Turvallisuus ja liiketoiminta Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi
Turvallisuus puhekielessä Turvallisuus on tila, jossa mitään pahaa ei tapahdu Turvallisuus on tunne, jossa mitään ei tarvitse pelätä
Yritysturvallisuus Turvallisuus on toiminto, joka vähentää tahallisista ja tahattomista teoista aiheutuvia menetyksiä Turvallisuus on riskienhallintaa, jossa optimoidaan kustannuksia ja menetyksiä
Turvallisuus yrityksissä väestönsuojelu tietoturvallisuus kuljetusten turvallisuus paloturvallisuus ympäristönsuojelu rahankäsittely työsuojelu tuoteturvallisuus kirjanpito riskienhallinta rikostentorjunta toiminnan jatkuvuus
Turvallisuuden suhde yritystoimintaan Varmistaa häiriötön toiminta Estää tarpeettomat riskit Riski kuuluu liiketoimintaan Varmistaa lakien ja määräysten noudattaminen Estää omaisuushäviöt Säilyttää maine
Laillisuusnäkökulma Turvallisuustoiminta saa oikeutuksensa laista Lait turvaavat yksilöille ja yhteisöille oikeuden fyysiseen koskemattomuuteen ja omaisuuden turvaan Turvallisuustoiminnan tehtävänä on suojella tätä oikeutta Turvallisuus tarkoittaa vartiointia ja lukkoja
Laatunäkökulma Erilaiset asiat aiheuttavat häiriöitä työssä Turvallisuuden tehtävänä on estää (ulkopuoliset) häiriöt Turvallisuustoiminta siirtää painopistettä häiriöiden selvittämisestä niiden torjuntaan Turvallisuus tarkoittaa työn ja työolojen hyvää suunnittelua
Riskinottonäkökulma Kaikki liiketoiminta on riskin ottamista Riski on ainoa tapa menestyä hyvin Tasainen viilaaminen estää tappion mutta ei anna mahdollisuuksia voittoonkaan Myös lakien rikkominen on riskin ottamista Turvallisuuden tehtävänä on pienentää riskiä ja tehdä se hallittavaksi
Brandinäkökulma Turvallisuus on tapa erottua muista Osa asiakkaista haluaa ostaa korkeampaa turvallisuutta Oma turvallisuus (autot) Toimitusvarmuus (sähkö) Salassapito (maanpuolustus) Mahdollisuus parempaan hintaan
Yksilön näkökulma Mitään yllättävää ikävää ei tapahdu Hengen ja omaisuuden turva Taloudellinen turvallisuus Hyvinvoinnin jatkuminen Mukana paljon tunnetta Pelko ei aina ole rationaalinen
Yrityksen tapoja suhtautua turvallisuuteen Juristinäkökulma Toteutetaan ulkoa annettuja tavoitteita Ei omaa kiinnostusta Insinöörinäkökulma Turvallisuus edistää tehokkuutta Ekonominäkökulma Turvallisuus on tapa erottua Brandi
Turvallisuus ja tehokkuus Turvallisuuden tehtävänä on estää häiriöitä varsinaisessa toiminnassa Tehokas toiminta edellyttää häiriöttömyyttä Jos kaikki aika kuluu sotkujen siivoamisessa ei aikaa riitä varsinaiselle työlle
Turvallisuus keinona profiloitua Monet asiakkaat ovat valmiita ostamaan turvallista tuotetta ja myös maksamaan siitä Monet asiakkaat halauavat siirtää osan riskistä alihankkijalle ja edellyttävät tiettyä turvatasoa tai toimintavarmuutta Turvallisille tuotteille ja palveluille on olemassa omat markkinansa, jossa hinta ei välttämättä ole tärkein valintaperuste
Trendejä yrityksissä Tehokkuus kasvaa Ei varaa pysähdyksiin Ei resursseja varalla Lyhytjänteisyys Tulos neljännesvuosittain Kansainvälisyys Toimintatavat yhtenäistyvät Kilpailu kovenee
Turvallisuus puolustusvoimissa Tietojen salassapito Suunnitelmat salaisia kymmeniä vuosia Omaisuuden suojelu Aseet anastusherkkää tavaraa Palvelusturvallisuus Onnettomuuksien välttäminen Paloturvallisuus Räjähdysaineita, luolia
Turvallisuus lehtitalossa Tietojenvälityksen nopeus Uutinen vanhenee nopeasti Tietojenvälityksen luotettavuus Totuusarvo pitää tietää Sabotaasi Lehtitalo näkyvä kohde Toimittajien turvallisuus
Turvallisuus korkean teknologian yrityksessä Yrityksen arvo perustuu odotuksiin tulevaisuudesta Kaikki puutteet heikentävät kuvaa Luodaan tulevaisuutta Salassapidettäviä strategisia tietoja Kehitetään uutta Tuotekehityksen salassapito Omaisuus aineetonta Työntekijöillä olevan tiedon hallinta
Riski Uhka Haavoittuvuus Vahinko Riski Riskin poistaminen Riskin pienentäminen Riskin hyväksyminen
Turvallisuuden optimointi Cost of risk Minimal costs Costs of avoiding accidents Costs of accidents Resources to avoid accident
Toi minnan turvallisuus Henki löturvallisuus Tieto Hen kilö Materi a Maine Toim itilaturvallisuus Tietotekninen tur valli suus
Suojattavat kohteet Erilaiset asiat, jotka ovat arvokkaita organisaatiolle Arvo voi perustua Rahallinen arvo Toiminnallinen arvo Mielikuva-arvo
Omaisuus Arvo-omaisuus Rahallinen arvo Raha, arvopaperit, taide Kiinteistöt Toiminnallinen arvo (toimitilat) Rahallinen arvo (sijoitukset) Koneet ja laitteet Toiminnallinen arvo Varasto Toiminnallinen arvo
Tieto Välttämätöntä toiminnalle Raaka-aine Toimintatapa Rahallinen arvo Tiedon saamiseksi tehty työ Myytävä tieto Tiedon arvo määräytyy myös sen mukaan kuinka harva sen tuntee
Henkilöt Ihmisissä yhdistyvät omaisuus ja tieto Käsipareja Tietovarastoja
Maine Yrityksen toiminnan kannalta usein yhtä tärkeää kuin omaisuus ja tieto Vaikuttaa ihmisten ostopäätöksiin Vaikuttaa osakkeiden arvoon
Pakolliset suojausmenetelmät Menetelmät, joiden täytyy olla olemassa kaikissa yrityksissä Perusta kaikille muille toimenpiteille
Turvallisuusjohtaminen Turvallisuuden yhdistäminen liiketoimintaan Liiketoiminnan suojaaminen Turvallisuustason valinta Riskianalyysi Turvallisuustoiminnan organisointi
Luokittelu Etsitään toiminnan kannalta olennaiset asiat Todetaan, millä tavalla ne ovat arvokkaita Luottamuksellisuus eheys käytettävyys Päätetään, kuinka arvokkaita ne ovat jollakin asteikolla
Valinnaiset menetelmät Valinnaisilla menetelmillä rakennetaan varsinainen suojaus Menetelmistä valitaan tilanteeseen ja kohteeseen parhaiten sopivat On tärkeää pitää suojaus yhtä vahvana kaikkialla, vaikka menetelmät vaihtuisivatkin välillä
Fyysinen turvallisuus Myös toimitilaturvallisuus tai tilaturvallisuus Luodaan erilaisia alueita, joille pääsyä rajoitetaan ulkopuolisilta Voidaan jakaa estämiseen, havaitsemiseen ja torjumiseen
Passiivinen este
Havaitseminen
Aktiivinen este
Tietotekninen turvallisuus Luodaan erilaisia alueita, joille pääsyä rajoitetaan ulkopuolisilta Voidaan jakaa estämiseen, havaitsemiseen ja torjumiseen
Avoin verkko
Suljettu verkko
Etätyön ongelmat
Turvallisen alueen laajennus
Etätyö
Etätyön ongelmat
Yrityksen sisäiset erot
Hierarkkiset alueet
Passiivinen este Salakirjoitus Suunnittelu Ohjelmistojen turvallisuus
Pääsynvalvonta Palomuuri Pääsynvalvonta
Valvonta Pest IDS
Henkilöstöturvallisuus Määrittelee, kuka on ulkopuolinen Varmistaa, että henkilökunnasta ei ole uhkaa Turvallinen työhönotto Turvallisuus osana kehitystä Turvallinen ulospotkiminen Varmistaa henkilökunnan pätevyyden ja osaamisen
Toiminnan turvallisuus Toiminnan laatu Varsinainen työ on suunniteltu niin, että se tehdään turvallisesti Resursseja on riittävästi Henkilöitä Aikaa Kunnolliset prosessit, joita pystytään valvomaan
Turvallisuuden organisointi perinteisesti Yrityksissä on määräysten mukaan oltava joukko vastaavia henkilöitä Suojelujohtaja, valmiuspäällikkö, työsuojelupäällikkö,... Turvallisuustietoisessa yrityksessä on myös turvallisuuspäällikkö Turvallisuuspäällikkö tekee ohjeet turvallisuusasioissa (=ovien lukitseminen) ja valvoo niiden noudattamista
Tulos- ja turvallisuusjohtaminen Turvallisuus on osa normaalia johtamista Ylempi taso antaa tiettyjä turvallisuuteen liittyviä reunaehtoja ja alempi taso toimii niiden puitteissa Alempi taso voi itse päättää toimintansa edellyttävän joissakin asioissa korkeampia vaatimuksia kuin ylhäältä edellytetään
90 Get requirement from the upper level The mail service has to work Assign the requirements for the subprocesses 90 The Internetconnection has to work 90 The Intranetconnection has to work 45 45 Mail server A has to work 90 The workstation has to work Send the requirements to the lower level Mail server B has to work
Oman mallin organisointi Turvallisuusjohtaminen on osa johdon työtä Johto asettaa vaatimukset vastaamaan liiketoimintastrategiaa Henkilöstöturvallisuus on turvallista henkilöstöhallintoa Palkkaus, tuloskeskustelut ym. ovat normaaleja henkilöstöhallinnon prosesseja Fyysinen turvallisuus liittyy kiinteistöhallintoon Tietotekninen turvallisuus liittyy tietohallintoon Toiminnan turvallisuus on jokaisen esimiehen vastuulla
Turvallisuuskustannukset Osa toiminnan kuluja Otettava huomioon kun Suunnitellaan investointeja Hinnoitellaan tuotteita ja palveluita Turvallisuudella siirretään kuluja korjaamisesta suunnitteluun
Ulostaminen Jos vaadittavat turvallisuustasot ja reunaehdot on määritelty kunnolla organisaation sisällä, on myös toimintojen ulkoistaminen helppoa Turvallisuusteen liittyvät vaatimukset on kirjattava sopimuksiin Turvallisuudesta maksettava hinta on osa palvelun hintaa
Reagointi Vaikea toteuttaa automaattisesti IDS-perusteinen reagointi antaa mahdollisuuden palvelunestohyökkäykseen
Internetin turvallisuus Internet on täysin turvallinen verkko Se täyttää kaikki turvallisuusvaatimukset, jotka sille asetettiin Kustannussyistä Internettiä haluttaisi käyttää tarkoituksiin, joihin sitä ei ole suunniteltu Turvallisuutta voidaan parantaa, mutta se aiheuttaa kustannuksia Idea halvasta verkosta katoaa
Rusinoita pullasta Halpa turvallinen käytettävä Kaikkien käytettävissä vain hyviä käyttäjiä Me saamme viestin kaikille roskaposti
Uudet tuotteet Kehityksen alkuvaiheessa paino teknisillä ominaisuuksilla Ihmisen mukauduttava koneeseen Käyttäjät teknisesti suuntautuneita Kypsässä vaiheessa panostetaan käyttömukavuuteen Kone mukautuu ihmiseen Kaikki käyttävät Läpimurtovaiheessa turvariski Käyttäjäkunta laajenee nopeasti Käyttö ei vielä helppoa kaikille
Ihmisten osaaminen Capability to learn Required level for secure work
Yhteenveto Yrityksen on tiedettävä Mihin turvallisuudella pyritään Mitä turvallisuudella suojataan Mikä on hyväksytty riskitaso Yrityksen johto määrittelee tavoitteet Tavoitteet muutetaan turvallisuusvaatimuksiksi ja toteutetaan eri tavoin Esikunta Linja