Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan



Samankaltaiset tiedostot
YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

YHTEISKUNNAN TURVALLISUUSSTRATEGIA - KOMMENTTIPUHEENVUORO

Image size: 7,94 cm x 25,4 cm. SKTY:N SYYSPÄIVÄT , Lahti RISKIENHALLINTA. Eeva Rantanen Ramboll CM Oy

ICT-VARAUTUMINEN VALTIT-INFO

evare Valtionhallinnon ICT-varautumisen kehittäminen

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

LAPPEENRANNAN KAUPUNGIN VARAUTUMINEN JA VIRANOMAISYHTEISTOIMINTA

Jatkuvuudenhallinta ja varautuminen kunnassa - yleisiä perusteita ja lähtökohtia -

Toiminnan jatkuvuus - käytännön näkökulma

TAMPEREEN ALUEPELASTUSLAITOS

Yleistä kuntatoimijoiden varautumisesta. Jaakko Pekki Kehittämisyksikön päällikkö Länsi-Uudenmaan pelastuslaitos

Kansallinen varautuminen kriiseihin. Yleissihteeri, Jari Kielenniva

Kuntien varautumisen muutostarpeet - tärkeät askeleet kohti parempaa valmiutta ja kykyä

YETTS. Tampereen seutukunnan mittaus ja GIS päivät Ikaalinen. Tampereen Sähkölaitos & Tammerkosken Energia Oy TJ, dos.

Jatkuvuuden varmistaminen

Suomen Kokonaismaanpuolustuksen kehittäminen

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Pelastusalan neuvottelupäivät SN

TOIMINNAN JATKUVUUDEN HALLINTA

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Työpaja #10 lyhyt kertaus. #tuki2018 #stöd2018

Yhteiskunnan turvallisuusstrategia 2017 Hyväksytty valtioneuvoston periaatepäätöksenä

Yhteiskunnan turvallisuusstrategian perusteet

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Kohti sisäisen turvallisuuden strategiaa

Maakuntien varautumisen kehittäminen - Riskien arviointi. Varautumisjohtaja Jussi Korhonen Maakuntien kriisiviestintäseminaari

ISO/DIS 14001:2014. DNV Business Assurance. All rights reserved.

Kirkot kriisien kohtaajina. Suomen valtion kriisistrategia

IP-verkkojen luotettavuus huoltovarmuuden näkökulmasta. IPLU-II-projektin päätösseminaari Kari Wirman

Sisäinen turvallisuus maakunnan strategisena voimavarana

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Turvallisuus- ja valmiussuunnittelu

Tietoturvapolitiikka

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

Kriisitilanteiden tietoliikenne, informaatioinfrastruktuurin turvaaminen

Valtiosihteeri Risto Volanen Kuopio Yhteiskuntaturvallisuuden haasteet hallinnon näkökulmasta.

Pääesikunta, logistiikkaosasto

VIRTU ja tietoturvatasot

Tietojärjestelmien varautuminen

Varautuminen sotelainsäädännössä

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

MAAKUNNAN VARAUTUMINEN JA ALUEELLISEN VARAUTUMISEN YHTEENSOVITTAMINEN

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Kommenttipuheenvuoro - Porin kaupungin häiriötilannesuunnittelu

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

Arkkitehtuurinäkökulma

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

SPEKin rooli ja mahdollisuudet alueellisen ja paikallisen turvallisuusverkoston aktivoijana

Ajankohtaista soteuudistuksesta

TIETOTURVAPOLITIIKKA

Tilannekuvien luominen arjen ja konkretian välimaastossa. Pekka Koskinen

Pilvipalveluiden arvioinnin haasteet

Yhteiskunnan rakenteiden turvallisuus

Sisäisen turvallisuuden strategia. Ari Evwaraye Sisäministeriö

TIETOTURVAA TOTEUTTAMASSA

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

MIKÄ TEKEE KAUPUNGISTA TURVALLISEN

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

ETELÄ-SAVON VALMIUSSUNNITTELU. Tuomo Halmeslahti Varautumisen valtakunnalliset opintopäivät , Tampere

Miksi varautuminen on tärkeää? Näkökulmia toiminnan jatkuvuuden suunnitteluun

RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN Valmiusasiamies Jaakko Pekki

Valtioneuvoston asetus

ELINTARVIKEHUOLTOSEKTORIN POOLIT Valmiuspäällikkö Aili Kähkönen. Elintarvikehuoltosektorin poolit

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Turvallinen ja kriisinkestävä Suomi yhteistyössä. Pelastustoimen strategia 2025

Kohti sisäisen turvallisuuden strategiaa

Kooste riskienhallinnan valmistelusta

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Mirja Antila, LAPE-akatemian fasilitaattori

Häiriötilanteisiin varautuminen Porissa. KEHTO-FOORUMI Pasi Vainio riskienhallintapäällikkö Porin kaupunki

LUONNOSVERSIO VAHTI 2/2016. Toiminnan jatkuvuuden hallinta

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Turvallinen ja kriisinkestävä Suomi yhteistyössä. Pelastustoimen strategia 2025

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Yrityksen jatkuvuussuunnitelma

Suomen turvallisuuskehityksestä ja sen vaikutuksista matkailuun. Keskiyön Savotta Kansliapäällikkö Ritva Viljanen Sisäasiainministeriö

Suomen Pelastusalan Keskusjärjestön

Työpohja 1: Ideointi tulevaisuuden mahdollisuuksista ja potentiaalista

Ensisijaisesti sähköisesti tarjottavien palvelujen tiekartta

Pelastustoimen uudistaminen jatkuu - maakuntauudistus etenee. Varautuminen

Tietoturvapolitiikka

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Turvallinen ja kriisinkestävä Suomi Pelastustoimen strategia 2025

VAHTI 1/2012 ICT-VARAUTUMISEN VAATIMUKSET

KIRA-klusteri osaamis- ja innovaatiojärjestelmän haaste tai ongelma?

VASTUULLISUUS JA RUOKA ATERIA 13 -tapahtuma

Vihdin kunnan tietoturvapolitiikka

Elinkeinoelämä ja huoltovarmuus

Tietoturvallisuuden ja tietoturvaammattilaisen

Asiakkaan valinnanvapaus laajenee alkaen

Viestintä häiriötilanteissa Anna-Maria Maunu

Lausunto PELASTUSLAITOSTEN KUMPPANUUSVERKOSTO Lausunto PelJ/96/01.00/2018

Puolustusvoimien johtamisjärjestelmä muutoksessa

SPEK Strategiapäivitys kysely valtuutetuille. Valtuuston seminaari Karim Peltonen

Palveluiden häiriöttömyys ja toimitusvarmuus. Varautuminen?

Transkriptio:

Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan Markku Siltanen CISA, CGEIT, CRISC

Miksi yhteiskunta haluaa suojautua On viimeinkin ymmärretty tietotekniikan ja sen laadullisen puolen, tietoturvallisuuden merkitys koko yhteiskunnalle. Siis tietoturvallisuus on puhdas laatuasia, ei sen kummempaa Siksi erilaiset tapahtumat eivät näytä turvallisuustapahtumilta, vaan huonolta laadulta palveluissa tai tuotteissa. Hyvä esimerkki tästä on lähiajoilta OP-ryhmän pankkiongelmat, tietojeni mukaan kyse on ollut puhtaasti muutoshallintaan liittyvästä ongelmasta. Samanlaisia tapahtumia on ollut tämänkin jälkeen muissa pankkiympäristöissä. Häiriöt heijastuvat entistä nopeammin koko yhteiskuntaan vaikka kyseessä olisikin puhtaasti yritystoiminnan häiriö. 1

Mikä on YETTS? YETTS = Yhteiskunnan elintärkeiden toimintojen turvaamisen strategia. Nykyisin Yhteiskunnan turvallisuusstrategia. Valtioneuvoston periaatepäätös vuodelta 2006 Tulee vaikuttamaan merkittävästi, niin hallintoon kuin elinkeinoelämään tällä vuosikymmenellä. Hallinnolle palveluita tuottavat yritykset joutuvat näiden vaatimusten kanssa tekemiseen joko SOPIVAn (Sopimuksiin perustuva varautuminen) tai yleisten varautumisvaatimusten kautta. Hallintoa sitova Tietoturvatasot (TTT) tai Varautumisen vaatimukset (evare), ovat oiva mittari myös yrityksille selvittää oma tasonsa. 2

YETTS peruste Yhteiskunnan verkostoitunut toiminta edellyttää kaikilta verkoston osilta yhtenäistä, sovitun tasoista tiedon turvaamista sekä toiminnan ja palvelun jatkamisen kykyä normaaliajan häiriötilanteissa, vaikeissa erityistilanteissa ja poikkeusoloissa. Palvelujen käyttäjistä ja ylläpitäjistä koostuviin palveluverkostoihin osallistuu hallinnon eri osapuolia, kansalaisia, yhteisöjä, yrityksiä ja ICT-palveluntuottajia. Keskeistä on varmistua, että koko palveluverkosto kykenee normaaliajan vakavissa häiriötilanteissa ja YETTS:n mukaisissa jatkamaan toimintansa asetettujen vaatimusten mukaisesti. 3

Strategian perusteet

Strategian toimeenpano

Jatkuvuuden hallinnan ja tiedon turvaamisen tasot Vaatimustasot Erityistaso Palvelut Tietoliikenneratkaisu Tukiorganisaatio KORKEA TASO YETTS-toiminta ja poikkeusolojen tarpeet erityisvaatimuksia omalle osaamiselle KOROTETTU TASO kriittisten toimintojen minimitaso nopea palautuminen erityistilanteissa PERUSTASO verkostoitunut sähköinen asiointi palautuminen häiriötilanteissa normaalit kaupalliset palvelut ja sopimukset Välivaiheen tilanne organisaatioiden, palvelujen ja järjestelmien siirtyessä perustasolle Turvallisuus- ja pelastus viranomaisten operatiiviset järjestelmät Perusrekisterit potilastietojärjestelmät Hallintopalvelut TUVE Kytkentäydin Julkinen tietoliikenne PVJJK HALTIK VIP Hallinnon palveluyksiköt T O I M I T T A J A T 6

Mikä uhkaa yhteiskunnan turvallisuutta? voimahuollon vakavat häiriöt tietoliikenteen ja tietojärjestelmien vakavat häiriöt kuljetuslogistiikan vakavat häiriöt yhdyskuntatekniikan vakavat häiriöt elintarvikehuollon vakavat häiriöt rahoitus- ja maksujärjestelmän vakavat häiriöt julkisen talouden rahoituksen saatavuuden häiriintyminen väestön terveyden ja hyvinvoinnin vakavat häiriöt suuronnettomuudet, luonnon ääri-ilmiöt ja ympäristöuhkat terrorismi ja muu yhteiskuntajärjestystä vaarantava rikollisuus rajaturvallisuuden vakavat häiriöt poliittinen, taloudellinen ja sotilaallinen painostus sekä sotilaallisen voiman käyttö 7

Onko häiriöitä? Pankkihäiriöt 2011 Kansainväliset talouskriisit Euromaiden kriisit Sähköhäiriöt 2010 ja 2011 Nokian vesiongelmat STUXNET 2010 ennakoiko jotain? Esimerkkejä on runsaasti, eri asia on mitkä niistä täyttävät kriteerit 8

Stuxnet 9

Elinkeinoelämän rooli varautumisessa Suuri osa yhteiskunnan välttämättömistä voimavaroista on yksityisten yritysten hallussa. Tällaisia voimavaroja ovat esimerkiksi monet voimalaitokset, liikennevälineet, terveyspalvelut ja tietoliikenneverkot. Myös talous toimii pitkälti yksityisten yritysten panoksien varassa ja monissa kunnissa peruspalvelujen tuottaminen on ulkoistettu yrityksille. Siksi onkin välttämätöntä, että elinkeinoelämä on mukana turvaamassa yhteiskunnan toimintakykyä myös kriisien varalta. 10

Market Vision tutkimuksesta 2010 Sen sijaan keskisuurissa yrityksissä käytännöt vaihtelevat suuresti. Tämä näkyy riskienhallinnan prosessien systematiikassa, jatkuvuussuunnitelmien ajan tasalla pitämisessä, resursointitavoissa ja ennen muuta käytännön ICTjatkuvuusjohtamisessa ja varajärjestelyjen organisoinnissa. Keskisuurissa ja pienissä yrityksissä jatkuvuussuunnittelua toteutetaan keskimäärin selvästi heikkotasoisemmin kuin suurissa organisaatioissa. Ääripäiden erot jatkuvuuden hallinnan toteuttamisessa ovat merkittäviä. Useissa suurissa yrityksissä sekä julkisen sektorin huoltovarmuuskriittisissä organisaatioissa jatkuvuussuunnittelu on systemaattista ja ammattimaisesti johdettua toimintaa. Pienissä ja keskisuurissa yrityksissä esiintyy selviä puutteita liiketoiminnan ja ICT:n välisten riippuvuussuhteiden ymmärtämisessä ja tätä kautta ICT-riskien tunnistamisessa. Osa keskisuurista organisaatioista ei ole selvittänyt käytännössä lainkaan tieto- ja viestintätekniikkaan liittyviä liiketoimintariskejä. Tätä suurempi joukko on jollakin tavalla selvittänyt ICT-riskejä esimerkiksi järjestelmäkohtaisesti, mutta jatkuva riskien tunnistamisen ja arvioimisen prosessi saattaa puuttua kokonaan. 11

Kasvavia haasteita liiketoiminnan jatkuvuudelle Liiketoiminnan monimutkaistuminen 24/7 Globalisaatio Integroitu toimitusketju Ulkoiset tekijät Lainsäädäntö Sopimukset Asiakkaat, partnerit, sijoittajat, media Sosiaaliset tekijät Työkulttuurin muutos Mobiliteetti Organisaatiot Matala organisaatio Johtaminen Työntekijöiden valmius Teknologia Kuluttajistuminen Muutosnopeus SaaS ja Clould Uudet cyber-uhkat Talouskriisi Muutokset työvoimassa Kustannussäästöt Viranomainen säästää

Keskeisiä organisaatioiden tavoitteita 1. Rakentaa jatkuvuussuunnitelmat järjestelmille, työpaikoille, verkoille ja riippuvuuksille toimittajista ja yhteistyökumppaneista 2. Pitää eri puolilla työskentelevät henkilöt ja muut osalliset tietoisina tilanteesta ja tuottavina 3. Mahdollistaa hajautettu päätöksenteko ja virtuaalinen työskentely 4. Turvata tiedot ja tietopääoman hallinta

Kimmoisuuden keskeisiä tekijöitä 1. Tasapaino riskien hallinnan ja sietämisen välillä Minimoi riskin vaikutus ja maksimoi hyöty Hyvin riskejä hallitsevat yritykset voivat ryhtyä hankkeisiin, joita toiset yritykset pitäisivät liian riskialttiina 2. Kimmoisuuden merkityksestä tiedotettava laajasti Liiketoiminnan luotettavuus (asiakaspalvelu, kyky vastata velvoitteistaan, fyysinen turvallisuus, jatkuvuus) Uskottavuus (viranomaiset, henkilökunta, omistajat, kumppanit jne.) Riskienhallinta (välttäminen, palautuminen, toipuminen, keskeytysvakuutus) Tuotot (kannattavuus, maine, luottokelpoisuus, kustannus, kilpailuetu)

Lisätietoa ja aineistoja

16

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute