Kriittisyyden tunnistaminen. Tietoriskien hallinnan osapuolet

Transkriptio

1 TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä Kriittisyyden tunnistaminen Liiketoiminnan enhallinnan kohteet: a) nykyisten tuotteiden ja palvelujen hallinta ja b) tulevaisuuden takaava tuotekehitys Tietoen hallinnan osapuolet Toimitusjohtaja Talous + euroa - euroa Tuote/palvelu Nykyhetki NYKYISET TUOTTEET/ PALVELUT tukitoiminnot idea ja idean kehitys Aika Mitkä ovat palvelun tarjonnan aikaisia riskejä? Tulevaisuus UUSI TUOTE/ PALVELU tuotekehitys ONNIS- TUNUT EPÄON- NISTUNUT Idea voi tulla mistä vaan Tuotekehitys: Idean kehitys: tunnistetut osapuolet useita eri osapuolia yrityksen tuotekehitys yrityksen tuotekehitys Mitkä tekijät ratkaisevat onnistumisen? Mitkä ovat syitä epäonnistumiseen? Mitkä ovat t? MYYNTI- JA MARKKINOINTI Myyntijohtaja Myyntipäällikkö Asiakaspalv.pä äll. Tuotepäällikkö Assistentti VIESTINTÄ Tiedottaja TARKASTUS Tarkastaja TURVALLISUUS Turvapäällikkö TUOTANTO Tuotantojohtaja Työnjohtaja Teknikko Ostaja Tekninen tuki LAADUN VARMISTUS Laatupäällikkö TUOTEKEHITYS TIETOHALLINTO TALOUSHALLINTO Kehitysjohtaja LAKIASIAT Lakimies Suunnittelija Dokumentoija johtaja ATK-päällikkö Tietoturva Suunnittelija Asiantuntija Atk-tuki Talousjohtaja Laskentapäällikkö Kirjanpitäjä Pääkassa Palkanlaskija Tietoenhallinta on tukiprosessi Ydinprosessit: esimerkiksi Tukiprosessi: Myynti Tuotekehitys Tietoen hallinta MITATTAVAT ASIAT Toiminnan tulokset: kannattavuus asiakastyytyväisyys Tukiprosessi: toimintakatkojen hallinta ohjelmavirheet virheet, väärinkäytökset OYAB:n tietoturvavaatimukset, -toimet, -ohjeet, -menettelyt, -järjestelyt, -kontrollit Information Security Management BSI Tietoturvallisuuden hallintajärjestelmä Tämän päivän liiketoiminta toteutetaan tämän päivän tiedoilla Käsitys, että tieto vanhenee nopeasti, on väärä. Uutta tietoa luodaan helposti uusilla järjestelmillä. Tieto siirtyy nopeasti paikasta toiseen... Toiminnan kannalta kysymys on siitä, miten osataan hyödyntää kannattavasti tätä organisaation hallussa olevaa kodifioitua tietoa. Siksi tietoa on varjeltava sen asiattomilta lähetyksiltä, muutoksilta...

2 Kilpailukykytekijät: Osaaminen ja tiedonhallinta Nykyiset Tuotteet ja palvelut Tuotekuvaukset Asiakastiedot ja -sopimukset Nykyiset tulovirrat Tulevat Ideat Kehitys YRITYS Partnerihallinta - asenne - tietoisuus - palvelusopimus - muu lainsuoja: heikkoa Tulevaisuuden kilpailukyky Tietotekniikan hallinta Toimistoverkko: sopimukset ideat Tuotantokannat: - Palvelu- ja asiakastiedot - Sovellukset Henkilöstö - hallinto Henkilötiedon käsittelyn pelisäännöt Tekniikan hallinta - VALMISOHJELMAVIRHEET, -AUKOT - ohjelmistotoimittajien valta - ulkoisten palvelujen hallinta - verkon hallinta MAHDOTON TEHTÄVÄ OY YRITYS AB Internet Organisaation tietoliikenneverkko TCP/IP Paikallinen NT R - palvelin, > 10 työasemaa PALVELUKESKUS 2 Mbit /s ATM 10 Mbit /s R FW R OY KUMPPANI AB TCP/IP X kpl työasemaa R Paikallisia NT -palvelimia Intranet -palvelin X kpl työasemaa Etäkäyttäjät Tietoliikenne -verkko X kpl modeemi-, ADSL- ja GSMyhteyksiä käyttäviä etätyöasemia Soittopalvelin TYTÄRYHTIÖT / TOIMISTOT X kpl TCP/IP R X kpl työasemaa ISDN ISDN-verkko KÄYTTÖPALVELU - PALVELUKESKUS ATM ATM TOIMITTAJA 10 Mbit 10 /s Mbit /s R Notes-palvelimet Etätyöpisteet R R TCP/IP Isokone -laitteistot Keskitetyt NT -palvelimet TK Yht. X palvelinlaitteistoa Yrityksen tietopääomaresurssit - knowledge management & information security management Riskienhallintapäätöksiä koskevat vaihtoehdot OSAAMINEN Kompetenssit Kyvyt Tiedot Taidot TOIMINTATAPA Tiimit, kumppanuudet, verkostot Luonne: avoin, luottamuksellinen TIETO-OMAISUUS Olomuoto: - biologinen - sähköinen - paperi - muu Kukin olomuoto on suojauksen kohde. IMMATERIAALI- OIKEUDET Rekisteröity Patentoitu Lisenssoitu Olomuoto: - aineeton omaisuus Riskin vakavuusaste SUURI PIENI SUURI Riskejä tulisi pienentää parempien hallintatoimien avulla tai tekemällä strategisia muutoksia. Vakuuttamista ja vaihtoehtoisia suunnitelmia harkittava. Riskin todennäköisyys Riskit voidaan hyväksyä, vaikka lisätyt hallintatoimet saattavat olla oikeutettuja vahinkojen todennäköisyyden alentamiseksi. VÄHÄINEN Riskit syytä siirtää vakuuttamalla tai vaihtoehtoisten suunnitelmien avulla. Riskein todennäköisyyttä ei juuri pystytä alentamaan lisätoimien avulla. Tavallisesti t hyväksytään otettavaksi omalle vastuulle. Kustannusmielessä on harvoin tuottavaa lisätä näiden en kontrollia. Lähde: Suominen, 2003 Tieton vaikutusten ja seurausten arviointi TAPAHTUMAN TODEN- NÄKÖISYYS EPÄTODEN- NÄKÖINEN MAHDOLLINEN TAPAHTUMAN SEURAUKSET VÄHÄISET HAITALLISET VAKAVAT Merkityk - setön Vähäinen Vähäinen Kohtalainen Kohtalainen Merkittävä Tietokartoitus ja menettelyjen kehittäminen Näkökulmat, esim.: 1. Tuotteita / palveluita toteutettaessa 2. Sisäisessä toiminnassa 3. Yhteistyössä toteutuksen seuranta Konsernijohto Esimiesvalvonta Sisäinen ja ulkoinen tarkastus tietoen tunnistus seurausten arviointi osana johtamista ja normaalia toimintaa konsernitasolla ja liiketoimintayksiköissä esimiestoiminnassa toimenpiteistä päättäminen ja toteutus kehittämistarpeiden määrittely TODEN- NÄKÖINEN Kohtalainen Merkittävä Suuri

3 Todelliset t päätöksenteon perustaksi tietoen tunnistus seurausten arviointi kehittämistarpeiden määrittely toimenpiteistä päättäminen ja toteutus UHKIA: - tietoja luovutetaan väärille tahoille - tietoja asiattomien saatavilla - siirrettävät tiedot suojaamattomia TARPEET: - tärkeiden tietojen tunnistaminen - tietojen luovutusmenettelyt - siirron eheystarkistukset, salaaminen - palvelun käytettävyysvarmuus - Asiantuntemusta teknisiin ratkaisuihin - Yksikön johto päättää toteutuksesta ja ohjaa henkilöstön toimintaa SEURAUS/MENETYS: - palvelun/ toiminnan laatu - rahallinen korvaus / sitoumukset - väärinkäytökset mahdollisia - maine YKSIKÖN KEHITTÄMISSUUNNITELMA: - tietojen turvaluokitteluohjeet, tärkeiden tietojen tunnistaminen ja käsittelyyn ohjaaminen - tekniset ratkaisut - arvioidut kustannukset toteutuksen seuranta, auditointi ja tarkastus -> poikkeamat, t Vastuut - Tietotekniikka - Toiminto Tietohallinnon tietoturvatehtävät: karkea taso Kohde: Tietoliikenneverkkojen, -yhteyksien, tietokoneiden, tietokantojen, tiedostojen ja tietojärjestelmien käytön suojaaminen, ja teknisen toimivuuden ja tietojen oikeellisuuden varmistaminen Tietoturvatehtävät Suunnittelu - suojaustarpeiden määrittely - suojausvaatimusten määrittely - teknisten ratkaisujen suunnittelu - tietoturvatuotteisiin tutustuminen Valinta ja hankinta - teknisten ratkaisujen ja tietoturva - palvelujen hankinta, toteutuksesta ja menettelytavoista sopiminen Ratkaisun/palvelun toteutus, testaus ja käyttöönotto Järjestelmien yms toiminnan valvonta Toimittajan toiminnan tarkastus Erillispalvelujen tilaus PALVELUSOPIMUS - toimittajan noudattamat tietoturvakäytännöt Vastuutahot Ratkaisu/palvelutoimittaja Riskikartoituksen ja analyysin sekä tietoisuuden tarkoitus on osoittaa en hallinnan eli toimenpiteiden puutteet / toiminnan haavoittuvuuden a) normaalissa arkityössä kaikissa toiminnoissa b) vakavimmissa tilanteissa erityisesti kriittisissä toiminnoissa Varautuminen tiedon käsittelyhäiriöihin Normaalitoiminnan Katastrofitilanteen Poikkeusolojen aikaiset tehtävät aikaiset tehtävät turvallisuustehtävät Turvallisuuden kehittämisohjelma Toipumissuunnitelmat Valmiussuunnitelmat tietojenkäsittelyn tarve menettelyt kriittistent/tärkeiden toimintojen varajärjestelyt, varatilat, -yhteydet, -laitteet, henkilöstön valmiudet, toimintaohjeet, harjoitukset tarpeet, toimenpiteet turvallisen toiminnan takaamiseksi, määräykset, suositukset, tekniset järjestelyt, toimintaohjeet, jne Yrityksen jatkuvuussuunnitelma = Ydin toiminta = Tukitoiminta LIIKETOIMINNAN TARVE VARAUTUA HÄIRIÖIHIN Varautuminen normaalin toiminnan häiriöihin on perusta TOIMINTATAPOJEN PUUTTEET Tämä tehdään harvoin. Riskitietoisuus pitää olla toiminnoissa. Riskikartoitus ja analyysi Tapahtuvat häiriöt ja läheltä piti tilanteet Tätä tapahtuu koko ajan Seuraukset voi olla vakavat. HÄIRIÖTILANTEIDEN LUOKITTELU Toiminnan normaalit häiriöt TOIMINNOT Tilat Vakavat häiriöt KRIITTISET TOIMINNOT Tilat

4 Yrityksen toipumisvalmiustarve Toipumistarve ja toipumisvalmiuden kehittäminen Toipumisvalmiustarpeiden tunnistaminen Mistä lähdetään? Mitä varten? Toipumisvalmiuden kehittäminen Mistä lähdetään? Mitä varten? Yrityksen toipumisvalmius Kysymyksiä, mm. : millaisiin häiriö- ja poikkeustilanteisiin varaudutaan? kuka tekee, kuka hyväksyy ja käsittelee rajauksen? Toipumisvalmiuden kehittäminen miten saadaan toiminnot mukaan tunnistamaan vastuunsa ja tekemään työohjeet häiriötilanteissa toimimista varten? mitä töitä pitää voida tehdä häiriö-, katkotilanteessa? miten saadaan yhteydet asiakkaaseen miten saadaan tietohallinnolle kuvattua toimintojen tarpeet teknistä varautumista varten? (ei aina ennalta tarvitse hankkia) miten tietohallinto tekee suunnitelmat ja työohjeet? miten saadaan suunniteltua eri toimipisteiden käyttö toistensa varatiloina mahdollisessa häiriö-/poikkeustilanteessa? Häiriöiden ja poikkeustilanteiden luokittelu Toimintojen luokittelu ja sallittu katkon pituus Häiriöiden hallinnan osapuolet ja heidän vastuunsa ja tehtävänsä Toipumista ohjaavat suunnitelmat ja toimintaohjeet Häiriöiden ja poikkeustilanteiden luokittelu Häiriöiden ja poikkeustilanteiden tunnistaminen ja luokittelu Toiminto 1 - x Tietotekniikka ja ulkoistetut palvelut Turvallisuus Kiinteistö Häiriö: Toimintakatko, - virhe, tunteja Tilanteiden tunnistaminen ja luokittelu Vaikutusten arviointi muihin toimintoihin, liiketoimintaan Työohjeet Henkilöt Varautumisen tuki: tekniset häiriöt Tietoliikenneyhteydet, -järjestelmät Varalaitteet (työasemat, palvelin jne) Varautumisen tuki: Kiinteistöinfra Varatila Katastrofi päiviä Vastuut ja työohjeet Työympäristö, toimitilat / rakennus Tietoliikenneyhteydet, -järjestelmät Toiminto 1 Syyt ja vaaratekijät (ks. taulukot) - Missä häiriö? Mistä apu? Keihin yhteys eri tilanteissa? - Mitä katko vaikuttaa toimintaan? - Mitä pitää tehtäviä pitää tehdä?keiden? - Miten tehdään töitä ilman sovellusta /dataa? - Miten voidaan jatkaa työtä kannettavalla? - Mistä saadaan tiedot/yhteydet/laitteet? Toiminnon vastuut ja työohjeet järjestelmät ei toimi Toiminto 2 - Missä asioissa pitää toimia yhdessä? - Miten? talo palaa

5 Häiriöiden ja poikkeustilanteiden tunnistaminen Syyt ja vaaratekijät (ks. taulukot) Toimintojen luokittelu ja sallittu katkon pituus Miten varmistetaan tilanteen hallinta? Ketkä ovat vastuullisia/toiminto? Kuka koordinoi toimintaa eri toimintojen välillä eri tilanteissa? Toiminto Mihin pitää varautua? Mitkä sallitaan? Katkon pituus ja seuraukset toiminnolle: 2 h / päivä / 2 päivää vakava / ei m itään Miten havaita tilanne? Miten arvioida ja hallita tilanne? Toimitilat/rakennus Miten havaita tilanne? Miten arvioida ja hallita tilanne? Toiminto Häiriöaikaiset työohjeet: Miten toimia eri tilanteissa? Mistä apua? Miten toimimme? Keille asiakkaille yms pitää olla yhteydessä? Ketkä meistä hoitaa tilanteen? Mitä muut tekee? Mitkä ovat tietohallinnon tehtävät erilaisissa tilanteissa? Apu, tiedottaminen Ulkoiset palvelut Miten tiedottaa tilanteesta? Miten auttaa toimintoja? Ketkä henkilöt hoitavat tilanteen? Mitä muut tekee? Miten jatkossa tiedotetaan? Keihin ulkopuolisiin pitää ottaa yhteys? Toimitilat/rakennus Mitkä ovat?vastuullisen tehtävät erilaisissa tilanteissa? Apu, tiedottaminen Ulkoiset palvelut Miten tiedottaa tilanteesta? Miten auttaa toimintoja? Ketkä henkilöt hoitavat tilanteen? Mitä muut tekee? Miten jatkossa tiedotetaan? Keihin ulkopuolisiin pitää ottaa yhteys? LIIKETOIMINNAN KRIITTISYYS JA VARAJÄRJESTELYT HUOM! ARVIOITAVA MYÖS ULKOISTEN PALVELUJEN KRIITTISYYS Jatkuvuuden turvaaminen varajärjestelyt toipumissuunnitelmat jatkuvuussuunnitelmat Ulkoisten suhteiden merkityksen tunnistaminen liike- ja partnerisuhteiden luokittelu oman liiketoiminnan kannalta sopimukset, käytännöt tietojen käsittelyssä varajärjestelyt Häiriöiden hallinta toimintayksikössä Vaikutusten arviointi yksikön toimintaan sidosryhmien toimintaan Osapuolten tunnistaminen Toimintatapojen ja ohjeiston riittävyys Häiriötilanteiden hallinnasta Mitä kaikkea on tapahtunut ja mitä muuta voi tapahtua vastuualueellasi? Listaa tapahtuneet ja mahdolliset häiriötilanteet. Kuka tai ketkä tietävät ja osaavat toimia eri tilanteissa? Keiden muiden pitää tietää tai / ja osata? Liitä henkilön nimi ja varahenkilö em listalle. Miten toimitaan, jos ko. henkilöä ei saavuteta (sairaus, muu tehtävä/kiire, ei enää yrityksen palveluksessa)?

6 Häiriötilanteen hallinta Miten em. häiriötilanteet hallitaan? miten tilanne pyritään ennalta estämään? ennakoivaa toimintatapojen kehittämistä miten tilanne paljastuu? verkot, järjestelmät ei toimi puhelinsoitto (mistä) loki (kuka hallinnoi, miten) miten tapahtunut tilanne hallitaan? Häiriöhallinnan toimintatavat ja -ohjeet Mitä ohjeita on em. häiriöiden hallitsemiseksi? Häiriön hallinnan kehittäminen: Mitä toimintaa pitää kehittää? Kenen osapuolen toimintaa pitää ohjeistaa? Mitä lisäohjeita pitää tehdä? Häiriötilanne 1 maanantaina klo 8.05 [Tähän sanallinen kuvaus häiriötilanteesta. Kuka ottaa yhteyttä ja mistä mitä tapahtuu ja missä jne.]