Soumettre la recherche
Mettre en ligne
Tietoturva ja bisnes
•
0 j'aime
•
637 vues
Jyrki Kontio
Suivre
Keynote-puheenvuoro TIETOTURVA 2011-tapahtumassa 1.12.2010
Lire moins
Lire la suite
Signaler
Partager
Signaler
Partager
1 sur 31
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
japijapi
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3
Nixu Corporation
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom Turva
Kimmo Vesajoki
Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13
japijapi
Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisesta
japijapi
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
japijapi
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
japijapi
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuus
Nixu Corporation
Recommandé
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
japijapi
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3
Nixu Corporation
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom Turva
Kimmo Vesajoki
Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13
japijapi
Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisesta
japijapi
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
japijapi
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
japijapi
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuus
Nixu Corporation
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Kiwa Inspecta Suomi
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Sinikka Pennanen
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes
Kasvun mahdollisuudet
Kasvun mahdollisuudet
Sitra / Hyvinvointi
Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
Tomppa Järvinen
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
japijapi
26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, Lappeenranta
Työterveyslaitos
26.5.2016 Riskienarviointi
26.5.2016 Riskienarviointi
Työterveyslaitos
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
Pete Nieminen
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
Nordnet Suomi
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
Työterveyslaitos
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Kiwa Inspecta Suomi
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
japijapi
Yhteiskuntavastuu Nordeassa
Yhteiskuntavastuu Nordeassa
Nordea Bank
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Sovelto
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus!
TimoAro
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Teemu Tiainen
Verkkopalvelun tietoturva
Verkkopalvelun tietoturva
2NS
Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?
Petri Hakanen
Contenu connexe
Similaire à Tietoturva ja bisnes
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Kiwa Inspecta Suomi
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Sinikka Pennanen
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes
Kasvun mahdollisuudet
Kasvun mahdollisuudet
Sitra / Hyvinvointi
Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
Tomppa Järvinen
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
japijapi
26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, Lappeenranta
Työterveyslaitos
26.5.2016 Riskienarviointi
26.5.2016 Riskienarviointi
Työterveyslaitos
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
Pete Nieminen
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
Nordnet Suomi
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
Työterveyslaitos
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Kiwa Inspecta Suomi
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
japijapi
Yhteiskuntavastuu Nordeassa
Yhteiskuntavastuu Nordeassa
Nordea Bank
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Sovelto
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus!
TimoAro
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Teemu Tiainen
Verkkopalvelun tietoturva
Verkkopalvelun tietoturva
2NS
Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?
Petri Hakanen
Similaire à Tietoturva ja bisnes
(20)
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Kasvun mahdollisuudet
Kasvun mahdollisuudet
Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Riskienarviointi
26.5.2016 Riskienarviointi
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
Yhteiskuntavastuu Nordeassa
Yhteiskuntavastuu Nordeassa
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus!
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Verkkopalvelun tietoturva
Verkkopalvelun tietoturva
Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?
Tietoturva ja bisnes
1.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 1 Tietoturvariskit ja bisnes Jyrki Kontio, Ph.D. www.jyrkikontio.fi www.rdware.com © Copyright Jyrki Kontio, 2010 Information about the use and licensing of this material: http://creativecommons.org/licenses/by-nc-nd/3.0/
2.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 2 Jyrki Kontio, Ph.D. Founding partner at R & D-Ware Oy, http://www.rdware.com Risk mgmt consulting and training Software engineering consulting Technical due diligence Process management and improvement Professor of Software Business @ Helsinki University of Technology, 2002 - 07 Acting (part-time) professor of Software Engineering at Helsinki University of Technology (1997-2000) Nokia, 1986 – 2002 Knowledge-based systems research and consulting at Research Center Manager of the software engineering research group at Research Center Quality manager at a business unit Senior manager at Nokia Networks: process management Principal Scientist at Nokia Research Center, software capability Other experience Senior researcher at University of Maryland in prof. Basili’s research group (1994-96) Software development and management in software houses and corporations (1982-1986) Contact information Email: jyrki.kontio@iki.fi, http://www.jyrkikontio.fi/ Tel: +358 40 8232 800
3.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 3 Pääkohdat Liiketoiminnallisten vaikutusten arviointi Mikä on organisaatiolle oikea tietoturvariskienhallinnan taso ja miten se rakennetaan? Miten tietoturvariskejä voi tunnistaa ja priorisoida liiketoiminnan näkökulmasta?
4.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 4 Mitä riski tarkoittaa?
5.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 5 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company”
6.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 6 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company” Risk factor: something that influences risks Risk event: occurrence of the risk Risk effects: effects of risk Risk outcome: consequence of an event Risk probability:
7.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 7 Riskit ja mahdollisuudet Epävarmuuteen liittyy sekä haittoja että hyötyjä Riskit Mahdollisuudet Tietoturvariskien hallinnassa haitat pääkohde Mahdollisuudet voivat tarjota lisähyötyjä Epävarmuuden hallinta Haitta (Riski) Hyöty (Mahdollisuus) Toden- näköisyys Vaikutus
8.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 8 Riskin määritelmä Yleinen määritelmä: Ei-toivotun seuraamuksen mahdollisuus – tai mikä tahansa asia, joka liittyy tähän mahdollisuuteen Riskiin liittyy aina kaksi keskeistä osaa: Haitta: jokin tavoitteiden kannalta haitallinen seuraamus Todennäköisyys: ei ole varmuutta riskin toteutumisesta
9.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 9 Riskin määritelmä Tavoitteiden saavuttamiseen liittyvä epävarmuus Pääasiat: Todennäköisyys: riskin toteutumiseen liittyy epävarmuus Haitta: tavoitteiden kannalta huono asia Riski Toden- näköisyys Haitta
10.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 10 Riskienhallinnan tulee perustua sidosryhmäanalyysiin Sidosryhmät ja tarpeet Riskin merkittävyyden arviointi perustuu haitan arviointiin – se puolestaan riippuu tavoitteista ja tavoitteiden tärkeydestä kullekin osapuolelle: Tavoitteet ja odotukset: haitan arviointi ei ole mahdollista ilman tietoa tavoitteista Sidosryhmä (osapuoli): tavoitteet ja odotukset ovat erilaisia eri osapuolille Riski Toden- näköisyys Haitta Tavoite Sidosryhmä
11.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 11 Tietoturvan riskienhallinnan tavoitteet Kontrolli Ehkäisevät toimenpiteet estävät tai pienentävät riskien vaikutuksia Vähemmän työtä toteutuneiden riskien haittojen korjaamiseksi Luotettavampip ja ennustettavampi toiminta Ennakointitieto Investointien teko Toiminnan suunnittelu Resurssien varaus Voidaan tehdä tietoisia päätöksiä riskinotosta Yhdenmukainen ymmärrys organisaation riskeistä Riskeistä oppiminen: parantunut riskinottokyky Parempi maine Parempi luottamus yritykseen Tehokas tietoturva Vähemmän kriisejä Liikesalaisuuksien arvo säilyy Parempi ymmärrys otettujen riskien merkityksestä
12.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 12 Riskien hallinta Riskien hallinta tarkoittaa systemaattista ja läpinäkyvää tapaa tunnistaa, analysoida ja kontrolloida riskejä ennen kuin ne tapahtuvat Riskien hallinta tuottaa kaksi tulosta: Toimenpiteet, joilla vaikutetaan riskeihin Tietoa riskeistä ja riskitasosta Vain toimenpiteet pienentävät riskejä! Riskienhallinta- prosessi Ymmärrys riskeistä Toimenpiteet Tilannetieto Menetelmät
13.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 13 TIETOTURVAN LIIKETOIMINNALLISTEN VAIKUTUSTEN ARVIOINTI
14.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 14 Tietoturvan sidosryhmät Sidosryhmällä tarkoitetaan ihmistä tai organisaatiota joka vaikuttaa projektiin tai johon projekti vaikuttaa Sidosryhmiin voi kuulua esim. Asiakkaat Yritys Osakkeenomistajat Henkilökunta Yhteistyökumppanit Yhteiskunta Sidosryhmien tietoturvatavoitteet tulee kartoittaa
15.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 15 Liiketoiminnallisten vaikutusten arviointi Vaihe 1: Sidosryhmät Tunnista ja priorisoi Vaihe 2: Tietoturvatarpeet Tunnista tarpeet Arvioi ne sekä liiketoiminnallisten että muiden vaikutusten kannalta Priorisoi tarpeet sidosryhmittäin Vaihe 3: Vaikutukset Kuvaa tietoturvatarpeen merkitys kunkin sidosryhmän kannalta Vaihe 4: Priorisoi Arvioi kunkin sidosryhmän ja tarpeen merkitys liiketoiminnan kannalta
16.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 16 Sidosryhmäanalyysi: esimerkki Asiakkaat Yritys Kumppanit Henkilö- kunta Yhteis- kunta Luottamuksellisen tiedon suojaus Järjestelmien toimivuus Liikesalaisuuksien suojaus IT-resurssien käytön suojaus
17.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 18 Yhteenveto Sidosryhmien ja heidän tavoitteidensa priorisointi auttaa riskien analyysissä Tärkeysjärjestyksen ei tarvitse olla tarkka Sidosryhmäanalyysi on tärkeä riskienhallinnan lähtökohta Osa modernia projektijohtamista
18.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 19 TIETOTURVAN RISKIENHALLINNAN KYVYKKYYS
19.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 20 Käytäntö Amatöörimäinen riskienhallinta Käytössä ei ole menetelmiä, ohjeistusta tai työpohjia Perustuu intuitioon, ei analyysiin Riskienhallinnan tuloksia ei dokumentoida Reagointia, ei ennakointia – riskit ratkotaan vasta niiden lauettua Yleinen tapa toimia Ohjeita ja työpohjia on olemassa – mutta niitä ei käytetä systemaattisesti tai tehokkaasti Riskilokit täytetään projektin alussa, mutta niitä ei ylläpidetä Riskienhallintatoimenpiteet ovat prosessin pääkohdissa mukana vaatimuksni, mutta niitä noudatetaan harvoin Parhaiden yritysten käytännöt Yrityksellä on riskipolitiikka, joka kuvaa riskienhallinnan tavoitteet, vastuut ja keinot Riskienhallinnan koulutusta tarjotaan henkilökunnalle Johto keskustelee riskeistä ja seuraa niitä – riskit ovat johtoryhmän agendoilla Riskienhalinnan menetelmät, ohjeistus ja työpohjat ovat olemassa, niitä käytetään ja niitä kehitetään jatkuvasti Aktiivista riskienhallintaa vaaditaan ja sitä tuetaan
20.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 21 Riskienhallinnan päävaiheet Keskity keskeisten tehtävien suorittamiseen Tunnista Arvioi Kontrolloi Seuraa Potentiaaliset uhat Priorisoidut riskit Toimenpiteet Uutta informaatiota Uudet uhat Riittämätön vaikutus
21.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 22 Riskien tunnistaminen Riskien tunnistamisessa tulee käyttää useita tekniikoita Yhteistyö ja keskustelut useiden ihmisten kanssa parantavat osumatarkkuutta Aivoriihitekniikat ja tarkistuslistat ovat tehokkaita apuvälineitä riskien tunnistamisessa
22.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 23 Riskien ymmärtäminen Riskit-menetelmän kuvaustekniikka Riskit-menetelmän kuvaustekniikka Jäsentää riskien kuvausta Esittää riskin osien riippuvuudet visuaalisesti Tukee kommunikaatiota ja analyysiä Voidaan kuvata myös verbaalisesti Reaction Reaction Factor Risk factor Event Risk event Effect set Risk effects
23.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 24 Riskitekijä (Risk Factor) Asia (“fakta”), joka vaikuttaa jonkun riskitapahtuman todennäköisyyteen tai olemassaoloon Kuvaa tilannetta ja ympäristöä – esim. resursseja tai rajoitteita Riskitekijään ei liity todennäköisyyttä Tyypillisesti kuvaavat asioita, joiden takia tilanne on riskipitoisempi kuin normaalisti Myös positiivisiä tekijöitä voidaan luetella riskitekijöinä Factor Risk factor Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riskitekijä • Henkilökunnan kokemattomuus • Uuden teknologian käyttö • Uusien menetelmien käyttö • Alihankkijoiden käyttö • Epäterveellinen ruokavalio • Asuminen maanjäristysvyöhykkeellä • Lumisade
24.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 25 Riskitapahtuma (Risk Event) Kuvaa ei-toivotun tapahtuman Erikoistapaus: käy ilmi, että aiemmat oletukset tai suunnitelmat eivät pidä paikkaansa Riskitapahtumalla on todennäköisyys – ei ole varmuutta siitä, tapahtuuko se vai ei Useat riskitekijät voivat vaikuttaa tapahtumaan Voi myös vaikuttaa muihin riskeihin Event Risk event Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- tapahtuma • Avainhenkilö irtisanoutuu • Asennukset eivät ole valmiina ajoissa • Alihankkijan toimitus myöhästyy • Testiajot epäonnistuvat • Sydänkohtaus • Maanjäristys • Autokolari
25.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 26 Riskireaktio (Risk Reaction) Kuvaa riskitapahtuman jälkeisen reaktion Reaktiot vaikuttavat siihen, mikä on riskin laukeamisen lopullinen vaikutus tavoitteisiin Reaction Risk reaction Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- reaktio • Konsulttien käyttö korvaamaan puuttuvia resursseja • Aikataulun suunnittelu uudelleen • Ylityöt • Hoito sairaalassa, leikkaus • Rakennusten korjaus • Auton hinaus korjaamoon
26.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 27 Riskivaikutukset (Risk Effects) Kuvaa riskin lopullista vaikutusta tavoitteisiin Huomioiden reaktion vaikutuksen Vaikutukset voidaan kuvata numeroina tai verbaalisesti Effect set Risk effect set Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- vaikutukset • Budjetin ylitys 100 K€ • Kuukauden viivästys aikatauluun • Asiakas huomattavan tyytymätön • Menetetty työaika • Kipu ja särky • Korjauskustannukset • Nousseet vakuutusmaksut
27.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 28 Risk Statements Koska <riskitekijät> On mahdollista että <riskitapahtuma> Josta seuraa <riskivaikutukset> Factor Event Effect set
28.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 29 YHTEENVETO
29.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 30 Tietoturvan riskienhalinnan haasteita Tilastotietoa on vaikea saada Varsinkin uusista uhista ei ole historiatietoa Riskejä on vaikea kvantifioida Esim. asiakkaan luottamuksen menetys tai mainevahinko Uhkien epäsuoria vaikutuksia on vaikea arvioida Epäsuoria vaikutuksia voi olla paljon Ne voivat vaikuttaa muihin sidosryhmiin Riskien arvioinnin tulokset vanhenevat nopeasti Uudet teknologiat ja ympäristöt Hakkereiden uudet toimintatavat GAO, 1999
30.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 31 Menestystekijät 1. Hanki johdun ymmärrys ja tuki 2. Keskity olennaiseen 3. Määritä selkeät menetelmät ja toimintatavat 4. Osallistuta sekä teknisiä asiantuntijoita, johtoa että käyttäjiä 5. Anna vastuu liiketoimintayksiköille 6. Pidä kunkin vaiheen fokus rajattuna Tarvittaessa myös analysoi alue pala kerrallaan 7. Dokumentoi tulokset ja toista prosessi riittävän useinGAO, 1999
31.
© Jyrki Kontio,
R & D-Ware Oy 26/11/2010 32 Yhteenveto Tietoturvariskien hallinta tulee olla systemaattista ja läpinäkyvää Sidosryhmien ja tarpeiden tunnistaminen auttaa tunnistamaan tehokkaita toimenpiteitä Riskien tunnistaminen ja analyysi täytyy tehdä riittävän usein
Télécharger maintenant