Tietoturva ja bisnes

© Jyrki Kontio, R & D-Ware Oy 26/11/2010 1

Tietoturvariskit ja bisnes

Jyrki Kontio, Ph.D.www.jyrkikontio.fi

www.rdware.com

© Copyright Jyrki Kontio, 2010Information about the use and licensing of this material:http://creativecommons.org/licenses/by-nc-nd/3.0/

http://creativecommons.org/licenses/by-nc-nd/3.0/







Jyrki Kontio, Ph.D.

Founding partner at R & D-Ware Oy, http://www.rdware.com Risk mgmt consulting and training Software engineering consulting Technical due diligence Process management and improvement

Professor of Software Business @ Helsinki University of Technology, 2002 - 07 Acting (part-time) professor of Software Engineering at Helsinki University of Technology (1997-2000)

Nokia, 1986 – 2002 Knowledge-based systems research and consulting at Research Center Manager of the software engineering research group at Research Center Quality manager at a business unit Senior manager at Nokia Networks: process management Principal Scientist at Nokia Research Center, software capability

Other experience Senior researcher at University of Maryland in prof. Basili’s research group (1994-96) Software development and management in software houses and corporations (1982-1986)

Contact information Email: [email protected], http://www.jyrkikontio.fi/ Tel: +358 40 8232 800


Pääkohdat

Liiketoiminnallisten vaikutusten arviointi

Mikä on organisaatiolle oikea

tietoturvariskienhallinnan taso ja miten se

rakennetaan?

Miten tietoturvariskejä voi tunnistaa ja

priorisoida liiketoiminnan näkökulmasta?


Mitä riski tarkoittaa?


What is Risk?

1. “We have several vulnerabilities in our computer network”

2. “User’s PC may be controlled by a malicious party”

3. “Business critical information may be lost due to hacker attack”

4. “We may lose customers due to security mishaps”

5. “There is a 50% risk we will have a security breach during this month”

6. “The use of USB memory sticks is a risk for our company”


What is Risk?

1. “We have several vulnerabilities in our computer network”

2. “User’s PC may be controlled by a malicious party”

3. “Business critical information may be lost due to hacker attack”

4. “We may lose customers due to security mishaps”

5. “There is a 50% risk we will have a security breach during this month”

6. “The use of USB memory sticks is a risk for our company”

Risk factor: something that influences risks

Risk event:occurrence of the risk

Risk effects:effects of risk

Risk outcome:consequence of an event

Risk probability:


Riskit ja mahdollisuudet

Epävarmuuteen liittyy sekä

haittoja että hyötyjä

Riskit

Mahdollisuudet

Tietoturvariskien

hallinnassa haitat pääkohde

Mahdollisuudet voivat tarjota

lisähyötyjä

Epävarmuuden

hallinta

Haitta(Riski)

Hyöty(Mahdollisuus)

Toden-

näköisyysVaikutus


Riskin määritelmä

Yleinen määritelmä:

Ei-toivotun seuraamuksen mahdollisuus – tai mikä tahansa

asia, joka liittyy tähän mahdollisuuteen

Riskiin liittyy aina kaksi keskeistä osaa:

Haitta: jokin tavoitteiden kannalta haitallinen seuraamus

Todennäköisyys: ei ole varmuutta riskin toteutumisesta


Riskin määritelmä

Tavoitteiden saavuttamiseen

liittyvä epävarmuus

Pääasiat:

Todennäköisyys: riskin

toteutumiseen liittyy

epävarmuus

Haitta: tavoitteiden kannalta

huono asia

Riski

Toden-

näköisyysHaitta


Riskienhallinnan tulee perustua

sidosryhmäanalyysiin

Sidosryhmät ja tarpeet

Riskin merkittävyyden arviointi perustuu

haitan arviointiin – se puolestaan

riippuu tavoitteista ja tavoitteiden

tärkeydestä kullekin osapuolelle:

Tavoitteet ja odotukset: haitan arviointi ei ole mahdollista ilman

tietoa tavoitteista

Sidosryhmä (osapuoli):

tavoitteet ja odotukset ovat erilaisia eri osapuolille

Riski

Toden-

näköisyysHaitta

Tavoite

Sidosryhmä


Tietoturvan riskienhallinnan

tavoitteet

Kontrolli Ehkäisevät toimenpiteet estävät tai

pienentävät riskien vaikutuksia

Vähemmän työtä toteutuneiden riskien haittojen korjaamiseksi

Luotettavampip ja ennustettavampi toiminta

Ennakointitieto Investointien teko

Toiminnan suunnittelu

Resurssien varaus

Voidaan tehdä tietoisia päätöksiä riskinotosta

Yhdenmukainen ymmärrys organisaation riskeistä

Riskeistä oppiminen: parantunut riskinottokyky

Parempi maine

Parempi luottamus

yritykseen

Tehokas tietoturva

Vähemmän kriisejä

Liikesalaisuuksien

arvo säilyy

Parempi ymmärrys

otettujen riskien

merkityksestä


Riskien hallinta

Riskien hallinta tarkoittaa systemaattista ja läpinäkyvää tapaa tunnistaa, analysoida ja kontrolloida riskejä ennen kuin ne tapahtuvat

Riskien hallinta tuottaa kaksi tulosta: Toimenpiteet, joilla vaikutetaan riskeihin

Tietoa riskeistä ja riskitasosta

Vain toimenpiteet pienentävät

riskejä!

Riskienhallinta-

prosessi

Ymmärrys riskeistä

Toimenpiteet

Tilannetieto

Menetelmät


TIETOTURVAN

LIIKETOIMINNALLISTEN

VAIKUTUSTEN ARVIOINTI


Tietoturvan sidosryhmät

Sidosryhmällä tarkoitetaan ihmistä tai organisaatiota joka

vaikuttaa projektiin tai johon projekti vaikuttaa

Sidosryhmiin voi kuulua esim.

Asiakkaat

Yritys

Osakkeenomistajat

Henkilökunta

Yhteistyökumppanit

Yhteiskunta

Sidosryhmien tietoturvatavoitteet tulee kartoittaa


Liiketoiminnallisten

vaikutusten arviointi

Vaihe 1: Sidosryhmät

Tunnista ja priorisoi

Vaihe 2: Tietoturvatarpeet

Tunnista tarpeet

Arvioi ne sekä liiketoiminnallisten että muiden vaikutusten kannalta

Priorisoi tarpeet sidosryhmittäin

Vaihe 3: Vaikutukset

Kuvaa tietoturvatarpeen merkitys kunkin sidosryhmän kannalta

Vaihe 4: Priorisoi

Arvioi kunkin sidosryhmän ja tarpeen merkitys liiketoiminnan kannalta


Sidosryhmäanalyysi: esimerkki

Asiakkaat Yritys KumppanitHenkilö-

kunta

Yhteis-

kunta

Luottamuksellisen

tiedon suojaus

Järjestelmien

toimivuus

Liikesalaisuuksien

suojaus

IT-resurssien

käytön suojaus


Yhteenveto

Sidosryhmien ja heidän tavoitteidensa priorisointi

auttaa riskien analyysissä

Tärkeysjärjestyksen ei tarvitse olla tarkka

Sidosryhmäanalyysi on tärkeä riskienhallinnan

lähtökohta

Osa modernia projektijohtamista


TIETOTURVAN

RISKIENHALLINNAN

KYVYKKYYS


Käytäntö

Amatöörimäinen riskienhallinta Käytössä ei ole menetelmiä, ohjeistusta tai työpohjia

Perustuu intuitioon, ei analyysiin

Riskienhallinnan tuloksia ei dokumentoida

Reagointia, ei ennakointia – riskit ratkotaan vasta niiden lauettua

Yleinen tapa toimia Ohjeita ja työpohjia on olemassa – mutta niitä ei käytetä systemaattisesti tai tehokkaasti

Riskilokit täytetään projektin alussa, mutta niitä ei ylläpidetä

Riskienhallintatoimenpiteet ovat prosessin pääkohdissa mukana vaatimuksni, mutta niitä noudatetaan

harvoin

Parhaiden yritysten käytännöt Yrityksellä on riskipolitiikka, joka kuvaa riskienhallinnan tavoitteet, vastuut ja keinot

Riskienhallinnan koulutusta tarjotaan henkilökunnalle

Johto keskustelee riskeistä ja seuraa niitä – riskit ovat johtoryhmän agendoilla

Riskienhalinnan menetelmät, ohjeistus ja työpohjat ovat olemassa, niitä käytetään ja niitä kehitetään

jatkuvasti

Aktiivista riskienhallintaa vaaditaan ja sitä tuetaan


Riskienhallinnan päävaiheet

Keskity

keskeisten

tehtävien

suorittamiseen

Tunnista

Arvioi

Kontrolloi

Seuraa

Potentiaaliset

uhat

Priorisoidut

riskitToimenpiteet

Uutta

informaatiota

Uudet uhat

Riittämätön

vaikutus


Riskien tunnistaminen

Riskien tunnistamisessa tulee

käyttää useita tekniikoita

Yhteistyö ja keskustelut

useiden ihmisten kanssa

parantavat osumatarkkuutta

Aivoriihitekniikat ja

tarkistuslistat ovat tehokkaita

apuvälineitä riskien

tunnistamisessa


Riskien ymmärtäminen

Riskit-menetelmän kuvaustekniikka

Riskit-menetelmän kuvaustekniikka

Jäsentää riskien kuvausta

Esittää riskin osien riippuvuudet visuaalisesti

Tukee kommunikaatiota ja analyysiä

Voidaan kuvata myös verbaalisesti

Reaction

Reaction

Factor

Risk factor

Event

Risk event

Effect set

Risk effects


Riskitekijä

(Risk Factor)

Asia (“fakta”), joka vaikuttaa jonkun riskitapahtuman

todennäköisyyteen tai olemassaoloon

Kuvaa tilannetta ja ympäristöä – esim. resursseja tai rajoitteita

Riskitekijään ei liity todennäköisyyttä

Tyypillisesti kuvaavat asioita, joiden takia tilanne on

riskipitoisempi kuin normaalisti Myös positiivisiä tekijöitä voidaan luetella riskitekijöinä

Factor

Risk factor

Tuotekehitysesimerkkejä Yleisiä esimerkkejä

Riskitekijä

• Henkilökunnan kokemattomuus

• Uuden teknologian käyttö

• Uusien menetelmien käyttö

• Alihankkijoiden käyttö

• Epäterveellinen ruokavalio

• Asuminen maanjäristysvyöhykkeellä

• Lumisade


Riskitapahtuma

(Risk Event)

Kuvaa ei-toivotun tapahtuman Erikoistapaus: käy ilmi, että aiemmat oletukset tai

suunnitelmat eivät pidä paikkaansa

Riskitapahtumalla on todennäköisyys – ei ole varmuutta siitä, tapahtuuko se vai ei

Useat riskitekijät voivat vaikuttaa tapahtumaan Voi myös vaikuttaa muihin riskeihin

Event

Risk event


Riski-

tapahtuma

• Avainhenkilö irtisanoutuu

• Asennukset eivät ole valmiina ajoissa

• Alihankkijan toimitus myöhästyy

• Testiajot epäonnistuvat

• Sydänkohtaus

• Maanjäristys

• Autokolari


Riskireaktio (Risk

Reaction)

Kuvaa riskitapahtuman jälkeisen reaktion

Reaktiot vaikuttavat siihen, mikä on riskin laukeamisen lopullinen vaikutus tavoitteisiin

Reaction

Risk reaction


Riski-

reaktio

• Konsulttien käyttö korvaamaan puuttuvia

resursseja

• Aikataulun suunnittelu uudelleen

• Ylityöt

• Hoito sairaalassa, leikkaus

• Rakennusten korjaus

• Auton hinaus korjaamoon


Riskivaikutukset

(Risk Effects)

Kuvaa riskin lopullista vaikutusta tavoitteisiin

Huomioiden reaktion vaikutuksen

Vaikutukset voidaan kuvata numeroina tai verbaalisesti

Effect set

Risk effect set


Riski-

vaikutukset

• Budjetin ylitys 100 K€

• Kuukauden viivästys aikatauluun

• Asiakas huomattavan tyytymätön

• Menetetty työaika

• Kipu ja särky

• Korjauskustannukset

• Nousseet vakuutusmaksut


Risk Statements

Koska

<riskitekijät>

On mahdollista että

<riskitapahtuma>

Josta seuraa

<riskivaikutukset>

Factor

Event

Effect set


YHTEENVETO


Tietoturvan riskienhalinnan

haasteita

Tilastotietoa on vaikea saada

Varsinkin uusista uhista ei ole historiatietoa

Riskejä on vaikea kvantifioida

Esim. asiakkaan luottamuksen menetys tai mainevahinko

Uhkien epäsuoria vaikutuksia on vaikea arvioida

Epäsuoria vaikutuksia voi olla paljon

Ne voivat vaikuttaa muihin sidosryhmiin

Riskien arvioinnin tulokset vanhenevat nopeasti

Uudet teknologiat ja ympäristöt

Hakkereiden uudet toimintatavat

GAO, 1999


Menestystekijät

1. Hanki johdun ymmärrys ja tuki

2. Keskity olennaiseen

3. Määritä selkeät menetelmät ja toimintatavat

4. Osallistuta sekä teknisiä asiantuntijoita, johtoa että

käyttäjiä

5. Anna vastuu liiketoimintayksiköille

6. Pidä kunkin vaiheen fokus rajattuna Tarvittaessa myös analysoi alue pala kerrallaan

7. Dokumentoi tulokset ja toista prosessi riittävän useinGAO, 1999


Yhteenveto

Tietoturvariskien hallinta tulee olla

systemaattista ja läpinäkyvää

Sidosryhmien ja tarpeiden tunnistaminen

auttaa tunnistamaan tehokkaita toimenpiteitä

Riskien tunnistaminen ja analyysi täytyy

tehdä riittävän usein

Tietoturva ja bisnes

Documents

Transcript of Tietoturva ja bisnes