
• Tietoisuus
• Vastuu
• Välineet
62
1407/15.1.2010/jan
63. Liiketoiminnan johtamisen tärkeä haaste:
Kuinka hallita tietoa ja tietojen käyttöä?
Suurin osa organisaation (ja sen prosessien) tiedoista on hiljaista (tacit) tietoa.
Näkyvillä oleva (explicit) tieto:
- data
Tietoinen - dokumentit
- tallenteet
Alitajuinen - tiedostot
Hiljainen (tacit) tieto:
Vain miljoonasosa ihmisen aivojen - tietoisuus, tajuisuus
käsittelemästä tiedosta on tietoista! - osaaminen
- sitoutuminen, teot
63
2428x/3.1.2008/jan (Ref.: H. Koivunen)
64. Toiminnan tietopohjainen johtaminen
Viisaus
- myytit
- arvot
Tietämys
- Avoimet tiedot (tallenteet) Pohdinta ja päätöksen teko Vaikuttaminen
- Hiljainen tieto (Suunnitelmat
(osaaminen, ymmärtäminen) ja
Merkitystieto
toimenpiteet)
Vuorovaikutus- Analysointi
ympäristö ”Ba”
A P
Mittaustieto
C D
Liiketoiminta-
ympäristö Mittaaminen ...
Tosiasiatiedot Vaikutukset
64 Organisaation toimintarealiteetti (prosessit)
2744x/25.9.2007/jan
65. A person in working environments
External business process:
business targets and needs
Explicit knowledge and information
Internal mental process: Tacit knowledge conscious
• appreciations (values)
• feelings subconscious
What is the work all about:
• “An activity that produces something value for other people” (O’Toole)
• “Human work include the following elements: (1) creativity (joy of thinking), (2) physical activity
(joy of physical work), (3) sociality ( joy of sharing pleasure and pain with colleagues)” (Nishibori)
65
2200/17.15.2004/jan
66. Tietoturvallisuuden hallinta
ei ole ON / EI asia!
ON (1)
Tieto-
turvallisuus
EI (0)
EI ON
”Tietoturvallisuustemput”
66
1934/30.1.2010/jan
67. Organisaation tietoturvallisuuden hallinnan
suorituskyvyn sumeus (fuzziness)
Huipputasoa 1 = täydellinen
yritys
Kypsyyttä
Organisaatiot, joilla on
Kilpailukykyä kolmannen osapuolen
sertifikaatti (*) Muutostarve?
Tehokkuutta Miten toteuttaa
muutos?
Alkua
Tarinaa 0 = täysin kyvytön
0 10 30 40 60 70 90 100 yritys
Suorituskyvyn arviointitulos %
67
3688/7.9.2007/jan
68. Toiminnan kokonaisvaltainen johtaminen:
Suorituskyvyn ohjaus ja jatkuva parantaminen
Visio, ulkoiset Toiminta Toiminnan
ja sisäiset tarpeet, (suorituskyky) tulokset
strategia
Suunnittelu Ohjaus
Menettelyn (*) Ehkäisevä ja
ja toiminta
tarve toteutus korjaava
toiminta
suunnitel-
Toiminta-
Päätös
ma
Analysointi ja
parantaminen
Vertailut
68 (benchmarking)
2716/15.8.2004/jan (*) Prosessi
69. Liiketoiminnan suorituskyvyn arviointi (*)
– Liiketoiminnan suorituskyvyn itsearviointi (business excellence -mallit)
• kohteena yksikkö, kokonainen business, liiketoimintaprosessien verkko
• luonteeltaan (enemmän) strateginen
• vertikaalinen arviointi
• arvioijana johto itse
– Prosessien suorituskyvyn arviointi (auditointi ISO 19011)
• kohteena yksittäiset prosessit
• luonteeltaan (enemmän) operatiivinen
• horisontaalinen arviointi
• tuottaa myös tietoa koko liiketoiminnan arviointeihin
• arvioijana riippumattomat arvioijat
Auditointien lisäksi voi tietysti myös olla prosessitasolla itsearviointeja. Koko liiketoiminnan
arvioinnissa tulevat myös keskeiset prosessit arvioiduiksi. Arviointien tuloksia tarkastellaan
johdon katselmuksissa.
69
0864/27.2.2010/jan (*) Ref.: laatupalkintokriteerit ja ISO 9004 -standardisto
70. Näkökulmat itsearvioinnissa
A
Arviointikriteerit
Organisaation Olennainen tieto arviointia varten:
toimintaa koskevia Toiminta (menettelyt ja niiden soveltaminen)
tosiasioita sekä toiminnasta johtuvat tulokset
Organisaation
toimintaa Arvioinnin
koskevat
tarpeet ja
B tulokset ja
johtopäätökset
odotukset jatkotoimenpiteitä
varten
70
2715/2.1.2004/jan
71. Evaluation of the performance
of information security management
• Assessment should be based on clear business-related methodology and criteria
that gives recognition on improvement actions and development results.
• Assessments can be made by
– the first-party (the company itself)
– a second party (customer), or
– a third party (organization independent from the first two parties).
• It is essential that the company’s own leadership self-assesses alongside business
management and commences improvement initiatives and measures based on
results of the assessment.
• One can also present a first, second, or third party certificate on the basis of an
assessment (or an audit), indicating how the assessment criteria are met.
– Third party certificates have often had an overly emphasized significance. There
are no unambiguous evidence that one could in reality assure information
security on the basis of such certificates.
– Focusing on certificates has also easily had a decelerating or damaging effect
on striving towards continual improvement in realizing performance excellence.
71
2481/2.3.2004/jan
72. Organisaation tietoturvallisuuden hallinnan arviointi
- 3in1-metodiikka
Organisaation tietoturvallisuuden hallinnan kehittyneisyyttä arvoitaessa tarkastellaan
erikseen organisaation toimintaa ja toiminnan kautta syntyneitä liiketoiminnan tuloksia
tietoturvallisuuden kannalta:
- Arvioinnissa ei ole tarkoituksena selvittää, täyttääkö organisaatio jotkin tietyt
vaatimukset tietoturvallisuuden suhteen, vaan arvioida, miten tietoturvallisuus on
organisaatiossa kehittynyt organisaation liiketoimintatarpeiden mukaisesti.
- Kehittymistä arvioidaan prosesenttiasteikolla 0 … 100%. Karkeasti voitaisiin
päätellä, että mailman parhaat organisaatiot ovat kaikkien arvioitavien aiheiden osalta
80% -tasolla ja Suomessa todennäköisesti ei ole 60% ylittäviä organisaatioita.
- 60% taso edellyttää organisaatiolta tyypillisesti johdonmukaisia toiminnan
arvioinnin ja parantamisen kierroksia usean vuoden ajan ja näistä seuraavia
tulosten myönteisiä kehittymisiä.
3in1-metodiikka korostaa liiketoimintaintegrointia, koska siinä yhdistyy kolme eri
näkökulmaa: (1) Alan standardit, erityisesti ISO/IEC 27002, (2) Ns. ekselenssimallit, joita
yleisesti käytetään organisaatioiden liiketoiminta-arvioinneissa ja (3) tarkasteltavan
organisaation oma liiketoiminta.
72
3782/18.2.2010/jan
73. Organisaation tietoturvallisuuden hallinnan arviointi
- 3in1 Start -metodiikka
Miten tietoturvallisuus on otettu huomioon organisaation toiminnassa? Miten tietoturvallisuus on toteutunut
1. Organisaatiolla on liiketoimintatarpeiden mukaisesti määritelty ja organisaation toiminnan tuloksissa?
organisaation laajuisesti toteutettu yleinen suhtautuminen ja 1. Tietoturvallisuus on toteutunut
suuntautuminen tietoturvallisuuteen (ns. tietoturvallisuuspolitiikka). tavara- ja palvelutuotteissa.
2. Organisaatiolla on koko liiketoiminnan ja sidosryhmien kattavasti 2. Tietoturvallisuuden hallinnalla on
käytössä yleinen toimintamalli tietoturvallisuuden hallintaa varten. tulosvaikutukset organisaation
3. Organisaatiolla on asianmukaiset menettelyt liiketoiminnan tietojen sidosryhmien näkökulmasta
hallintaa varten. tarkasteltuna.
4. Organisaation henkilöt ovat tietoisia siitä, miten heidän tulee 3. Tietoturvallisuuden hallinnalla on
suhtautua ja toimia tietoturvallisuuden suhteen omissa tulosvaikutukset organisaation
työtehtävissään. taloudellisten tulosten ja
5. Organisaation toimintatilat ja –ympäristöt ovat turvalliset tietojen markkina-aseman kannalta.
hallinnan suhteen. 4. Tietoturvallisuus on toteutunut
6. Tietoturvallisuus on osana organisaation liiketoimintaprosessien henkilöstön toimintaa koskevien
hallintaa ja viestintä. tulosten osalta.
7. Pääsyn hallinta liiketoiminnan tietoihin on toteutettu 5. Tietoturvallisuus on toteutunut
asianmukaisesti. liiketoimintaprosessien
8. Tietoturvallisuus on otettu asianmukaisesti huomioon vaikuttavuudessa ja
tietojärjestelmien hankinnoissa, kehittämisessä ja ylläpidossa. tehokkuudessa.
9. Tietoturvallisuuden ongelmatapausten hallintaa varten on käytössä 6. Tietoturvallisuus on toteutunut
asianmukaiset menettelyt. johdon toimintaa koskevissa
10. Organisaation toiminnan jatkuvuus on saatu liiketoiminnan tietojen tuloksissa.
osalta aikaan asianmukaisilla menettelyillä.
11. Organisaatiolla on käytössä asianmukaiset riskien hallinnan
menettelyt tietoturvallisuuden suhteen.
73 12. Organisaatiolla on käytössä asianmukaiset menettelyt sidosryhmien
vaatimusten täyttämiseksi.
3783/18.2.2010/jan
74. Toiminnan kehittyneisyyden määrääminen
itsearvioinnissa
Tarinavaihe =====> ====> Huipputaso
Arvioitavan aiheen vaatimusten Aihetta koskevat vaatimukset ja
toteuttamiseksi ei ole käytössä odotukset täytetään koko organisaatiossa
suunnitelmallista toimintatapaa tädellisesti ja monipuolisesti tehokkaalla
eikä toiminnan kehittäistä. suunnitelmallisella toimintatavalla täysin
Ongelmiin reagoidaan ilman mitään heikkouksia tai puutteita.
tilannekohtaisesti. Toiminta Analysointiin ja tiedon jakamiseen
organisaation eri puolilla ei ole perustuvat arviointi- ja
yhdensuuntaista parantamismenettelyt, organisaation
oppiminen ja innovaatiot toteutuvat
organisaationlaajuisesti ja
johdonmukaisesti kaikilla toiminnan
alueilla organisaation yksilöityjen
liiketoimintatarpeiden mukaisesti.
74
3695/18.4.2009/jan
75. Toiminta on hyvää
Toiminta on arvioinnissa pidetään hyvänä, jos:
suunnitelmallisesta toiminnasta on osoitettavissa näyttöä arviointikohdan aiheen osalta
arviointikohdan aihetta tarkastellaan ja johdetaan organisaatiossa kokonaisuutena
toiminta on järkevää ja loogisesti perusteltua esim. analyyseillä tarpeista ja rajoituksista
toiminnassa näkyy hyvä tehokas johtaminen, jonka tavoitteena on organisaation
toiminnan jatkuva parantaminen ja tavoitteena erinomainen suorituskyky
toimintatapaa ja sen soveltamista parannetaan säännöllisesti vaiheittain, jolloin
toimintatavan asianmukaiset vertailukohteet ovat tiedossa
toiminnassa on tehokkaasti otettu huomioon kaikki liiketoiminnan edellyttämät
osapuolet ja muut liittyvät aiheet: asiakkaat/toimittajat/yhteiskunta ja
toiminnot/välineistö/päätoiminta-alueet sekä tuotteet ja henkilötasot
toiminnassa on painottunut ongelmien ehkäisy tarkastamisen ja korjaamisen sijasta
toiminta on innovatiivista ja siten ainutlaatuista
toiminnassa ei ole ongelmia eikä heikkouksia, jotka estävät arviointikohdan aiheen
tehokkaan toteutumisen
75
3696/26.8.2009/jan