Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - TeliaSonera
Tietoturva ja bisnes
-
Upload
jyrki-kontio -
Category
Documents
-
view
690 -
download
3
description
Transcript of Tietoturva ja bisnes
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 1
Tietoturvariskit ja bisnes
Jyrki Kontio, Ph.D.www.jyrkikontio.fi
www.rdware.com
© Copyright Jyrki Kontio, 2010Information about the use and licensing of this material:http://creativecommons.org/licenses/by-nc-nd/3.0/
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 2
Jyrki Kontio, Ph.D.
Founding partner at R & D-Ware Oy, http://www.rdware.com Risk mgmt consulting and training Software engineering consulting Technical due diligence Process management and improvement
Professor of Software Business @ Helsinki University of Technology, 2002 - 07 Acting (part-time) professor of Software Engineering at Helsinki University of Technology (1997-2000)
Nokia, 1986 – 2002 Knowledge-based systems research and consulting at Research Center Manager of the software engineering research group at Research Center Quality manager at a business unit Senior manager at Nokia Networks: process management Principal Scientist at Nokia Research Center, software capability
Other experience Senior researcher at University of Maryland in prof. Basili’s research group (1994-96) Software development and management in software houses and corporations (1982-1986)
Contact information Email: [email protected], http://www.jyrkikontio.fi/ Tel: +358 40 8232 800
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 3
Pääkohdat
Liiketoiminnallisten vaikutusten arviointi
Mikä on organisaatiolle oikea
tietoturvariskienhallinnan taso ja miten se
rakennetaan?
Miten tietoturvariskejä voi tunnistaa ja
priorisoida liiketoiminnan näkökulmasta?
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 4
Mitä riski tarkoittaa?
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 5
What is Risk?
1. “We have several vulnerabilities in our computer network”
2. “User’s PC may be controlled by a malicious party”
3. “Business critical information may be lost due to hacker attack”
4. “We may lose customers due to security mishaps”
5. “There is a 50% risk we will have a security breach during this month”
6. “The use of USB memory sticks is a risk for our company”
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 6
What is Risk?
1. “We have several vulnerabilities in our computer network”
2. “User’s PC may be controlled by a malicious party”
3. “Business critical information may be lost due to hacker attack”
4. “We may lose customers due to security mishaps”
5. “There is a 50% risk we will have a security breach during this month”
6. “The use of USB memory sticks is a risk for our company”
Risk factor: something that influences risks
Risk event:occurrence of the risk
Risk effects:effects of risk
Risk outcome:consequence of an event
Risk probability:
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 7
Riskit ja mahdollisuudet
Epävarmuuteen liittyy sekä
haittoja että hyötyjä
Riskit
Mahdollisuudet
Tietoturvariskien
hallinnassa haitat pääkohde
Mahdollisuudet voivat tarjota
lisähyötyjä
Epävarmuuden
hallinta
Haitta(Riski)
Hyöty(Mahdollisuus)
Toden-
näköisyysVaikutus
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 8
Riskin määritelmä
Yleinen määritelmä:
Ei-toivotun seuraamuksen mahdollisuus – tai mikä tahansa
asia, joka liittyy tähän mahdollisuuteen
Riskiin liittyy aina kaksi keskeistä osaa:
Haitta: jokin tavoitteiden kannalta haitallinen seuraamus
Todennäköisyys: ei ole varmuutta riskin toteutumisesta
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 9
Riskin määritelmä
Tavoitteiden saavuttamiseen
liittyvä epävarmuus
Pääasiat:
Todennäköisyys: riskin
toteutumiseen liittyy
epävarmuus
Haitta: tavoitteiden kannalta
huono asia
Riski
Toden-
näköisyysHaitta
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 10
Riskienhallinnan tulee perustua
sidosryhmäanalyysiin
Sidosryhmät ja tarpeet
Riskin merkittävyyden arviointi perustuu
haitan arviointiin – se puolestaan
riippuu tavoitteista ja tavoitteiden
tärkeydestä kullekin osapuolelle:
Tavoitteet ja odotukset: haitan arviointi ei ole mahdollista ilman
tietoa tavoitteista
Sidosryhmä (osapuoli):
tavoitteet ja odotukset ovat erilaisia eri osapuolille
Riski
Toden-
näköisyysHaitta
Tavoite
Sidosryhmä
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 11
Tietoturvan riskienhallinnan
tavoitteet
Kontrolli Ehkäisevät toimenpiteet estävät tai
pienentävät riskien vaikutuksia
Vähemmän työtä toteutuneiden riskien haittojen korjaamiseksi
Luotettavampip ja ennustettavampi toiminta
Ennakointitieto Investointien teko
Toiminnan suunnittelu
Resurssien varaus
Voidaan tehdä tietoisia päätöksiä riskinotosta
Yhdenmukainen ymmärrys organisaation riskeistä
Riskeistä oppiminen: parantunut riskinottokyky
Parempi maine
Parempi luottamus
yritykseen
Tehokas tietoturva
Vähemmän kriisejä
Liikesalaisuuksien
arvo säilyy
Parempi ymmärrys
otettujen riskien
merkityksestä
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 12
Riskien hallinta
Riskien hallinta tarkoittaa systemaattista ja läpinäkyvää tapaa tunnistaa, analysoida ja kontrolloida riskejä ennen kuin ne tapahtuvat
Riskien hallinta tuottaa kaksi tulosta: Toimenpiteet, joilla vaikutetaan riskeihin
Tietoa riskeistä ja riskitasosta
Vain toimenpiteet pienentävät
riskejä!
Riskienhallinta-
prosessi
Ymmärrys riskeistä
Toimenpiteet
Tilannetieto
Menetelmät
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 13
TIETOTURVAN
LIIKETOIMINNALLISTEN
VAIKUTUSTEN ARVIOINTI
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 14
Tietoturvan sidosryhmät
Sidosryhmällä tarkoitetaan ihmistä tai organisaatiota joka
vaikuttaa projektiin tai johon projekti vaikuttaa
Sidosryhmiin voi kuulua esim.
Asiakkaat
Yritys
Osakkeenomistajat
Henkilökunta
Yhteistyökumppanit
Yhteiskunta
Sidosryhmien tietoturvatavoitteet tulee kartoittaa
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 15
Liiketoiminnallisten
vaikutusten arviointi
Vaihe 1: Sidosryhmät
Tunnista ja priorisoi
Vaihe 2: Tietoturvatarpeet
Tunnista tarpeet
Arvioi ne sekä liiketoiminnallisten että muiden vaikutusten kannalta
Priorisoi tarpeet sidosryhmittäin
Vaihe 3: Vaikutukset
Kuvaa tietoturvatarpeen merkitys kunkin sidosryhmän kannalta
Vaihe 4: Priorisoi
Arvioi kunkin sidosryhmän ja tarpeen merkitys liiketoiminnan kannalta
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 16
Sidosryhmäanalyysi: esimerkki
Asiakkaat Yritys KumppanitHenkilö-
kunta
Yhteis-
kunta
Luottamuksellisen
tiedon suojaus
Järjestelmien
toimivuus
Liikesalaisuuksien
suojaus
IT-resurssien
käytön suojaus
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 18
Yhteenveto
Sidosryhmien ja heidän tavoitteidensa priorisointi
auttaa riskien analyysissä
Tärkeysjärjestyksen ei tarvitse olla tarkka
Sidosryhmäanalyysi on tärkeä riskienhallinnan
lähtökohta
Osa modernia projektijohtamista
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 19
TIETOTURVAN
RISKIENHALLINNAN
KYVYKKYYS
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 20
Käytäntö
Amatöörimäinen riskienhallinta Käytössä ei ole menetelmiä, ohjeistusta tai työpohjia
Perustuu intuitioon, ei analyysiin
Riskienhallinnan tuloksia ei dokumentoida
Reagointia, ei ennakointia – riskit ratkotaan vasta niiden lauettua
Yleinen tapa toimia Ohjeita ja työpohjia on olemassa – mutta niitä ei käytetä systemaattisesti tai tehokkaasti
Riskilokit täytetään projektin alussa, mutta niitä ei ylläpidetä
Riskienhallintatoimenpiteet ovat prosessin pääkohdissa mukana vaatimuksni, mutta niitä noudatetaan
harvoin
Parhaiden yritysten käytännöt Yrityksellä on riskipolitiikka, joka kuvaa riskienhallinnan tavoitteet, vastuut ja keinot
Riskienhallinnan koulutusta tarjotaan henkilökunnalle
Johto keskustelee riskeistä ja seuraa niitä – riskit ovat johtoryhmän agendoilla
Riskienhalinnan menetelmät, ohjeistus ja työpohjat ovat olemassa, niitä käytetään ja niitä kehitetään
jatkuvasti
Aktiivista riskienhallintaa vaaditaan ja sitä tuetaan
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 21
Riskienhallinnan päävaiheet
Keskity
keskeisten
tehtävien
suorittamiseen
Tunnista
Arvioi
Kontrolloi
Seuraa
Potentiaaliset
uhat
Priorisoidut
riskitToimenpiteet
Uutta
informaatiota
Uudet uhat
Riittämätön
vaikutus
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 22
Riskien tunnistaminen
Riskien tunnistamisessa tulee
käyttää useita tekniikoita
Yhteistyö ja keskustelut
useiden ihmisten kanssa
parantavat osumatarkkuutta
Aivoriihitekniikat ja
tarkistuslistat ovat tehokkaita
apuvälineitä riskien
tunnistamisessa
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 23
Riskien ymmärtäminen
Riskit-menetelmän kuvaustekniikka
Riskit-menetelmän kuvaustekniikka
Jäsentää riskien kuvausta
Esittää riskin osien riippuvuudet visuaalisesti
Tukee kommunikaatiota ja analyysiä
Voidaan kuvata myös verbaalisesti
Reaction
Reaction
Factor
Risk factor
Event
Risk event
Effect set
Risk effects
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 24
Riskitekijä
(Risk Factor)
Asia (“fakta”), joka vaikuttaa jonkun riskitapahtuman
todennäköisyyteen tai olemassaoloon
Kuvaa tilannetta ja ympäristöä – esim. resursseja tai rajoitteita
Riskitekijään ei liity todennäköisyyttä
Tyypillisesti kuvaavat asioita, joiden takia tilanne on
riskipitoisempi kuin normaalisti Myös positiivisiä tekijöitä voidaan luetella riskitekijöinä
Factor
Risk factor
Tuotekehitysesimerkkejä Yleisiä esimerkkejä
Riskitekijä
• Henkilökunnan kokemattomuus
• Uuden teknologian käyttö
• Uusien menetelmien käyttö
• Alihankkijoiden käyttö
• Epäterveellinen ruokavalio
• Asuminen maanjäristysvyöhykkeellä
• Lumisade
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 25
Riskitapahtuma
(Risk Event)
Kuvaa ei-toivotun tapahtuman Erikoistapaus: käy ilmi, että aiemmat oletukset tai
suunnitelmat eivät pidä paikkaansa
Riskitapahtumalla on todennäköisyys – ei ole varmuutta siitä, tapahtuuko se vai ei
Useat riskitekijät voivat vaikuttaa tapahtumaan Voi myös vaikuttaa muihin riskeihin
Event
Risk event
Tuotekehitysesimerkkejä Yleisiä esimerkkejä
Riski-
tapahtuma
• Avainhenkilö irtisanoutuu
• Asennukset eivät ole valmiina ajoissa
• Alihankkijan toimitus myöhästyy
• Testiajot epäonnistuvat
• Sydänkohtaus
• Maanjäristys
• Autokolari
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 26
Riskireaktio (Risk
Reaction)
Kuvaa riskitapahtuman jälkeisen reaktion
Reaktiot vaikuttavat siihen, mikä on riskin laukeamisen lopullinen vaikutus tavoitteisiin
Reaction
Risk reaction
Tuotekehitysesimerkkejä Yleisiä esimerkkejä
Riski-
reaktio
• Konsulttien käyttö korvaamaan puuttuvia
resursseja
• Aikataulun suunnittelu uudelleen
• Ylityöt
• Hoito sairaalassa, leikkaus
• Rakennusten korjaus
• Auton hinaus korjaamoon
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 27
Riskivaikutukset
(Risk Effects)
Kuvaa riskin lopullista vaikutusta tavoitteisiin
Huomioiden reaktion vaikutuksen
Vaikutukset voidaan kuvata numeroina tai verbaalisesti
Effect set
Risk effect set
Tuotekehitysesimerkkejä Yleisiä esimerkkejä
Riski-
vaikutukset
• Budjetin ylitys 100 K€
• Kuukauden viivästys aikatauluun
• Asiakas huomattavan tyytymätön
• Menetetty työaika
• Kipu ja särky
• Korjauskustannukset
• Nousseet vakuutusmaksut
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 28
Risk Statements
Koska
<riskitekijät>
On mahdollista että
<riskitapahtuma>
Josta seuraa
<riskivaikutukset>
Factor
Event
Effect set
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 29
YHTEENVETO
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 30
Tietoturvan riskienhalinnan
haasteita
Tilastotietoa on vaikea saada
Varsinkin uusista uhista ei ole historiatietoa
Riskejä on vaikea kvantifioida
Esim. asiakkaan luottamuksen menetys tai mainevahinko
Uhkien epäsuoria vaikutuksia on vaikea arvioida
Epäsuoria vaikutuksia voi olla paljon
Ne voivat vaikuttaa muihin sidosryhmiin
Riskien arvioinnin tulokset vanhenevat nopeasti
Uudet teknologiat ja ympäristöt
Hakkereiden uudet toimintatavat
GAO, 1999
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 31
Menestystekijät
1. Hanki johdun ymmärrys ja tuki
2. Keskity olennaiseen
3. Määritä selkeät menetelmät ja toimintatavat
4. Osallistuta sekä teknisiä asiantuntijoita, johtoa että
käyttäjiä
5. Anna vastuu liiketoimintayksiköille
6. Pidä kunkin vaiheen fokus rajattuna Tarvittaessa myös analysoi alue pala kerrallaan
7. Dokumentoi tulokset ja toista prosessi riittävän useinGAO, 1999
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 32
Yhteenveto
Tietoturvariskien hallinta tulee olla
systemaattista ja läpinäkyvää
Sidosryhmien ja tarpeiden tunnistaminen
auttaa tunnistamaan tehokkaita toimenpiteitä
Riskien tunnistaminen ja analyysi täytyy
tehdä riittävän usein