Valtorin kokonaisvaltaisen riskienhallinnan ja kokonaisturvallisuuden toteuttaminen Valtorin asiakaspäivä 30.10.2014 Riskienhallintajohtaja Kimmo Rousku
Riskienhallinta ja kokonaisturvallisuus Valtorin kokonaisturvallisuus Strategiset riskit Palveluiden yhdenmukaistaminen ja kehittäminen eivät tapahdu Valtorin sovitulla aikataululla Asiakkaat eivät sitoudu kokonaisvaltainen tuotettaviin palveluihin Ohjaus ei tue Valtorin toimintaa riskienhallinta Avainosaamisen menettäminen Vahinkoriskit Kriittinen, laajavaikutteinen konesaleihin tai toimitiloihin liittyvä vakava vahinko Taloudelliset riskit Hinnoissa ja laadussa ei saavuteta kilpailukykyisyyttä Operatiiviset riskit Tietoturvallisuuden ja varautumisen tasoja ei saavuteta Palvelukulttuurin ja erilaisten toimintakulttuurien yhtenäistäminen ei onnistu Johto tai esimiehet eivät onnistu muutoksen johtamisessa ja esimiestyössä Palkkausjärjestelmä ei tue toimintaa Valtorin kokonaisturvallisuus 1. Tietoturvallisuus 2. Tuotannon ja toiminnan turvallisuus jatkuvuudenhallinta ja varautuminen 3. Valmiussuunnittelu 4. Henkilöturvallisuus 5. Kiinteistö- ja toimitilaturvallisuus 6. Pelastustoiminta 7. Työturvallisuus 8. Rikosturvallisuus 9. Ympäristöturvallisuus 10. Ulkomaantoimintojen turvallisuus 2
Valtorin kokonaisvaltainen riskienhallinta ja kokonaisturvallisuus Valtorin hallitus Valtorin toimitusjohtaja ja johtoryhmä Tulosyksikkö Tulosalue Palvelunhallintajärjestelmä prosessit ml tukiprosessit: Taloushallinto Henkilöstöhallinto Riskienhallinta Viestintä Tietohallinto Valtorin tuottamat palvelut Sisäinen tarkastus Henkilöstö Asiakkaat Alihankkijat Kokonaistvaltainen riskienhallinta ja kokonaisturvallisuus 3
Valtorin kokonaisvaltainen riskienhallinta 4
Valtorin kokonaisvaltainen riskienhallinta Valtorin palvelunhallintajärjestelmä (ISO/IEC 20000) COSO ERM ISO 31000 ISO 27000 ISO 22301 ISO 20000-viitekehys Valtorin palvelunhallintajärjestelmä COSO-ERM-viitekehys kokonaisvaltainen riskienhallinta ISO 31000:2009-standardi periaatteet, ohjeet ja toteutus ISO 27000-viitekehykset tietoturvallisuus ISO 22301-viitekehys - jatkuvuuden hallinta 5
Valtorin kokonaisvaltainen riskienhallinta Strategisten tavoitteiden saavuttamista uhkaavat riskit Strategiset riskit Taloudelliset riskit Toiminnan ja talouden suunnitteluun ja seurantaan liittyvät riskit Vahinkoriskit Operatiiviseet riskit (sisältävät tietoriskit) Vahinkoriskit ovat toimintaan kohdistuvia riskejä, esimerkiksi henkilöstöön, ympäristö-, luonnonkatastrofi tai toimitilaturvallisuuteen liittyvät riskit Liiketoimintatavoitteita tai normaalia toimintaa uhkaavat riskit 6
Valtorin kokonaisvaltainen riskienhallinta 7
Valtorin kokonaisvaltainen riskienhallinta Riskien arvioinnin ja käsittelyn keskeiset osa-alueet Tunnistaminen Riskianalyysi 16 20 12 9 4 8 6 Riskienkäsittely ja -suunnitelma 20 Valvonta Entä jos Seuranta ja raportointi 1 2 3 4 5 6 7 1 2 3 4 5 6 7 Suunnittele Toteuta Arvioi Toimi Plan - Suunnittele Act - Toimi Do - Toteuta Check- Arvioi 9
Tilanne Politiikka: johtoryhmä käsitellyt, Valtorin hallitus käsittelee 12.12. Ohjeistus ja pilotointi toteutetaan valittujen toimintojen osalta marrasjoulukuussa 2014. Jalkauttaminen koko Valtorin toimintaan: alkuvuodesta 2015 alkaen. Tavoitetila: riskienhallinta, raportointi ja seuranta on laaja-alaisesti käytössä Valtorissa vuoden 2015 loppuun mennessä. 10
Valtorin kokonaisturvallisuus 11
Kokonaisturvallisuuden määritys Valtorin kokonaisturvallisuus 1. Tietoturvallisuus 2. Tuotannon ja toiminnan turvallisuus jatkuvuudenhallinta ja varautuminen 3. Valmiussuunnittelu 4. Henkilöturvallisuus 5. Kiinteistö- ja toimitilaturvallisuus 6. Pelastustoiminta 7. Työturvallisuus 8. Rikosturvallisuus 9. Ympäristöturvallisuus 10. Ulkomaantoimintojen turvallisuus Valtorin kokonaisturvallisuuden tavoitteet: Valtoriin toimintaan kohdistuvat turvallisuusuhat on tunnistettu ja ne on käsitelty riskienhallinnan keinoin. Valtorin toimintaan ja palveluihin liittyvät toiminnot turvataan yhteistoiminnassa henkilöstön, alihankkijoiden, viranomaisten sekä asiakkaiden kanssa. Turvaamisen toimiin kuuluvat uhkien ennaltaehkäisy, niihin varautuminen, häiriötilanteiden ja poikkeusolojen hallinta ja johtaminen sekä niistä toipuminen. 12
Kokonaisturvallisuuden määritys Kokonaisturvallisuuden avulla Valtori huolehtii siitä, että sen toiminta, prosessit ja palvelut ovat laadukkaita, turvallisia, vaatimustenmukaisia ja asiakastarpeet täyttäviä. Yleiset tavoitteet kaikille osa-alueille 1) Vastuut on kuvattu. 2) Tarvittavat prosessit ja toimintamallit ovat kuvattu, koulutettu ja käyttöönotettu. 3) Tarvittavat ohjeet, suunnitelmat ja muu kirjallinen dokumentaatio on tuotettu sekä tarvittavilta osin koulutettu. 4) Osa-alueiden toteutumista seurataan, raportoidaan ja kehitetään. Kokonaisturvallisuus koostuu kymmenestä osa-alueesta, joiden priorisointi ja kehittäminen v. 2014 2016. 13
1) Tietoturvallisuuden toteuttaminen Olemme koko ajan erilaisten järjestäytyneiden organisaatioiden mielenkiinnon kohteena, motiivina esimerkiksi Tieto (tiedusteluorganisaatiot, signaalitiedustelu ) Raha (tietoverkkorikolliset) Vaikuttaminen (haktivistit) Järjestyneen yhteiskunnan toiminnan lamauttaminen (terrorismi) 15
1) Tietoturvallisuuden toteuttaminen Tietoturvallisuus => tiedon L-E-S luottamuksellisuus eheys saatavuus Huolehdimme siitä, että omia ja asiakkaidemme, alihankkijoidemme ja sidosryhmien tietoja käsitellään vaatimusten mukaisesti sekä siitä, että toimintamme ja palvelumme ovat tietoturvallisia ja vaatimustason mukaisia. Toteuttamalla tietoturvallisuuden hallintajärjestelmän ja jalkauttamalla palveluihin tietoturvallisuuden vuosikellon ja palvelunhallintajärjestelmän mukanaan tuomat prosessit, täytämme tietoturvallisuusasetuksen mukaiset velvoitteet tietoturvallisuuden perus ja korotetun tason osalta. Toteutuminen varmistetaan auditoinneilla v. 2015 2016 16
2) Tuotannon ja toiminnan turvallisuus jatkuvuuden hallinta Vaikka kuinka varaudumme erilaisiin häiriötilanteisiin esimerkiksi riskienhallinnalla, toimivilla prosesseilla, häiriöitä joka tapauksessa syntyy. Valtorilla on kyvykkyys reagoida ja korjata näitä häiriöitä palvelutasolupaustemme mukaisesti lisäksi valmiudet tiedottaa näistä häiriöistä asiakkaille ja muille sidosryhmille. 17
2) Tuotannon ja toiminnan turvallisuus jatkuvuuden hallinta Tuotannon ja toiminnan turvallisuus jatkuvuuden hallinta Toteutamme palvelutasolupausten mukaista palvelutuotantoa ja pystymme reagoimaan Valtorin toimintaa tai palveluita uhkaaviin normaaliolojen häiriötilanteisiin tai poikkeusoloihin. Tätä varten laaditut prosessit ja suunnitelmat mahdollistavat tarkoituksen- ja sopimustenmukaisen toiminnan jatkuvuuden sekä palautumisen normaalitoimintaan (varautuminen). 18
3) Valmiussuunnittelu Olemme tärkeässä roolissa valtion/julkishallinnon ict-perustietotekniikan ja -palveluiden tuottajana. Edellä kuvatun jatkuvuudenhallinnan ja varautumisen lisäksi meidän täytyy varautua takaamaan toimintakyky niiden toimintojen, prosessien ja palveluiden osalta, jotka sitä myös edellyttävät, kaikissa normaaliolojen häiriötilanteissa ja myös poikkeusoloissa. 19
3) Valmiussuunnittelu Valmiussuunnittelu Valtori on varautunut tarkoituksenmukaisin keinoin laajaalaisiin ja erittäin vakaviin häiriötilanteisiin sekä poikkeusoloihin. Toteutamme tarvittavat suunnitelmat Valtorin virastotason ja toiminnalta edellyttävien prosessien ja palveluiden valmiussuunnittelun osalta sekä harjoittelemme suunnitelman mukaista toimintaa. 20
4) Henkilöturvallisuus Valtori on turvallinen työpaikka meille kaikille; meillä on ohjeet toimia eri tilanteissa. Meillä on toimivat prosessit esimerkiksi henkilöiden tunnistamiseen ja turvallisuusselvityksiin. Viestinnällä, koulutuksilla ja toimivilla prosesseilla mahdollistetaan henkilöturvallisuuden toteutuminen. 21
5) Kiinteistö- ja toimitilaturvallisuus Kiinteistö- ja toimitilaturvallisuus Valtorin toimitilat ovat turvallisia niin siellä työskenteleville kuin vieraileville. Toimitilat täyttävät niille asetetut turvallisuutta koskevat vaatimukset. Käsittelemme tietoja ja tuotamme palveluita toimitiloissamme turvallisuutta koskevat vaatimukset huomioiden. Kehitämme toimitilaturvallisuutta vaatimustenmukaisuuden perusteella. Toimitilaturvallisuutta kehitetään mm. Vahti-toimitilojen tietoturvaohjeen mukaisesti. Kuva: Petteri Kivimäki 22
6) Pelastustoiminta Tulipalot ja vesivahingot ovat eräs yleisimpiä organisaatioiden toimintaa uhkaavia vahinkolajeja. Tässä keskeisessä roolissa on niiden ennaltaehkäisy kouluttamalla, ohjeistamalla ja tiedottamalla. Jos kaikista varotoimenpiteistä huolimatta jotain tapahtuu, meillä on eri tilanteita varten ohjeet ja toimintamallit siitä, miten silloin toimitaan. 23
6) Pelastustoiminta Pelastustoiminta Pelastustoiminnan kehittämisellä pyritään onnettomuuksien ennaltaehkäisemiseen. Valtorin henkilöstöllä on valmiudet toimia onnettomuustilanteissa. Valtori toimii yhteistyössä pelastusalan organisaatioiden kanssa. Valtorin pelastusorganisaatio, joka toimii jokaisessa Valtorin toimipisteessä varmistaa turvallisen toiminnan onnettomuuksien yhteydessä. Onnettomuuksia ennaltaehkäistään säännöllisellä henkilöstön koulutuksilla ja tiedottamisella. 24
7) Työturvallisuus Turvallinen ja tuottava - riskienhallinta 25
7) Työturvallisuus Työturvallisuus Valtori tarjoaa työpaikkana turvallisen työympäristön ja työolosuhteet sekä kehittää toimintaa henkilöstön työkyvyn turvaamiseksi ja ylläpitämiseksi. Tämä tapahtuu työturvallisuusriskien arvioinnilla ja toteuttamalla Valtorin työsuojelun toimintaohjelmaa. Keskeisessä roolissa kuten kaikessa toiminnassa ovat ennaltaehkäisy, ohjeistus, koulutus, säännöllinen tiedottaminen ja seuranta. 26
8) Rikosturvallisuus Käyttäjiä yritetään huijata ja saada soittamaan maksullisiin palvelunumeroihin. Tietoverkkorikollisuus on nopeimmin kasvava osa-alue ei pidä kuitenkaan unohtaa perinteistä rikollisuutta! 27
8) Rikosturvallisuus Rikosturvallisuus Valtorin liiketoimintaa, henkilöstöä ja omaisuutta suojataan rikollisuudelta ja väärinkäytöksiltä. Valtori toimii yhteistyössä viranomaisten ja yksityisten turvallisuusalan organisaatioiden kanssa. Rikosturvallisuus on huomioitu ja ohjeistettu toiminnan edellyttämällä tavalla. 28
9) Ulkomaantoimintojen turvallisuus Ulkomaantoimintojen turvallisuus Valtorin henkilöstön on turvallista työskennellä ulkomailla. Ulkomailta tuotetut palvelut täyttävät niille asetetut vaatimukset. Turvallisuus on huomioitu ja ohjeistettu toiminnan edellyttämällä tavalla niin tuotettaessa tai käsiteltäessä Valtorin tai sen asiakkaiden tietoja ulkomailta tai Valtorin henkilöstön matkustaessa ulkomaille. Ulkomailla toimittaessa huomioitava paikallinen lainsäädäntö. 29
10) Ympäristöturvallisuus Ympäristöturvallisuudella edistämme toiminnan ekologista tehokkuutta ja vähennämme toimintamme ja palveluiden ympäristöhaittoja. 30
10) Ympäristöturvallisuus Ympäristöturvallisuus Valtori toteuttaa ympäristöturvallisuusohjelmaa sekä huomioi ekologisuuden ja ympäristöturvallisuuden omaa toimintaa ja palvelutuotantoa kehittäessään. Nämä asiat otetaan huomioon myös kilpailutuksissa ja hankinnoissa. Case esimerkki: Hyödynnä esimerkiksi Valtorin tarjoamaa Vyvi-viestintäratkaisua kokouksia järjestäessäsi Vähennät samalla matkustamista myös kustannussäästöt hiilijalanjäljen pienentämiseksi! Mitä meillä olikaan ennen Vyviä ja Lyncciä? 31
Entäs kyberturvallisuus? Suomen kyberturvallisuusstrategian mukaan kyberuhat ovat tietoturvauhkia. Kehittämällä kokonaisturvallisuutta kannamme kortemme kekoon myös kyberturvallisuusstrategian täytäntöönpanon osalta Kyberturvallisuuden kehittäminen on Valtorin jatkuvuudenhallinnan ja varautumisen sekä tietoturvallisuuden kehittämistä. 32
Tietoturvallisuuden toteuttaminen Ohjaavat tekijät Lait, asetukset ja määräykset Valtorin strategia, tavoitteet ja johtaminen Valtorin riskienhallintapolitiikka Asiakas- ja palvelusopimukset VAHTI-ohjeet ja JHS-suositukset HALLINTAJÄRJESTELMÄ Jatkuvuuspolitiikka Tietoturvapolitiikka Vuosikello Kehityssuunnitelma Tietoriskien hallinnan politiikka Periaatteet Ohjeet, mallipohjat ja työkalut Valtorin palvelunhallintajärjestelmä sekä muut tarvittavat tukiprosessit Jatkuvien palvelujen tietoturvallisuuden hallinta Hankkeiden tietoturvallisuuden hallinta Tietoturvallisuuden hallintajärjestelmän kehittäminen ja ylläpitäminen Tietoriskien hallinta ISO 20000 tietoturvalllisuus 33
Jatkuvuudenhallinta ja varautuminen Valmiussuunnittelu ja toiminta Toimintamme ja palvelumme Toimintamme tavoitetilassa ja palvelumme nykytilassa Tietoturvallisuuden perustaso Tietoturvallisuuden korotettu taso Tietoturvallisuuden korkea taso Varautumisen korkea taso Varautumisen korotettu taso Varautumisen perustaso Varautumisen avoin taso 34
Riskienhallinnan ja jatkuvuuden hallinnan suhde Muu tunnistamaton uhka 4 16 12 9 20 8 6 1 2 3 4 5 6 7 Häiriö tai poikkeama Valtorin normaali toiminta Riskienhallinta tunnistetut riskit Valtorin palvelunhallintajärjestelmä Käytettävyyden ja jatkuvuudenhallinta-prosessi Muut tukiprosessit kuten riskienhallinta sekä kokonaisturvallisuuden toteuttaminen Kun riskienhallinta toimii oikeaoppisesti, häiriö tai poikkeama syntyy tunnistamattomien uhkien toteutumisen seurauksena. Jos aiheuttaja on tunnistettu riski, toimenpiteet eivät ole purreet tai ne on kohdistettu vääriin asioihin. 35
Miten tämä kaikki toteutetaan? 36
Riskienhallinta ja kokonaisturvallisuus Toiminta on turvallista ja vaatimustenmukaista Palvelutuotanto Asiakasyhteistyö Palvelujen tuotteistaminen Prosessit Henkilöstö Hankinnat ja toimittajahallinta Toiminnan organisointi ja ohjaus Kehittäminen ja innovointi Riskienhallinta ja kokonaisturvallisuus Tukitoiminnot viestintä, tilat, talous, tietohallinto TORI-tehtävien siirrot Tavoitetilan kuvaus Kokonaisvaltainen riskienhallinta Strategisten, taloudellisten, operatiivisten ja vahinkoriskien tunnistaminen ja hallinta Riskienhallinta on säännöllistä ja muutoksiin reagoivaa Kokonaisturvallisuuden kehittäminen Turvallisuuden kehittäminen ja toteuttaminen laaja-alaisesti ja määrätietoisesti koko organisaation, prosessien sekä palveluiden osalta Analysoi Sovittujen toimenpiteiden toteutumista seurataan ja toiminnasta raportoidaan Seuraa Arvioi Toteuta Tietoturvallisuuden hallintajärjestelmä ja jatkuvuudenhallinta Toiminta ja palvelut täyttävät tietoturvallisuuden, jatkuvuudenhallinnan ja varautumisen vaatimukset Toiminta ja palvelut ovat auditoitu 37
Riskienhallinta ja kokonaisturvallisuus Toiminta on turvallista ja vaatimustenmukaista Palvelutuotanto Asiakasyhteistyö Palvelujen tuotteistaminen Prosessit Henkilöstö Hankinnat ja toimittajahallinta Toiminnan organisointi ja ohjaus Kehittäminen ja innovointi Riskienhallinta ja kokonaisturvallisuus Tukitoiminnot viestintä, tilat, talous, tietohallinto TORI-tehtävien siirrot Tavoitetilan edellyttämät toimenpiteet ja aikataulu TORI-tehtävien kokoaminen Toiminnan yhtenäistäminen 2014 2015 2016 2017 2018 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 Riskienhallintamallin käyttöönotto Kokonaisturvallisuuden mallin käyttöönotto Vaihekohtaiset lopputuotokset Riskit tunnistettu ja hallintamalli on laadittu sekä otettu käyttöön Kokonaisturvallisuuden hallintamalli on laadittu ja otettu käyttöön Tietoturva auditoitu perus-/korotetulle tasolle 2015/2016 Hyötyjen toteuttaminen ja toiminnan jatkuva kehittäminen Jatkuvuus- ja toipumissuunnitelmien käyttöönotto Varautumis- ja valmiussuunnitelmien käyttöönotto Riskien tunnistaminen, arviointi ja hallintatoimenpiteiden toteuttaminen Jatkuvuus- ja toipumis-suunnitelmat laadittu ja sovitusti testattu Varautumis- ja valmiussuunnitelmat laadittu ja sovitusti testattu Hallitut riskit 38
Riskienhallinta ja kokonaisturvallisuus 1) Valtorin kokonaisvaltainen riskienhallinta riskienhallintapolitiikka => hallitaan riskit Politiikka ja sen jälkeen tätä täydentävä ohje ja jalkautus 4) Jatkuvuudenhallinnan periaatteet => miten toteutamme palvelutasovaatimusten mukaisen toiminnan? Valtorin toiminnan takaaminen normaalioloissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa organisaatio-, prosessit ja palvelut 2) Kokonaisturvallisuuden linjaukset => olemme turvallisia (henkilöstö toiminta palvelut) Kymmenen osa-alueen sisältö, tavoitteet, vastuut ja kehittämissuunnitelma 3) Tietoturvapolitiikka => tietoturvallisuuden kehittäminen luotettavuus eheys saatavuus Tietoturvallisuuden hallintajärjestelmä, ohjeet, koulutus, jatkuva kehittäminen ja tarvittavat auditoinnit Perus- ja korotetun tason saavuttaminen Vaatimustenmukaisuuus 39
Tilanne Riskienhallintapolitiikka Kokonaisturvallisuuden linjaukset Tietoturvapolitiikka Jatkuvuudenhallinnan periaatteet: johtoryhmä käsitellyt, Valtorin hallitus käsittelee 12.12. Osa sovituista toimenpiteistä liikkeellä, osa vielä suunnittelussa, osa aloittamatta Valtorin tietoturvapäällikön rekrytoinnin osalta haastattelut käynnissä Tavoitetila: Hallinnollinen tietoturvallisuus Tietoturvallisuuden perustaso v. 2015 Tietoturvallisuuden korotettu taso v. 2016 Valmius-, jatkuvuus- ja toipumissuunnittelu ja suunnitelmat ovat toteutettu ja sovitulta osin harjoiteltu. Kaikki Valtorin kehittämät uudet palvelut täyttävät alusta alkaen niiltä edellytettävät tietoturvallisuuden ja jatkuvuudenhallinnan vaatimukset. Asiakkailta siirtyneiden palveluiden osalta tilanne käydään läpi palveluittain. 40
Yhteenveto mitä tämä mahdollistaa? Näillä käynnistetyillä toimenpiteillä Valtorin riskienhallintaja kokonaisturvallisuus mahdollistavat hallitun, turvallisen toiminnan ja edesautamme Valtorin strategian tavoitteiden saavuttamista. Samalla tämä on osa meidän laatutyötä. Pienennämme tällä kaikella toimintamme turvallisuuteen liittyviä riskejä niin oman toiminnan, asiakkaiden kuin alihankkijoiden näkökulmasta Mahdollistamme sopimusten ja palvelutasolupausten mukaisen toiminnan. 41
Kiitos! Riskienhallintajohtaja Kimmo Rousku p. 050 566 298, kimmo.rousku[at]valtori.fi www.valtori.fi 42