Download - Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Kimmo Rousku

Apulaisjohtaja

Esityksessäni

• Hallitseeko organisaatio riskejä vai meneekö työ tulipalojen sammutteluun? • Riskit pääsevät laukeamaan

• Miksi tietoturvallisuus koetaan niin hankalaksi? • Todennäköisesti tietoja yliluokitellaan ja tämän takia on toteutettu liian

tiukat suojakontrollit

• Miksi erilaiset ict-toiminnan häiriöt aiheuttavat meille niin paljon ongelmia? • Tiedetäänkö, mikä on organisaation toiminnassa oikeasti kriittistä?

• Mistä organisaatiosi tietää, missä näissä osa-alueissa mennään ja mikä on tilanne? • Raportointi ja erilaiset auditoinnit

=> Uudenlainen laadun kaava

20.5.2014 Valtori – Kimo Rousku –

Lähtötilanne

Riskit ja myös mahdollisuudet

Tiedon turvaaminen

Jatkuvuuden takaaminen

Säännöllinen seuranta

Laatu


Riskienhallinta

• Kuinka moni aamulla kotoa lähtiessään jätti ulko-oven sulkematta, kahvinkeittimen päälle ja vesihanan juoksemaan?

• Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sekä suojautumaan järkevästi eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia riskejä vastaan esimerkiksi

• Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit

sen on pitänyt tunnistaa ja arvioida, päättää riskienhallintakeinot ja mahdollinen varautuminen vahinkoihin sekä huolehtia prosessin jatkuvasta seurannasta.


Riskienhallinta

Riskienhallintapolitiikka • Riskienhallinnan tavoitteet

• Riskien tunnistaminen ja arviointi • Riskien käsittely

• Toimenpiteistä päättäminen ja näiden toimenpiteiden toteuttaminen • Toteutumisen seuranta

Jatk

uva

para

ntam

inen

Vies

tintä

, seu

rana

ja v

alvo

nta


Strateginen

taso

Taktinen taso

Operatiivinen taso

Organisaation eri tasoilla toteutetaan riskienhallintaa eri näkökulmista. Esimerkiksi tietoturvallisuuden osalta riskienhallinta pitää viedä osaksi myös palveluiden tietoturvallisuuden vuosikelloa


Riskienhallinta

• Riskienhallintakokonaisuudessa tärkeintä ei ole alkuvaiheessa keskittyminen itse menetelmään tai käytettävään työvälineeseen vaan se, että prosessi saadaan organisaatiossa toimintaan. • Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden

organisaatiolle tunnistaa sen toimintaa, suorituskykyä kehittäviä ja parantavia mahdollisuuksia

⇒ riskien- ja mahdollisuuksienhallinta • Pienennetään tavoitteiden saavuttamista ja toimintaa uhkaavia riskejä sekä

samalla etsitään mahdollisuuksia parantaa organisaation suorituskykyä ja toimintaa


Riskienhallinta

•Miten? • organisaation johto hyväksyy riskienhallintapolitiikan / linjauksen, joka toteutetaan ja jalkautetaan läpi koko organisaation


Tiedon turvaaminen

• Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen

Luottamuk-sellisuus Eheys Saatavuus

Eheys Saatavuus

Eheys Saatavuus

Nämä kolme tietoturvallisuuden osa-aluetta voivat olla tasa- painossa, tosin hyvin harvoin

Julkisen tiedon osalta eheys ja saatavuus voivat olla tärkeässä roolissa

Etenkin erilaisten kriittisten viestintä- ja tiedotuspalveluiden osalta 24/7/365 saatavuus saattaa olla tärkein vaatimus


Muista! Tiedon turvaaminen, ei holvaaminen tai halvaannutta-minen

Tiedon turvaaminen

• Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen organisaation pitää luokitella suojattavat kohteet – perus | korotettu | korkea taso. Luokittelussa pitää huomioida tiedon luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvät vaatimukset.

• Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen • Jos kohteeseen liittyvää tietoa yliluokitellaan, kohdistettavat

suojausmenetelmät (kontrollit) maksavat liikaa

• Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana tietovuoto), eheys (tietoja saatetaan päästä muuttamaan hallitsemattomasti) tai saatavuus (kriittinen palvelu ei ole käytettävissä silloin kun on tarve)


Tiedon turvaaminen

•Miten? • tietoturvallisuusasetuksen mukaisesti suojattavat kohteet luokitellaan sekä täytetään tietoturvallisuusasetuksen mukaiset vaatimukset



• ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista.

• Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lisää rahaa

• Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (SLA). Jos palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä.

Häiriötiedote Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ

ei ole toiminnassa.

Ilmoitamme lisätietoja kahden tunnin kuluttua, mikäli häiriötä ei saada ennen sitä korjattua.



• Häiriötilanne – tilanne korjaantuu pikku hiljaa, kun sitä aletaan korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole palvelutasosopimusta?

• Häiriötilanne – koska kyseessä on kriittinen palvelu, saadaan a) häiriö havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman merkittävää vaikutusta toimintaan



• Miten? • organisaatio on luokitellut kohteet (toiminto | prosessi | ICT-järjestelmä) kriittisyyden mukaan ja edellyttänyt sen tuottamisessa tarvittavia varautumiseen liittyvä vaatimuksia sekä käytössä on kriittisyyden mukainen palvelutaso. Nämä molemmat koskevat sekä itse tuotettuja tai ulkoistettuja palveluita.



• Kaikki edellä oleva edellyttää seurantaa, joka koostuu esimerkiksi säännöllisestä raportoinnista ja vaatimustenmukaisuuden täyttymisen arvioinnista eli auditoinneista. Muutama esimerkki:

• Riskienhallinta • Mistä tietää että tämä ei toimi? Samat riskit pysyvät korkeina jopa vuodesta

toiseen – tehtyjä toimenpiteiden mukaisia päätöksiä pitää valvoa ja seurata, että ne toteutetaan, jolloin niiden riskiarvon tulisi pienentyä – ja uusia nousta tilalle

• Tiedon turvaaminen • Onko organisaation toiminnot | prosessit | tietojärjestelmät luokiteltu sekä

tietoturvallisuuden että jatkuvuuden osalta perus | korotettu | korkea sekä tämän ja asiakastarpeen perusteella luotu kohteen kriittisyydestä luokitus? Kun kriittisyys tiedetään, voidaan myös kohteeseen liittyvät sekä toimittaja että asiakasraportointi suhteuttaa kohteen tärkeyden mukaisesti



• Jatkuvuuden takaaminen

• Palvelutasoa on seurattava! Kun jotain on tapahtunut (häiriö tai ongelma) ja siitä saadaan raportti niin samalla pitää selvittää keinot, millä saman häiriön toistuminen voidaan välttää

• Auditoinnit => vaatimustenmukaisuuden todentaminen

• Mitä kriittisemmästä kohteesta on kyse, sitä tärkeämpää on arvioida kohteen vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina.

• Auditoinnin tilaaja määrittää, mitkä ovat ne vaatimukset, joita toteutumista arvioinnissa tullaan tarkastelemaan.

• Valtaosan edellä kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja jatkuvuuden hallinnan osalta täyttämällä valtionhallinnon tietoturvatasojen (VAHTI 2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla.


https://www.vahtiohje.fi/web/guest/2/2012-ict-varautumisen-vaatimukset

https://www.vahtiohje.fi/web/guest/2/2010-ohje-tietoturvallisuudesta-valtionhallinnossa-annetun-asetuksen-taytantoonpanosta

Laadun kaava - kertaus

• Seuranta ja raportointi

Riskienhallinta Tiedon turvaaminen


Saavutetaan tavoitteet ja

hallitaan toimintaa uhkaavia

kriittisiä riskejä

Salassa pidettävät tiedot eivät

vuoda, tiedot säilyvät eheinä

ja ovat saatavilla niitä

tarvitseville henkilöille

Häiriö saadaan hallintaan

sovitun mukaisesti

ilman että se uhkaa

toimintaa

Vuosikello, auditoinnit, raportointi


Toteutetaan samalla tietoja yksityisyydensuojaa !

Valtorin tietoturvallisuuden asiantuntijapalvelut

• Tarvitsetko apua riskienhallintaan, tietoturvallisuuden tai jatkuvuuden hallinnan kehittämiseen tai onko organisaatiollasi tarvetta tehdä ulkopuolisen tahon tekemä auditointi?

• Käytössämme on omien asiantuntijoiden ohella >100 alihankkijamme turvallisuusselvitettyä, vaitiolositoumuksen allekirjoittanutta konsulttia

• Ota yhteys Valtorin asiakasvastaaviin tai [email protected] saadaksesi lisätietoa!


http://www.valtori.fi/fi-FI/Yhteystiedot/Asiakasvastaavat

mailto:[email protected]

Kiitos!

TULOSSA: Valtorin asiakaspäivä 31.10.2014 Helsingissä Merkitse päivä jo kalenteriisi! Tervetuloa! Apulaisjohtaja Kimmo Rousku

Valtion tietoja viestintätekniikkakeskus Valtori

[email protected]




Download - Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Top Related