Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Transkriptio

1 Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö

2 Muutos ja tietoturvallisuus -ohjehanke korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa työryhmänä jaosto, konsulttina WM-data Oy jaostossa edustettuna HVK, KTM, UM, VM, MML, TSV Tsto, UMV, HKKK, Kaakkois-Suomen verovirasto, OY, VK, TKK muutosprosessien tunnistaminen, vaikutukset tietoturvallisuuteen, suositukset toimintamalleiksi keskeisiä muutostekijöitä sähköinen asiointi, ulkoistaminen (painopisteenä ohjeessa), organisaatioiden välinen yhteistyö ja yhteiskäyttöisyys

3 Muutos ja tietoturvallisuus -ohjeessa käsiteltävät asiat keskeisimmät muutostekijät ja niiden vaikutuksia muutoksen johtaminen ulkoistaminen muutostekijänä prosessien kehittäminen ja muutokset säädökset ulkoistamisen elinkaari erityiskysymyksiä malliasiakirjoja turvallisuusopimus organisaation turvaselvitys tietoturva-asioiden arviointi lisätietolähteitä tarkastuslistoja

4 Prosessit Prosessilla tarkoitetaan toimia, jotka tähtäävät sisäisen tai ulkoisen asiakkaan tarpeen tyydyttämiseen jotka ovat säännöllisesti toistuvia ja yleensä vakioituja

5 Ydinasioita tietoturvallisuus osana normaalia toimintaa kriittinen elementti muutos; kuinka turvallisuusasiat hallitaan muutostilanteessa alueellistaminen sähköisen asioinnin kehittäminen ulkoistaminen sisäisesti palvelukeskukseen ulkoiselle palvelutoimittajalle jne. muutostahan on johdettava ja sen on oltava hallinnassa

6 Muutosjohtaminen Muutosjohtamisella ymmärretään niitä järjestelmällisiä toimia, joilla organisaatio varautuu muutokseen ja muuttaa hallitusti omaa toimintaansa

7 Tietoturvallisuus - miksi kehittäminen vaikuttaa mm. toiminnan laatuun ja jatkuvuuteen välillisesti, mutta puutteet vaikuttavat välittömästi tulee kysyä, kuinka puutteet vaikuttavat laatuun tuottavuuteen asiakastyytyväisyyteen luottamukseen jne.

8 Ulkoistaminen ja tietoturvallisuus Ulkoistaminen on organisaation jonkin toiminnon tai toiminnon itsenäisten osien siirtämistä palvelutoimittajan hoidettavaksi Tietoturvallisuus (Vahti 4/2003) mukaan: 1) tavoitetila, jossa tiedot, tietojärjestelmät ja palvelut saavat asianmukaista suojaa siten, että niiden luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää vahinkoa yhteiskunnalle ja sen jäsenille lainsäädäntö ja muut normit ja toimenpiteet, joiden avulla pyritään varmistamaan tietoturvallisuus (1) niin normaalikuin poikkeusoloissakin

9 Ulkoistusmalleja ja -tavoitteita resursseja (omaisuus, ihmiset) siirtyy ulkoistajalta palvelutuottajalle resurssien siirtoa ei tapahdu ulkoistus yhteisyritykselle/organisaatiolle ulkoistus perustettavaan uuteen yritykseen/organisaatioon (spin-off) ulkoistus konsernin sisällä => keskittyminen omaan ydintoimintaan, kustannussäästöt ja -hallittavuus, tarjoajan volyymit ja asiantuntemus, houkuttelevuus työnantajana jne.

10 Ulkoistuksen vaikutuksia tietoturvallisuuden kannalta...riippuu ratkaisevasti, minkä tyyppistä hankittava palvelu on * riippuvuus lisääntyy * vastuujakojen tulee olla määriteltyjä toiminnassa (huomioitava vastuun säilyminen ulkoistajalla; vastuuta ei voi ulkoistaa...) * vaikutuksia henkilöstöön * kansainvälistymiskehityksen vaikutukset * tietoturvallisuusosaaminen (puolin ja toisin) sekä työkalut valvontaan ja arviointiin (sopimukset, ohjelmistot, käytännöt)

11 Ulkoistuksen elinkaari ja tietoturvallisuus 1 Päätös 2 Suunnittelu 4 Arviointi ja sopimukset 5 Sopimukset 3 Kilpailuttaminen 6 Tuotantovaihe 7 Lopettaminen Laajuuden muutos

12 1. Päätös arviointi vaikutuksista mm. tietoturvallisuuteen aikaisemmat kokemukset verrokkiorganisaatiot henkilöstöasiat jne.

13 2. Suunnittelu ulkoistuskohteen rajaus ja riippuvuudet dokumentoinnin tarkastus (jotta osapuolet ymmärtävät asian samalla tavalla) tärkein vaihe tarjouspyynnön teko tarjouspyyntöön erillinen luku ulkoistuksen kohteen tietoturvavaatimuksista tietoturvallisuus arviointikriteerinä (painoarvo arvioitava) arvioinnista erillinen Vahti-ohje kokonaisuuden arviointi hallintajärjestelmän arviointi referenssit

14 3. Kilpailuttaminen julkisorganisaatioilla lainsäädäntö julkista hankinnoista säätelee > tarjouspyynnön sisällön merkitys keskeinen vuorovaikutus toimittajaehdokkaiden kanssa; tietoturvallisuuden roolin esille tuominen toimittaja-arvioinnit

15 4. Tarjousten arviointi ja sopimukset jo tarjouspyyntövaiheessa selvitettävä mahdollisuus saada turvallisuusasioiden hoito sopimuspohjaiseksi arvioitava myös ulkoistavan organisaation mahdollisuudet hyödyntää/toteuttaa sopimuksessa sovittavia käytänteitä turvallisuussopimusmalli!

16 5. Siirtymävaihe kriittinen, esim. toiminnalliset riskit henkilöriskit sopimusepäselvyydet siirron testaus siirtymävaiheen huolellinen suunnittelu on molempien osapuolten etujen mukaista

17 6. Tuotantovaihe ja muutokset valvonta, laatuarvioinnit, käytänteet, tietoturvallisuuteen liittyvä kriteeristö arvioinnissa (vrt. turvallisuussopimus liitteineen) auditoinnit esim. ulkoisen puolueettoman toimijan taholta ulkoistuksen hyötyjen ja ongelmien jatkuva arviointi > saadaan esille muutostarpeet (esim. ulkoistamisen laajentaminen tai supistaminen, sisällöllinen muutos palvelutuotannossa tarpeiden muuttuessa) > mikäli muutos ei ole hallittu se on tietoturvallisuuden(kin) kannalta riski muutoksia toimittajan vaihtaminen palvelusisällön muuttaminen ulkoistuksen lopettaminen

18 7. Lopettaminen tietoturvaongelmat lopettamistilanteessa muistuttavat edellä kuvattuja toiminnon lopettaminen, ulkoistuksen lopettaminen (haltuunotto)