Tietoturvallisuuden johtaminen Juha Fiskari 10.11.2010 11/15/2010 Nixu Oy
Agenda Tieto ja sen merkitys organisaatiolle Tiedon turvallisuuden hallinta & johtaminen Nixun näkymä Tiedon turvallisuuden hallinta & johtaminen Nixun näkemys 11/15/2010 Nixu Oy
Tieto ja sen merkitys organisaatiolle Tieto ja sen hallittu käsittely on yrityksen välttämätön toiminnan edellytys ja tuotannontekijä Yit Yrityksen toiminnalle i arvokas tieto t muuttuu koko k ajan Normaalitoiminnan seurauksena Vahinkojen seurauksena Väärinkäytösten seurauksena Yrityksessä on tietoa jonka saatavuus on välttämätöntä Perustuotannon toimimiseksi Tukiprosessisen toimimiseksi Yrityksessä on luottamuksellista tietoa aina! Henkilötietolaki Telelainsäädäntö Osakeyhtiölaki jne Liikesalaisuudet Yrityksen toiminnalle arvokasta tietoa ja sen käsittelyä normitetaan yhä enenevässä määrin Lainsäädäntö Pakolliset standardit Sopimukset sidosryhmien kanssa 11/15/2010 Nixu 2010
Yritysten arvosta ja toiminnan edellytyksistä yhä suurempi osuus on digitaalisessa muodossa 11/15/2010 Nixu
Regularity and Society environment - Lex Nokia - Privacy - Compliance - etc Invidual behaviors - Social Media - Networking - Awareness - PLAN Technology evolution - Web 2.0 - Mobile - Platforms - etc MAINTENANCE Information Security Management IMPLEMENT Change in value chain - SaaS - Cloud - Outsourcing - etc EVALUATE Business objectives -SLA - Continuity - Risk managemt - Threat landscape - Agility - etc 11/15/2010 Nixu 2010
Tietoturvatyön tekemisen malleja "I'm feeling lucky" minimipanostukset ja toivotaan parasta tyypillinen pienissä organisaatioissa ja ei turvatietoisilla toimialoilla, etenkin jos kulukuri k on kovaa "Prevention is better than cure" painopiste uhkien torjunnassa ja usein panostukset melko isot tyypillinen tiukasti säännellyillä toimialoilla, kuten pankeissa "Can't prevent, so we detect and react tiukka valvonta ja tehokkaaksi viritetty tietoturvaloukkausten käsittely tullut vastaan yliopistoissa ja osittain myös terveydenhoidossa "Risk management is king tietoturva hoituu riskienhallinnan kautta vastaan isommissa organisaatioissa joissa on muutenkin vahva riskienhallinnan kulttuuri "Going for compliance riman ylitys riittää yleistyy isoissa organisaatioissa, USA:ssa ja kaupan alalla 15-Nov-10 Nixu 2010
Kokemuksia tietoturvan organisoinnin malleja CASE 1: Tekninen asiantuntija konffaa 11/15/2010 Nixu Oy
Kokemuksia tietoturvan organisoinnin malleja CASE 2: Tietohallinto roolittaa oto-managerin 11/15/2010 Nixu Oy
Kokemuksia tietoturvan organisoinnin malleja CASE 3: Liiketoimintalähtöinen manageri 11/15/2010 Nixu Oy
Miten asioita voisi lähestyä? 11/15/2010 Nixu 2009
Mitä on tietoturvan johtaminen sisäänpäin Prosessien mittaaminen Riskienhallinta ERM ISMS Teknisen ympäristön mittaaminen Tapahtumien seuranta 11/15/2010 Nixu 2009
Mitä on tietoturvan johtaminen ulospäin Turvallisten toimintatapojen määrittely Riskien kartoittamisen tuki Perehdytys ja koulutus Alihankkijoiden ohjaus Tuotannon päivittäinen tuki ISMS Tapahtumiin reagointi Tuotannon jatkuvuuden tuki Raportointi 11/15/2010 Nixu 2009
Tietoturvallisuuden johtaminen yleisesti Tietoturvallisuuden johtamista on syytä tehdä järjestelmällisesti ja hallita samoin kuin muitakin johtamisjärjestelmiä Hallintajärjestelmä on prosessinomainen toimintatapa, joka koostuu Organisaatiorakenteesta Roolien vastuiden määrittelystä Politiikasta, periaatteista ja ohjeista Mittaamisesta ja seurannasta PLAN DO ACT 11/15/2010 Nixu Oy CHECK
Yksi esimerkki johtamismallista 1/4 HR Strateginen taso Tietoturvan Ohjausryhmä Talousjohtaja Tietohallinto Lakiasiat Sisäinen tarkastus Taktinen Tietoturva päällikkö Yksikön- Yksikön- Yksikön- taso päällikkö päällikkö päällikkö Toiminnallinen taso Tietoturvakoordinaattori Tietoturvakoordinaattori Tietoturvakoordinaattori 15.11.2010 Nixu Oy
Yksi esimerkki johtamismallista 2/4 Roolit ja vastuut Talousjohtaja Vastaa tieto- ja operatiivisten riskienhallinnasta kokonaisuutena Tietoturvan ohjausryhmä Ryhmä joka päättää yrityksen riskienkantokyvystä Tietoturvapäällikkö Toimeenpaneva päällikkö riskienhallinnallisissa tehtävissä Linjaorganisaatio Siirtää riskienhallintaa koskevat k päätökset t tuotantoympäristöön ja prosesseihin 15.11.2010 Nixu 2009
Yksi esimerkki johtamismallista 3/4 Toiminnan ohjausmalli Strateginen taso Tietoturvastrategia /politiikka Taktinen taso Tietojen Luokittelun periaatteet Internetin ja sähköpostin käytön periaatteet Käyttövaltuus hallinnan periaatteet Tekniset arkkitehtuurit Hankinnan tietoturvaohjeet Toiminnallinen taso Luokitellun tiedon käsittely Turvaohje käyttäjille Työohje KVHryhmälle Työohjeet 11/15/2010 Nixu 2010
Yksi esimerkki johtamismallista 4/4 Raportointi 15 Vaatimustenmukaisuus 6 Tietoturvallisuuden organisoiminen 5,0 4,0 3,0 7 Suojattavien kohteiden hallinta 14 Liiketoiminnan jatkuvuuden hallinta 13 Tietoturvahäiriöiden hallinta 2,0 1,0 0,0 8 Henkilöstöturvallisuus 9 Fyysinen turvallisuus ja ympäristön turvallisuus Tavoite 2009 Q3 12 Tietojärjestelmien hankinta, kehitys ja ylläpito 11 Pääsyoikeuksien valvonta 10 Tietoliikenteen ja käyttötoimintojen hallinta 11/15/2010 Nixu 2010
Kertaus on opintojen äiti Määritellään Johtamisprosessin tuotteet (outbound) Rakenne Organisaatio Roolien vastuut Ohjaavat dokumentaatio ja toimintatavat Johtamisprosessin syötteet (inbound) Kontrollit Kontrollien mittarit ja niiden seuranta 11/15/2010 Nixu 2009
KIITOS Kysymyksiä? 11/15/2010 Nixu 2009