Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 14. Yritysturvallisuus 1
Turvallisuuden tarkoitus Organisaation varsinainen toiminta ei häiriinny odottamattomien tapahtumien vuoksi Omaisuutta ei menetetä Ihmiset eivät vahingoitu Maine ei pilaannu Vaatimuksia asettavat Ulkoiset tahot viranomaiset asiakkaat yhteistyökumppanit Sisäiset tahot profiloituminen segmentoituminen strategia 2
Vaatimusten täyttäminen Noudatamme määräyksiä Vaatimukset tulevat oman organisaation ulkopuolelta Oma motivaatio? Tavoitteet ja laki Laki asettaa vaatimuksia, johto päättää noudatetaanko Toisaalta lain vaatimukset voivat olla liian alhaiset turvallisuus on keino varmistaa toiminta laatua on vaikea käskeä lailla 3
Turvallisuus ja tehokkuus Turvallisuuden tehtävänä on estää häiriöitä varsinaisessa toiminnassa Tehokas toiminta edellyttää häiriöttömyyttä Jos kaikki aika kuluu sotkujen siivoamisessa ei aikaa riitä varsinaiselle työlle Motivaatio Turvallisuus on häiriöiden estämistä Turvallisuus on kulujen pienentämistä Turvallisuus on laiskuutta Turvallisuustyötä tehdään oman edun takia 4
Turvallisuus keinona profiloitua Monet asiakkaat ovat valmiita ostamaan turvallista tuotetta ja myös maksamaan siitä Monet asiakkaat haluaavat siirtää osan riskistä alihankkijalle ja edellyttävät tiettyä turvatasoa tai toimintavarmuutta Turvallisille tuotteille ja palveluille on olemassa omat markkinansa, jossa hinta ei välttämättä ole tärkein valintaperuste Turvallisuus liiketoimintaverkossa Alihankkijat ovat osa riskienhallintaa Riski siirretään alihankkijalle Alihankkijan huolehdittava omasta toimitusvarmuudestaan Onko kyse ulkoisista vaatimuksista vai brandistä? 5
Yhteinen turvallisuus verkostossa Yhdessä toimivien yritysten täytyy profiloitua samalla tavalla Yksi huono yritys voi pilata monen hyvän yrityksen maineen Turvallinen ja laadukas myyjä tarvitsee turvallisen ja laadukkaan ostajan Turvallisuuden organisointi perinteisesti Yrityksissä on määräysten mukaan oltava joukko vastaavia henkilöitä Suojelujohtaja, valmiuspäällikkö, työsuojelupäällikkö,... Turvallisuustietoisessa yrityksessä on myös turvallisuuspäällikkö Turvallisuuspäällikkö tekee ohjeet turvallisuusasioissa (=ovien lukitseminen) ja valvoo niiden noudattamista 6
Toi minnan turvallisuus Toimitilaturvallisuus Henkilöturvallisuus Tieto Henkil ö Materia Maine Tietotekninen tur vallisuus Suojattavat kohteet Erilaiset asiat, jotka ovat arvokkaita organisaatiolle Arvo voi perustua Rahallinen arvo Toiminnallinen arvo Mielikuva-arvo 7
Pakolliset suojausmenetelmät Menetelmät, joiden täytyy olla olemassa kaikissa yrityksissä Perusta kaikille muille toimenpiteille Riski Threat Vulnerability Loss Risk Eliminate risk Minimize risk Accept risk 8
Valinnaiset menetelmät Valinnaisilla menetelmillä rakennetaan varsinainen suojaus Menetelmistä valitaan tilanteeseen ja kohteeseen parhaiten sopivat On tärkeää pitää suojaus yhtä vahvana kaikkialla, vaikka menetelmät vaihtuisivatkin välillä Yritysturvallisuus 9
Fyysinen turvallisuus Alueen sisällä olevat voivat tehdä työtä häiriöttä sisälläolijoita ei tarvitse vahtia pahat on jätetty ulos reitejä on helppo seurata Ei häiritse luvallista kulkua Rakenteellinen paloturvallisuus Turvallisuusvyöhykkeet 10
Tietotekninen turvallisuus Tietoteknisessä turvallisuudessa luodaan erilaisia turvallisuusalueita ja hallitaan pääsyä niille Palomuurit, pääsynvalvonta, salakirjoitus Tietoteknisesä turvallisuudessa havaitaan hyökkäykset ja reagoidaan niihin IDS Järjestelmille asetettavat vaatimukset Laatu Toiminnalliset vaatimukset Ympäristö n turvallisuu s Luotettavuusvaatimukset Su orituskykyvaatimukset Turvallisuusvaatimukset 11
Tietoturvallisuus Tiedolla 3 ominaisuutta Luottamuksellisuus, eheys, käytettävyys (CIAmalli) Luottamuksellisuus on aito tiedon ominaisuus Eheys ja käytettävyys ovat järjestelmien ominaisuuksia Luottamuksellisen tiedon arvo vähenee, kun tietäjien määrä kasvaa Tieto oikeellisuudesta on olennainen metatieto Henkilöstöturvallisuus Suojataan tietoja ja muuta omaisuutta henkilöturvallisuuden keinoin Toimenpiteet kohdistuvat omaan henkilöstöön Sisäinen turvallisuus Vaikutetaan Haluun toimia turvallisesti Valinta Motivaatio Kykyyn toimia turvallisesti Koulutus 12
Nykyhetken piirteitä Pysyvät menetelmät rapistuvat Nopea vaihtuvuus Sitoutumattomuus Yrityskulttuurien mureneminen Etsitään hetkellisiä keinoja Testit (psykologiset, huume-, käsialajne.) Toiminnan turvallisuus Varsinainen työ tehdään turvallisesti Työsuojelu, paloturvallisuus Vaaralliset työyhdistelmät, päätöksentekoprosessit Normaali toiminta ei aiheuta riskejä Turvallisuudesta vastaa linjaorganisaatio Turvallisuuden ja laadun yhdistäminen 13
Toiminnan varmistaminen Varautuminen Varakapasiteetti, redundanssi Kahdentaminen vikasietoisuus Varatilat Korvaavat verkot ja siirtotiet Varavoima yms Silmukointi Varaosavarastot Rakenteelinen suojaus Henkilöstön varaus Toiminta Priorisointi Resurssiohjaus Käytön rajoitus Korvaavat toiminta- ja käyttötavat Kannibalisointi Tiedottamisen tavoitteet Osapuolet tietävät mitä on tapahtunut Osapuolet osaavat toimia oikein uudessa tilanteessa Luottamus säilyy Viesti saadaan menemään perille organisaation haluamassa muodossa 14
Turvallisuustiedottaminen Kun jotain tapahtuu, tiedottaminen on osa tapahtuman käsittelyä Suunniteltaessa etukäteen toimenpiteitä on suunniteltava myös tiedotus Kuka tiedottaa Kuinka paljon kerrotaan Mitä pyydetään Tiedottamisen onnistuminen vaikuttaa Maineeseen Toiminnan jatkumiseen Tiedottamisen ongelmat Ei ole päätetty, kuka tiedottaa Useita ristiriitaisia viestejä Ketä uskotaan? Tiedottaja ei tiedä riittävästi Viesti on väärä tai epäuskottava Kerrotaan vääriä asioita Paljastuu huijaukseksi Selittelyä 15
Organisaation turvallisuusstrategia Politiikka Julistus, jossa organisaatio kertoo omat näkemyksensä ja tavoitteensa Periaatteet Hyväksyttävä riskitaso, minimiturvataso, toteutusperiaatteet eri osa-alueille, seuranta ja päivittäminen Toimintaohjeet Henkilöstölle jaettavat toimintaohjeet eri tilanteisiin 16