kimmo rousku: laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta
DESCRIPTION
Valtiokonttori Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Apulaisjohtaja Kimmo Rousku, Valtion tieto- ja viestintätekniikkakeskus Valtori Valtio Expo 20.5.2014TRANSCRIPT
Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Kimmo Rousku
Apulaisjohtaja
Esityksessäni
• Hallitseeko organisaatio riskejä vai meneekö työ tulipalojen sammutteluun? • Riskit pääsevät laukeamaan
• Miksi tietoturvallisuus koetaan niin hankalaksi? • Todennäköisesti tietoja yliluokitellaan ja tämän takia on toteutettu liian
tiukat suojakontrollit
• Miksi erilaiset ict-toiminnan häiriöt aiheuttavat meille niin paljon ongelmia? • Tiedetäänkö, mikä on organisaation toiminnassa oikeasti kriittistä?
• Mistä organisaatiosi tietää, missä näissä osa-alueissa mennään ja mikä on tilanne? • Raportointi ja erilaiset auditoinnit
=> Uudenlainen laadun kaava
20.5.2014 Valtori – Kimo Rousku –
Lähtötilanne
Riskit ja myös mahdollisuudet
Tiedon turvaaminen
Jatkuvuuden takaaminen
Säännöllinen seuranta
Laatu
20.5.2014 Valtori – Kimo Rousku –
Riskienhallinta
• Kuinka moni aamulla kotoa lähtiessään jätti ulko-oven sulkematta, kahvinkeittimen päälle ja vesihanan juoksemaan?
• Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sekä suojautumaan järkevästi eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia riskejä vastaan esimerkiksi
• Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit
sen on pitänyt tunnistaa ja arvioida, päättää riskienhallintakeinot ja mahdollinen varautuminen vahinkoihin sekä huolehtia prosessin jatkuvasta seurannasta.
20.5.2014 Valtori – Kimo Rousku –
Riskienhallinta
Riskienhallintapolitiikka • Riskienhallinnan tavoitteet
• Riskien tunnistaminen ja arviointi • Riskien käsittely
• Toimenpiteistä päättäminen ja näiden toimenpiteiden toteuttaminen • Toteutumisen seuranta
Jatk
uva
para
ntam
inen
Vies
tintä
, seu
rana
ja v
alvo
nta
20.5.2014 Valtori – Kimo Rousku –
Strateginen
taso
Taktinen taso
Operatiivinen taso
Organisaation eri tasoilla toteutetaan riskienhallintaa eri näkökulmista. Esimerkiksi tietoturvallisuuden osalta riskienhallinta pitää viedä osaksi myös palveluiden tietoturvallisuuden vuosikelloa
20.5.2014 Valtori – Kimo Rousku –
Riskienhallinta
• Riskienhallintakokonaisuudessa tärkeintä ei ole alkuvaiheessa keskittyminen itse menetelmään tai käytettävään työvälineeseen vaan se, että prosessi saadaan organisaatiossa toimintaan. • Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden
organisaatiolle tunnistaa sen toimintaa, suorituskykyä kehittäviä ja parantavia mahdollisuuksia
⇒ riskien- ja mahdollisuuksienhallinta • Pienennetään tavoitteiden saavuttamista ja toimintaa uhkaavia riskejä sekä
samalla etsitään mahdollisuuksia parantaa organisaation suorituskykyä ja toimintaa
20.5.2014 Valtori – Kimo Rousku –
Riskienhallinta
•Miten? • organisaation johto hyväksyy riskienhallintapolitiikan / linjauksen, joka toteutetaan ja jalkautetaan läpi koko organisaation
20.5.2014 Valtori – Kimo Rousku –
Tiedon turvaaminen
• Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen
Luottamuk-sellisuus Eheys Saatavuus
Eheys Saatavuus
Eheys Saatavuus
Nämä kolme tietoturvallisuuden osa-aluetta voivat olla tasa- painossa, tosin hyvin harvoin
Julkisen tiedon osalta eheys ja saatavuus voivat olla tärkeässä roolissa
Etenkin erilaisten kriittisten viestintä- ja tiedotuspalveluiden osalta 24/7/365 saatavuus saattaa olla tärkein vaatimus
20.5.2014 Valtori – Kimo Rousku –
Muista! Tiedon turvaaminen, ei holvaaminen tai halvaannutta-minen
Tiedon turvaaminen
• Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen organisaation pitää luokitella suojattavat kohteet – perus | korotettu | korkea taso. Luokittelussa pitää huomioida tiedon luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvät vaatimukset.
• Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen • Jos kohteeseen liittyvää tietoa yliluokitellaan, kohdistettavat
suojausmenetelmät (kontrollit) maksavat liikaa
• Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana tietovuoto), eheys (tietoja saatetaan päästä muuttamaan hallitsemattomasti) tai saatavuus (kriittinen palvelu ei ole käytettävissä silloin kun on tarve)
20.5.2014 Valtori – Kimo Rousku –
Tiedon turvaaminen
•Miten? • tietoturvallisuusasetuksen mukaisesti suojattavat kohteet luokitellaan sekä täytetään tietoturvallisuusasetuksen mukaiset vaatimukset
20.5.2014 Valtori – Kimo Rousku –
Jatkuvuuden takaaminen
• ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista.
• Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lisää rahaa
• Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (SLA). Jos palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä.
Häiriötiedote Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ
ei ole toiminnassa.
Ilmoitamme lisätietoja kahden tunnin kuluttua, mikäli häiriötä ei saada ennen sitä korjattua.
20.5.2014 Valtori – Kimo Rousku –
Jatkuvuuden takaaminen
• Häiriötilanne – tilanne korjaantuu pikku hiljaa, kun sitä aletaan korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole palvelutasosopimusta?
• Häiriötilanne – koska kyseessä on kriittinen palvelu, saadaan a) häiriö havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman merkittävää vaikutusta toimintaan
20.5.2014 Valtori – Kimo Rousku –
Jatkuvuuden takaaminen
• Miten? • organisaatio on luokitellut kohteet (toiminto | prosessi | ICT-järjestelmä) kriittisyyden mukaan ja edellyttänyt sen tuottamisessa tarvittavia varautumiseen liittyvä vaatimuksia sekä käytössä on kriittisyyden mukainen palvelutaso. Nämä molemmat koskevat sekä itse tuotettuja tai ulkoistettuja palveluita.
20.5.2014 Valtori – Kimo Rousku –
Säännöllinen seuranta
• Kaikki edellä oleva edellyttää seurantaa, joka koostuu esimerkiksi säännöllisestä raportoinnista ja vaatimustenmukaisuuden täyttymisen arvioinnista eli auditoinneista. Muutama esimerkki:
• Riskienhallinta • Mistä tietää että tämä ei toimi? Samat riskit pysyvät korkeina jopa vuodesta
toiseen – tehtyjä toimenpiteiden mukaisia päätöksiä pitää valvoa ja seurata, että ne toteutetaan, jolloin niiden riskiarvon tulisi pienentyä – ja uusia nousta tilalle
• Tiedon turvaaminen • Onko organisaation toiminnot | prosessit | tietojärjestelmät luokiteltu sekä
tietoturvallisuuden että jatkuvuuden osalta perus | korotettu | korkea sekä tämän ja asiakastarpeen perusteella luotu kohteen kriittisyydestä luokitus? Kun kriittisyys tiedetään, voidaan myös kohteeseen liittyvät sekä toimittaja että asiakasraportointi suhteuttaa kohteen tärkeyden mukaisesti
20.5.2014 Valtori – Kimo Rousku –
Säännöllinen seuranta
• Jatkuvuuden takaaminen
• Palvelutasoa on seurattava! Kun jotain on tapahtunut (häiriö tai ongelma) ja siitä saadaan raportti niin samalla pitää selvittää keinot, millä saman häiriön toistuminen voidaan välttää
• Auditoinnit => vaatimustenmukaisuuden todentaminen
• Mitä kriittisemmästä kohteesta on kyse, sitä tärkeämpää on arvioida kohteen vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina.
• Auditoinnin tilaaja määrittää, mitkä ovat ne vaatimukset, joita toteutumista arvioinnissa tullaan tarkastelemaan.
• Valtaosan edellä kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja jatkuvuuden hallinnan osalta täyttämällä valtionhallinnon tietoturvatasojen (VAHTI 2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla.
20.5.2014 Valtori – Kimo Rousku –
Laadun kaava - kertaus
• Seuranta ja raportointi
Riskienhallinta Tiedon turvaaminen
Jatkuvuuden takaaminen
Saavutetaan tavoitteet ja
hallitaan toimintaa uhkaavia
kriittisiä riskejä
Salassa pidettävät tiedot eivät
vuoda, tiedot säilyvät eheinä
ja ovat saatavilla niitä
tarvitseville henkilöille
Häiriö saadaan hallintaan
sovitun mukaisesti
ilman että se uhkaa
toimintaa
Vuosikello, auditoinnit, raportointi
20.5.2014 Valtori – Kimo Rousku –
Toteutetaan samalla tieto- ja yksityisyydensuojaa !
Valtorin tietoturvallisuuden asiantuntijapalvelut
• Tarvitsetko apua riskienhallintaan, tietoturvallisuuden tai jatkuvuuden hallinnan kehittämiseen tai onko organisaatiollasi tarvetta tehdä ulkopuolisen tahon tekemä auditointi?
• Käytössämme on omien asiantuntijoiden ohella >100 alihankkijamme turvallisuusselvitettyä, vaitiolositoumuksen allekirjoittanutta konsulttia
• Ota yhteys Valtorin asiakasvastaaviin tai [email protected] saadaksesi lisätietoa!
20.5.2014 Valtori – Kimo Rousku –
Kiitos!
TULOSSA: Valtorin asiakaspäivä 31.10.2014 Helsingissä Merkitse päivä jo kalenteriisi! Tervetuloa! Apulaisjohtaja Kimmo Rousku
Valtion tieto- ja viestintätekniikkakeskus Valtori
20.5.2014 Valtori – Kimo Rousku –