Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Kimmo Rousku Apulaisjohtaja
Esityksessäni Hallitseeko organisaatio riskejä vai meneekö työ tulipalojen sammutteluun? Riskit pääsevät laukeamaan Miksi tietoturvallisuus koetaan niin hankalaksi? Todennäköisesti tietoja yliluokitellaan ja tämän takia on toteutettu liian tiukat suojakontrollit Miksi erilaiset ict-toiminnan häiriöt aiheuttavat meille niin paljon ongelmia? Tiedetäänkö, mikä on organisaation toiminnassa oikeasti kriittistä? Mistä organisaatiosi tietää, missä näissä osa-alueissa mennään ja mikä on tilanne? Raportointi ja erilaiset auditoinnit => Uudenlainen laadun kaava
Lähtötilanne Riskit ja myös mahdollisuudet Tiedon turvaaminen Laatu Jatkuvuuden takaaminen Säännöllinen seuranta
Riskienhallinta Kuinka moni aamulla kotoa lähtiessään jätti ulko-oven sulkematta, kahvinkeittimen päälle ja vesihanan juoksemaan? Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sekä suojautumaan järkevästi eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia riskejä vastaan esimerkiksi Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit sen on pitänyt tunnistaa ja arvioida, päättää riskienhallintakeinot ja mahdollinen varautuminen vahinkoihin sekä huolehtia prosessin jatkuvasta seurannasta.
Riskienhallinta Riskienhallintapolitiikka Riskienhallinnan tavoitteet Riskien tunnistaminen ja arviointi Riskien käsittely Toimenpiteistä päättäminen ja näiden toimenpiteiden toteuttaminen Toteutumisen seuranta Viestintä, seurana ja valvonta Jatkuva parantaminen
Organisaation eri tasoilla toteutetaan riskienhallintaa eri näkökulmista. Strateginen taso Taktinen taso Esimerkiksi tietoturvallisuuden osalta riskienhallinta pitää viedä osaksi myös palveluiden tietoturvallisuuden vuosikelloa Operatiivinen taso
Riskienhallinta Riskienhallintakokonaisuudessa tärkeintä ei ole alkuvaiheessa keskittyminen itse menetelmään tai käytettävään työvälineeseen vaan se, että prosessi saadaan organisaatiossa toimintaan. Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden organisaatiolle tunnistaa sen toimintaa, suorituskykyä kehittäviä ja parantavia mahdollisuuksia riskien- ja mahdollisuuksienhallinta Pienennetään tavoitteiden saavuttamista ja toimintaa uhkaavia riskejä sekä samalla etsitään mahdollisuuksia parantaa organisaation suorituskykyä ja toimintaa
Riskienhallinta Miten? organisaation johto hyväksyy riskienhallintapolitiikan / linjauksen, joka toteutetaan ja jalkautetaan läpi koko organisaation
Tiedon turvaaminen Muista! Tiedon turvaaminen, ei holvaaminen tai halvaannuttaminen Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen Luottamuksellisuus Eheys Saatavuus Nämä kolme tietoturvallisuuden osa-aluetta voivat olla tasapainossa, tosin hyvin harvoin Eheys Saatavuus Julkisen tiedon osalta eheys ja saatavuus voivat olla tärkeässä roolissa Eheys Saatavuus Etenkin erilaisten kriittisten viestintä- ja tiedotuspalveluiden osalta 24/7/365 saatavuus saattaa olla tärkein vaatimus
Tiedon turvaaminen Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen organisaation pitää luokitella suojattavat kohteet perus korotettu korkea taso. Luokittelussa pitää huomioida tiedon luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvät vaatimukset. Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen Jos kohteeseen liittyvää tietoa yliluokitellaan, kohdistettavat suojausmenetelmät (kontrollit) maksavat liikaa Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana tietovuoto), eheys (tietoja saatetaan päästä muuttamaan hallitsemattomasti) tai saatavuus (kriittinen palvelu ei ole käytettävissä silloin kun on tarve)
Tiedon turvaaminen Miten? tietoturvallisuusasetuksen mukaisesti suojattavat kohteet luokitellaan sekä täytetään tietoturvallisuusasetuksen mukaiset vaatimukset
Jatkuvuuden takaaminen Häiriötiedote Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ ei ole toiminnassa. Ilmoitamme lisätietoja kahden tunnin kuluttua, mikäli häiriötä ei saada ennen sitä korjattua. ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista. Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lisää rahaa Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (SLA). Jos palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä.
Jatkuvuuden takaaminen Häiriötilanne tilanne korjaantuu pikku hiljaa, kun sitä aletaan korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole palvelutasosopimusta? Häiriötilanne koska kyseessä on kriittinen palvelu, saadaan a) häiriö havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman merkittävää vaikutusta toimintaan
Jatkuvuuden takaaminen Miten? organisaatio on luokitellut kohteet (toiminto prosessi ICT-järjestelmä) kriittisyyden mukaan ja edellyttänyt sen tuottamisessa tarvittavia varautumiseen liittyvä vaatimuksia sekä käytössä on kriittisyyden mukainen palvelutaso. Nämä molemmat koskevat sekä itse tuotettuja tai ulkoistettuja palveluita.
Säännöllinen seuranta Kaikki edellä oleva edellyttää seurantaa, joka koostuu esimerkiksi säännöllisestä raportoinnista ja vaatimustenmukaisuuden täyttymisen arvioinnista eli auditoinneista. Muutama esimerkki: Riskienhallinta Mistä tietää että tämä ei toimi? Samat riskit pysyvät korkeina jopa vuodesta toiseen tehtyjä toimenpiteiden mukaisia päätöksiä pitää valvoa ja seurata, että ne toteutetaan, jolloin niiden riskiarvon tulisi pienentyä ja uusia nousta tilalle Tiedon turvaaminen Onko organisaation toiminnot prosessit tietojärjestelmät luokiteltu sekä tietoturvallisuuden että jatkuvuuden osalta perus korotettu korkea sekä tämän ja asiakastarpeen perusteella luotu kohteen kriittisyydestä luokitus? Kun kriittisyys tiedetään, voidaan myös kohteeseen liittyvät sekä toimittaja että asiakasraportointi suhteuttaa kohteen tärkeyden mukaisesti
Säännöllinen seuranta Jatkuvuuden takaaminen Palvelutasoa on seurattava! Kun jotain on tapahtunut (häiriö tai ongelma) ja siitä saadaan raportti niin samalla pitää selvittää keinot, millä saman häiriön toistuminen voidaan välttää Auditoinnit => vaatimustenmukaisuuden todentaminen Mitä kriittisemmästä kohteesta on kyse, sitä tärkeämpää on arvioida kohteen vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina. Auditoinnin tilaaja määrittää, mitkä ovat ne vaatimukset, joita toteutumista arvioinnissa tullaan tarkastelemaan. Valtaosan edellä kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja jatkuvuuden hallinnan osalta täyttämällä valtionhallinnon tietoturvatasojen (VAHTI 2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla.
Laadun kaava - kertaus Toteutetaan samalla tieto- ja yksityisyydensuojaa! Seuranta ja raportointi Riskienhallinta Tiedon turvaaminen Jatkuvuuden takaaminen Vuosikello, auditoinnit, raportointi Saavutetaan tavoitteet ja hallitaan toimintaa uhkaavia kriittisiä riskejä Salassa pidettävät tiedot eivät vuoda, tiedot säilyvät eheinä ja ovat saatavilla niitä tarvitseville henkilöille Häiriö saadaan hallintaan sovitun mukaisesti ilman että se uhkaa toimintaa
Valtorin tietoturvallisuuden asiantuntijapalvelut Tarvitsetko apua riskienhallintaan, tietoturvallisuuden tai jatkuvuuden hallinnan kehittämiseen tai onko organisaatiollasi tarvetta tehdä ulkopuolisen tahon tekemä auditointi? Käytössämme on omien asiantuntijoiden ohella >100 alihankkijamme turvallisuusselvitettyä, vaitiolositoumuksen allekirjoittanutta konsulttia Ota yhteys Valtorin asiakasvastaaviin tai ttpalvelut@valtori.fi saadaksesi lisätietoa!
Kiitos! TULOSSA: Valtorin asiakaspäivä 31.10.2014 Helsingissä Merkitse päivä jo kalenteriisi! Tervetuloa! Apulaisjohtaja Kimmo Rousku Valtion tieto- ja viestintätekniikkakeskus Valtori kimmo.rousku@valtori.fi