Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan Hannu Kasanen, Deloitte & Touche Oy Valtion tieto- ja viestintätekniikkakeskus Valtorin tietoturvaseminaari 2014
Deloitte ja Reaktor Yhteistyökumppanisi tietoturvan kaikilla osa-alueilla Valittu riippumattomien analyytikkojen toimesta toistuvasti maailman johtavien riskienhallinta- ja tietoturvapalveluiden tarjoajien joukkoon. Auttaa valtionhallinnon asiakkaita niin hallinnollisen kuin teknisenkin tietoturvan kehityksessä. Kokenut kumppani valtionhallinnon kehityshankkeissa. Auttaa asiakkaitaan myös muutos- ja henkilöstöjohtamisessa, viestinnässä, kokonaisarkkitehtuurien kehittämisessä ja IT-hankkeiden läpiviennissä. Tarjoaa asiakkailleen maan parasta osaamista sähköisten palveluiden suunnitteluun ja rakentamiseen. Omaa laajan kokemuksen tietoturvakriittisten kehityshankkeiden läpiviennistä mm. pankki- ja vakuutusalalla sekä valtionhallinnossa. Ydinbisneksenä kokonaistoimitukset, konsultointi ja koulutukset. Valittu neljä kertaa Suomen parhaaksi työpaikaksi ja Euroopan parhaaksi työpaikaksi. 2
Tietoturvan kehittäminen Taustaa Organisaation tietoturvallisuuden taso määräytyy yksittäisten ihmisten tekemien päätösten, ei teknisten ratkaisujen perusteella. Tietoa ei voi teknologian avulla aukottomasti suojata ihmisten toimilta. Mikään tietoturvapolitiikka, -standardi tai -ohje ei voi kattavasti kuvata kaikkia mahdollisia tilanteita. Ihmiset joutuvat käyttämään omaa harkintaansa päättäessä millainen käyttäytyminen on soveliasta. 3
Tietoturvan kehittäminen Taustaa Työn tekeminen muuttaa muotoaan, tietoa on voitava käsitellä ja jakaa kokonaan uusilla tavoilla. Pilvipalvelut, sosiaalinen media, tietotekniikan kuluttajistuminen ja organisaatiorajat ylittävä yhteistyö korostavat oman harkinnan merkitystä. Teknisten kontrollien jäädessä helposti muutoksen jalkoihin tietoturvan kovaan ytimeen kannattaa nostaa ihmisten asenteet ja käyttäytyminen. 4
Vinkki #1 Unohda tietoturvakoulutus, jos haluat tehdä vaikutuksen
Tietoturvatietoisuuden kehittäminen Kohteena asenteet ja käyttäytyminen Tietoturvakoulutus on perinteisesti keskittynyt tiedon jakamiseen: kerrotaan mitä saa tehdä ja mitä ei. Tietoturvallisuus on kuitenkin harvoin kiinni tiedon määrästä, eikä tiedon lisääminen automaattisesti johda muutokseen käyttäytymisessä. Kuinka siis voimme tehokkaammin vaikuttaa yksilöiden asenteisiin ja käyttäytymiseen? 6
Vinkki #2 Ota mallia mainosmaailmasta
Tietoturvatietoisuuden kehittäminen Mallia mainosmaailmasta Mainonnalla ja tietoturvatietoisuuden kehittämisellä on sama tavoite: inhimilliseen käyttäytymiseen vaikuttaminen. Mainosmaailmassa on jo ajat sitten ymmärretty, että parhaiten tämä onnistuu vetoamalla yksilön tunteisiin ja henkilökohtaisiin tarpeisiin. Tietoturvallisesta käyttäytymisestä on saatava aidosti haluttava vaihtoehto kohdeyleisössä. Tämä tarkoittaa tietovastuun myymistä kohdeyleisölle. 8
Tietoturvatietoisuuden kehittäminen Käytännön askeleet Riskien tiedostaminen Kohdeyleisöjen tunnistaminen Toimintatapojen tunnistaminen Kampanjoiden suunnittelu Mittareiden asettaminen Kampanjoiden toteutus Seuranta ja raportointi 9
Vinkki #3 Älä jätä tietoturvatietoisuuden kehittämistä tietoturvaammattilaisten huoleksi
Hannu Kasanen Enterprise Risk Services Porkkalankatu 24, PL 122, 00181 Helsinki Puhelin: 020 755 5388 Mobiili: 050 531 1144 hannu.kasanen@deloitte.fi
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ( DTTL ), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as Deloitte Global ) does not provide services to clients. Please see www.deloitte.com/about for a more detailed description of DTTL and its member firms. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the Deloitte Network ) is, by means of this communication, rendering professional advice or services. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 12