SlideShare une entreprise Scribd logo

Tietoturva ja bisnes

Jyrki Kontio
Jyrki Kontio

Keynote-puheenvuoro TIETOTURVA 2011-tapahtumassa 1.12.2010

1  sur  31
Télécharger pour lire hors ligne
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 1 Tietoturvariskit ja bisnes Jyrki Kontio, Ph.D. www.jyrkikontio.fi www.rdware.com © Copyright Jyrki Kontio, 2010 Information about the use and licensing of this material: http://creativecommons.org/licenses/by-nc-nd/3.0/
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 2 Jyrki Kontio, Ph.D.  Founding partner at R & D-Ware Oy, http://www.rdware.com  Risk mgmt consulting and training  Software engineering consulting  Technical due diligence  Process management and improvement  Professor of Software Business @ Helsinki University of Technology, 2002 - 07  Acting (part-time) professor of Software Engineering at Helsinki University of Technology (1997-2000)  Nokia, 1986 – 2002  Knowledge-based systems research and consulting at Research Center  Manager of the software engineering research group at Research Center  Quality manager at a business unit  Senior manager at Nokia Networks: process management  Principal Scientist at Nokia Research Center, software capability  Other experience  Senior researcher at University of Maryland in prof. Basili’s research group (1994-96)  Software development and management in software houses and corporations (1982-1986)  Contact information  Email: jyrki.kontio@iki.fi, http://www.jyrkikontio.fi/  Tel: +358 40 8232 800
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 3 Pääkohdat  Liiketoiminnallisten vaikutusten arviointi  Mikä on organisaatiolle oikea tietoturvariskienhallinnan taso ja miten se rakennetaan?  Miten tietoturvariskejä voi tunnistaa ja priorisoida liiketoiminnan näkökulmasta?
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 4 Mitä riski tarkoittaa?
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 5 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company”
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 6 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company” Risk factor: something that influences risks Risk event: occurrence of the risk Risk effects: effects of risk Risk outcome: consequence of an event Risk probability:
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 7 Riskit ja mahdollisuudet  Epävarmuuteen liittyy sekä haittoja että hyötyjä  Riskit  Mahdollisuudet  Tietoturvariskien hallinnassa haitat pääkohde  Mahdollisuudet voivat tarjota lisähyötyjä Epävarmuuden hallinta Haitta (Riski) Hyöty (Mahdollisuus) Toden- näköisyys Vaikutus
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 8 Riskin määritelmä  Yleinen määritelmä:  Ei-toivotun seuraamuksen mahdollisuus – tai mikä tahansa asia, joka liittyy tähän mahdollisuuteen  Riskiin liittyy aina kaksi keskeistä osaa:  Haitta: jokin tavoitteiden kannalta haitallinen seuraamus  Todennäköisyys: ei ole varmuutta riskin toteutumisesta
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 9 Riskin määritelmä  Tavoitteiden saavuttamiseen liittyvä epävarmuus  Pääasiat:  Todennäköisyys: riskin toteutumiseen liittyy epävarmuus  Haitta: tavoitteiden kannalta huono asia Riski Toden- näköisyys Haitta
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 10 Riskienhallinnan tulee perustua sidosryhmäanalyysiin Sidosryhmät ja tarpeet  Riskin merkittävyyden arviointi perustuu haitan arviointiin – se puolestaan riippuu tavoitteista ja tavoitteiden tärkeydestä kullekin osapuolelle:  Tavoitteet ja odotukset: haitan arviointi ei ole mahdollista ilman tietoa tavoitteista  Sidosryhmä (osapuoli): tavoitteet ja odotukset ovat erilaisia eri osapuolille Riski Toden- näköisyys Haitta Tavoite Sidosryhmä
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 11 Tietoturvan riskienhallinnan tavoitteet  Kontrolli  Ehkäisevät toimenpiteet estävät tai pienentävät riskien vaikutuksia  Vähemmän työtä toteutuneiden riskien haittojen korjaamiseksi  Luotettavampip ja ennustettavampi toiminta  Ennakointitieto  Investointien teko  Toiminnan suunnittelu  Resurssien varaus  Voidaan tehdä tietoisia päätöksiä riskinotosta  Yhdenmukainen ymmärrys organisaation riskeistä  Riskeistä oppiminen: parantunut riskinottokyky  Parempi maine  Parempi luottamus yritykseen  Tehokas tietoturva  Vähemmän kriisejä  Liikesalaisuuksien arvo säilyy  Parempi ymmärrys otettujen riskien merkityksestä
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 12 Riskien hallinta  Riskien hallinta tarkoittaa systemaattista ja läpinäkyvää tapaa tunnistaa, analysoida ja kontrolloida riskejä ennen kuin ne tapahtuvat  Riskien hallinta tuottaa kaksi tulosta:  Toimenpiteet, joilla vaikutetaan riskeihin  Tietoa riskeistä ja riskitasosta  Vain toimenpiteet pienentävät riskejä! Riskienhallinta- prosessi Ymmärrys riskeistä Toimenpiteet Tilannetieto Menetelmät
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 13 TIETOTURVAN LIIKETOIMINNALLISTEN VAIKUTUSTEN ARVIOINTI
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 14 Tietoturvan sidosryhmät  Sidosryhmällä tarkoitetaan ihmistä tai organisaatiota joka vaikuttaa projektiin tai johon projekti vaikuttaa  Sidosryhmiin voi kuulua esim.  Asiakkaat  Yritys  Osakkeenomistajat  Henkilökunta  Yhteistyökumppanit  Yhteiskunta  Sidosryhmien tietoturvatavoitteet tulee kartoittaa
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 15 Liiketoiminnallisten vaikutusten arviointi  Vaihe 1: Sidosryhmät  Tunnista ja priorisoi  Vaihe 2: Tietoturvatarpeet  Tunnista tarpeet  Arvioi ne sekä liiketoiminnallisten että muiden vaikutusten kannalta  Priorisoi tarpeet sidosryhmittäin  Vaihe 3: Vaikutukset  Kuvaa tietoturvatarpeen merkitys kunkin sidosryhmän kannalta  Vaihe 4: Priorisoi  Arvioi kunkin sidosryhmän ja tarpeen merkitys liiketoiminnan kannalta
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 16 Sidosryhmäanalyysi: esimerkki Asiakkaat Yritys Kumppanit Henkilö- kunta Yhteis- kunta Luottamuksellisen tiedon suojaus Järjestelmien toimivuus Liikesalaisuuksien suojaus IT-resurssien käytön suojaus
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 18 Yhteenveto  Sidosryhmien ja heidän tavoitteidensa priorisointi auttaa riskien analyysissä  Tärkeysjärjestyksen ei tarvitse olla tarkka  Sidosryhmäanalyysi on tärkeä riskienhallinnan lähtökohta  Osa modernia projektijohtamista
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 19 TIETOTURVAN RISKIENHALLINNAN KYVYKKYYS
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 20 Käytäntö  Amatöörimäinen riskienhallinta  Käytössä ei ole menetelmiä, ohjeistusta tai työpohjia  Perustuu intuitioon, ei analyysiin  Riskienhallinnan tuloksia ei dokumentoida  Reagointia, ei ennakointia – riskit ratkotaan vasta niiden lauettua  Yleinen tapa toimia  Ohjeita ja työpohjia on olemassa – mutta niitä ei käytetä systemaattisesti tai tehokkaasti  Riskilokit täytetään projektin alussa, mutta niitä ei ylläpidetä  Riskienhallintatoimenpiteet ovat prosessin pääkohdissa mukana vaatimuksni, mutta niitä noudatetaan harvoin  Parhaiden yritysten käytännöt  Yrityksellä on riskipolitiikka, joka kuvaa riskienhallinnan tavoitteet, vastuut ja keinot  Riskienhallinnan koulutusta tarjotaan henkilökunnalle  Johto keskustelee riskeistä ja seuraa niitä – riskit ovat johtoryhmän agendoilla  Riskienhalinnan menetelmät, ohjeistus ja työpohjat ovat olemassa, niitä käytetään ja niitä kehitetään jatkuvasti  Aktiivista riskienhallintaa vaaditaan ja sitä tuetaan
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 21 Riskienhallinnan päävaiheet Keskity keskeisten tehtävien suorittamiseen Tunnista Arvioi Kontrolloi Seuraa Potentiaaliset uhat Priorisoidut riskit Toimenpiteet Uutta informaatiota Uudet uhat Riittämätön vaikutus
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 22 Riskien tunnistaminen  Riskien tunnistamisessa tulee käyttää useita tekniikoita  Yhteistyö ja keskustelut useiden ihmisten kanssa parantavat osumatarkkuutta  Aivoriihitekniikat ja tarkistuslistat ovat tehokkaita apuvälineitä riskien tunnistamisessa
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 23 Riskien ymmärtäminen Riskit-menetelmän kuvaustekniikka Riskit-menetelmän kuvaustekniikka  Jäsentää riskien kuvausta  Esittää riskin osien riippuvuudet visuaalisesti  Tukee kommunikaatiota ja analyysiä  Voidaan kuvata myös verbaalisesti Reaction Reaction Factor Risk factor Event Risk event Effect set Risk effects
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 24 Riskitekijä (Risk Factor)  Asia (“fakta”), joka vaikuttaa jonkun riskitapahtuman todennäköisyyteen tai olemassaoloon  Kuvaa tilannetta ja ympäristöä – esim. resursseja tai rajoitteita  Riskitekijään ei liity todennäköisyyttä  Tyypillisesti kuvaavat asioita, joiden takia tilanne on riskipitoisempi kuin normaalisti  Myös positiivisiä tekijöitä voidaan luetella riskitekijöinä Factor Risk factor Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riskitekijä • Henkilökunnan kokemattomuus • Uuden teknologian käyttö • Uusien menetelmien käyttö • Alihankkijoiden käyttö • Epäterveellinen ruokavalio • Asuminen maanjäristysvyöhykkeellä • Lumisade
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 25 Riskitapahtuma (Risk Event)  Kuvaa ei-toivotun tapahtuman  Erikoistapaus: käy ilmi, että aiemmat oletukset tai suunnitelmat eivät pidä paikkaansa  Riskitapahtumalla on todennäköisyys – ei ole varmuutta siitä, tapahtuuko se vai ei  Useat riskitekijät voivat vaikuttaa tapahtumaan  Voi myös vaikuttaa muihin riskeihin Event Risk event Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- tapahtuma • Avainhenkilö irtisanoutuu • Asennukset eivät ole valmiina ajoissa • Alihankkijan toimitus myöhästyy • Testiajot epäonnistuvat • Sydänkohtaus • Maanjäristys • Autokolari
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 26 Riskireaktio (Risk Reaction)  Kuvaa riskitapahtuman jälkeisen reaktion  Reaktiot vaikuttavat siihen, mikä on riskin laukeamisen lopullinen vaikutus tavoitteisiin Reaction Risk reaction Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- reaktio • Konsulttien käyttö korvaamaan puuttuvia resursseja • Aikataulun suunnittelu uudelleen • Ylityöt • Hoito sairaalassa, leikkaus • Rakennusten korjaus • Auton hinaus korjaamoon
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 27 Riskivaikutukset (Risk Effects)  Kuvaa riskin lopullista vaikutusta tavoitteisiin  Huomioiden reaktion vaikutuksen  Vaikutukset voidaan kuvata numeroina tai verbaalisesti Effect set Risk effect set Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- vaikutukset • Budjetin ylitys 100 K€ • Kuukauden viivästys aikatauluun • Asiakas huomattavan tyytymätön • Menetetty työaika • Kipu ja särky • Korjauskustannukset • Nousseet vakuutusmaksut
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 28 Risk Statements Koska <riskitekijät> On mahdollista että <riskitapahtuma> Josta seuraa <riskivaikutukset> Factor Event Effect set
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 29 YHTEENVETO
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 30 Tietoturvan riskienhalinnan haasteita  Tilastotietoa on vaikea saada  Varsinkin uusista uhista ei ole historiatietoa  Riskejä on vaikea kvantifioida  Esim. asiakkaan luottamuksen menetys tai mainevahinko  Uhkien epäsuoria vaikutuksia on vaikea arvioida  Epäsuoria vaikutuksia voi olla paljon  Ne voivat vaikuttaa muihin sidosryhmiin  Riskien arvioinnin tulokset vanhenevat nopeasti  Uudet teknologiat ja ympäristöt  Hakkereiden uudet toimintatavat GAO, 1999
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 31 Menestystekijät 1. Hanki johdun ymmärrys ja tuki 2. Keskity olennaiseen 3. Määritä selkeät menetelmät ja toimintatavat 4. Osallistuta sekä teknisiä asiantuntijoita, johtoa että käyttäjiä 5. Anna vastuu liiketoimintayksiköille 6. Pidä kunkin vaiheen fokus rajattuna  Tarvittaessa myös analysoi alue pala kerrallaan 7. Dokumentoi tulokset ja toista prosessi riittävän useinGAO, 1999
© Jyrki Kontio, R & D-Ware Oy 26/11/2010 32 Yhteenveto  Tietoturvariskien hallinta tulee olla systemaattista ja läpinäkyvää  Sidosryhmien ja tarpeiden tunnistaminen auttaa tunnistamaan tehokkaita toimenpiteitä  Riskien tunnistaminen ja analyysi täytyy tehdä riittävän usein

Recommandé

Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Nixu Corporation
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaKimmo Vesajoki
 
Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestaKokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestajapijapi
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöjapijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 

Recommandé

Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetjapijapi
 
Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Tietovastuu sosiaalisessa mediassa v3
Tietovastuu sosiaalisessa mediassa v3Nixu Corporation
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaKimmo Vesajoki
 
Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13Talentum palvelujen-tietoturva-12.6.13
Talentum palvelujen-tietoturva-12.6.13japijapi
 
Kokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestaKokemuksia tietoturvallisuuden johtamisesta
Kokemuksia tietoturvallisuuden johtamisestajapijapi
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöjapijapi
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Tietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusTietovastuu - Pilvipalveluiden turvallisuus
Tietovastuu - Pilvipalveluiden turvallisuusNixu Corporation
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Kiwa Inspecta Suomi
 
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309Sinikka Pennanen
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes
 
Kasvun mahdollisuudet
Kasvun mahdollisuudetKasvun mahdollisuudet
Kasvun mahdollisuudetSitra / Hyvinvointi
 
Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Tomppa Järvinen
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010japijapi
 
26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, Lappeenranta26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, LappeenrantaTyöterveyslaitos
 
26.5.2016 Riskienarviointi
26.5.2016 Riskienarviointi26.5.2016 Riskienarviointi
26.5.2016 RiskienarviointiTyöterveyslaitos
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnet Suomi
 
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-SeudullaTyöterveyslaitos
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Kiwa Inspecta Suomi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Yhteiskuntavastuu Nordeassa
Yhteiskuntavastuu NordeassaYhteiskuntavastuu Nordeassa
Yhteiskuntavastuu NordeassaNordea Bank
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Sovelto
 
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! TimoAro
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva2NS
 
Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?Petri Hakanen
 

Contenu connexe

Similaire à Tietoturva ja bisnes

Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Kiwa Inspecta Suomi
 
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309Sinikka Pennanen
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes
 
Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Tomppa Järvinen
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010japijapi
 
26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, Lappeenranta26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, LappeenrantaTyöterveyslaitos
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnet Suomi
 
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-SeudullaTyöterveyslaitos
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Kiwa Inspecta Suomi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Yhteiskuntavastuu Nordeassa
Yhteiskuntavastuu NordeassaYhteiskuntavastuu Nordeassa
Yhteiskuntavastuu NordeassaNordea Bank
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Sovelto
 
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! TimoAro
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva2NS
 
Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?Petri Hakanen
 

Similaire à Tietoturva ja bisnes (20)

Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
 
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
Jaakonsaari mikko sosiaali ja terveydenhuollon jarjestelmat-kuma_1309
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
 
Kasvun mahdollisuudet
Kasvun mahdollisuudetKasvun mahdollisuudet
Kasvun mahdollisuudet
 
Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
 
Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010Verkkosovellusten tietoturvastrategia 20.4.2010
Verkkosovellusten tietoturvastrategia 20.4.2010
 
26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, Lappeenranta26.5.2016 Yhteiset tehtävät, Lappeenranta
26.5.2016 Yhteiset tehtävät, Lappeenranta
 
26.5.2016 Riskienarviointi
26.5.2016 Riskienarviointi26.5.2016 Riskienarviointi
26.5.2016 Riskienarviointi
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
 
Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015Nordnetin aamiaistilaisuus 24.9.2015
Nordnetin aamiaistilaisuus 24.9.2015
 
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
22.2.2017 Riskien arviointi prosessi Järvi-Seudulla
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
Yhteiskuntavastuu Nordeassa
Yhteiskuntavastuu NordeassaYhteiskuntavastuu Nordeassa
Yhteiskuntavastuu Nordeassa
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
 
Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?Tietoturva - onko sinulla varaa olla investoimatta siihen?
Tietoturva - onko sinulla varaa olla investoimatta siihen?
 
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus!
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
 
Verkkopalvelun tietoturva
Verkkopalvelun tietoturvaVerkkopalvelun tietoturva
Verkkopalvelun tietoturva
 
Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?Strategiasta toiminnaksi. Digiloikka?
Strategiasta toiminnaksi. Digiloikka?
 

Tietoturva ja bisnes

  • 1. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 1 Tietoturvariskit ja bisnes Jyrki Kontio, Ph.D. www.jyrkikontio.fi www.rdware.com © Copyright Jyrki Kontio, 2010 Information about the use and licensing of this material: http://creativecommons.org/licenses/by-nc-nd/3.0/
  • 2. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 2 Jyrki Kontio, Ph.D.  Founding partner at R & D-Ware Oy, http://www.rdware.com  Risk mgmt consulting and training  Software engineering consulting  Technical due diligence  Process management and improvement  Professor of Software Business @ Helsinki University of Technology, 2002 - 07  Acting (part-time) professor of Software Engineering at Helsinki University of Technology (1997-2000)  Nokia, 1986 – 2002  Knowledge-based systems research and consulting at Research Center  Manager of the software engineering research group at Research Center  Quality manager at a business unit  Senior manager at Nokia Networks: process management  Principal Scientist at Nokia Research Center, software capability  Other experience  Senior researcher at University of Maryland in prof. Basili’s research group (1994-96)  Software development and management in software houses and corporations (1982-1986)  Contact information  Email: jyrki.kontio@iki.fi, http://www.jyrkikontio.fi/  Tel: +358 40 8232 800
  • 3. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 3 Pääkohdat  Liiketoiminnallisten vaikutusten arviointi  Mikä on organisaatiolle oikea tietoturvariskienhallinnan taso ja miten se rakennetaan?  Miten tietoturvariskejä voi tunnistaa ja priorisoida liiketoiminnan näkökulmasta?
  • 4. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 4 Mitä riski tarkoittaa?
  • 5. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 5 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company”
  • 6. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 6 What is Risk? 1. “We have several vulnerabilities in our computer network” 2. “User’s PC may be controlled by a malicious party” 3. “Business critical information may be lost due to hacker attack” 4. “We may lose customers due to security mishaps” 5. “There is a 50% risk we will have a security breach during this month” 6. “The use of USB memory sticks is a risk for our company” Risk factor: something that influences risks Risk event: occurrence of the risk Risk effects: effects of risk Risk outcome: consequence of an event Risk probability:
  • 7. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 7 Riskit ja mahdollisuudet  Epävarmuuteen liittyy sekä haittoja että hyötyjä  Riskit  Mahdollisuudet  Tietoturvariskien hallinnassa haitat pääkohde  Mahdollisuudet voivat tarjota lisähyötyjä Epävarmuuden hallinta Haitta (Riski) Hyöty (Mahdollisuus) Toden- näköisyys Vaikutus
  • 8. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 8 Riskin määritelmä  Yleinen määritelmä:  Ei-toivotun seuraamuksen mahdollisuus – tai mikä tahansa asia, joka liittyy tähän mahdollisuuteen  Riskiin liittyy aina kaksi keskeistä osaa:  Haitta: jokin tavoitteiden kannalta haitallinen seuraamus  Todennäköisyys: ei ole varmuutta riskin toteutumisesta
  • 9. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 9 Riskin määritelmä  Tavoitteiden saavuttamiseen liittyvä epävarmuus  Pääasiat:  Todennäköisyys: riskin toteutumiseen liittyy epävarmuus  Haitta: tavoitteiden kannalta huono asia Riski Toden- näköisyys Haitta
  • 10. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 10 Riskienhallinnan tulee perustua sidosryhmäanalyysiin Sidosryhmät ja tarpeet  Riskin merkittävyyden arviointi perustuu haitan arviointiin – se puolestaan riippuu tavoitteista ja tavoitteiden tärkeydestä kullekin osapuolelle:  Tavoitteet ja odotukset: haitan arviointi ei ole mahdollista ilman tietoa tavoitteista  Sidosryhmä (osapuoli): tavoitteet ja odotukset ovat erilaisia eri osapuolille Riski Toden- näköisyys Haitta Tavoite Sidosryhmä
  • 11. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 11 Tietoturvan riskienhallinnan tavoitteet  Kontrolli  Ehkäisevät toimenpiteet estävät tai pienentävät riskien vaikutuksia  Vähemmän työtä toteutuneiden riskien haittojen korjaamiseksi  Luotettavampip ja ennustettavampi toiminta  Ennakointitieto  Investointien teko  Toiminnan suunnittelu  Resurssien varaus  Voidaan tehdä tietoisia päätöksiä riskinotosta  Yhdenmukainen ymmärrys organisaation riskeistä  Riskeistä oppiminen: parantunut riskinottokyky  Parempi maine  Parempi luottamus yritykseen  Tehokas tietoturva  Vähemmän kriisejä  Liikesalaisuuksien arvo säilyy  Parempi ymmärrys otettujen riskien merkityksestä
  • 12. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 12 Riskien hallinta  Riskien hallinta tarkoittaa systemaattista ja läpinäkyvää tapaa tunnistaa, analysoida ja kontrolloida riskejä ennen kuin ne tapahtuvat  Riskien hallinta tuottaa kaksi tulosta:  Toimenpiteet, joilla vaikutetaan riskeihin  Tietoa riskeistä ja riskitasosta  Vain toimenpiteet pienentävät riskejä! Riskienhallinta- prosessi Ymmärrys riskeistä Toimenpiteet Tilannetieto Menetelmät
  • 13. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 13 TIETOTURVAN LIIKETOIMINNALLISTEN VAIKUTUSTEN ARVIOINTI
  • 14. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 14 Tietoturvan sidosryhmät  Sidosryhmällä tarkoitetaan ihmistä tai organisaatiota joka vaikuttaa projektiin tai johon projekti vaikuttaa  Sidosryhmiin voi kuulua esim.  Asiakkaat  Yritys  Osakkeenomistajat  Henkilökunta  Yhteistyökumppanit  Yhteiskunta  Sidosryhmien tietoturvatavoitteet tulee kartoittaa
  • 15. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 15 Liiketoiminnallisten vaikutusten arviointi  Vaihe 1: Sidosryhmät  Tunnista ja priorisoi  Vaihe 2: Tietoturvatarpeet  Tunnista tarpeet  Arvioi ne sekä liiketoiminnallisten että muiden vaikutusten kannalta  Priorisoi tarpeet sidosryhmittäin  Vaihe 3: Vaikutukset  Kuvaa tietoturvatarpeen merkitys kunkin sidosryhmän kannalta  Vaihe 4: Priorisoi  Arvioi kunkin sidosryhmän ja tarpeen merkitys liiketoiminnan kannalta
  • 16. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 16 Sidosryhmäanalyysi: esimerkki Asiakkaat Yritys Kumppanit Henkilö- kunta Yhteis- kunta Luottamuksellisen tiedon suojaus Järjestelmien toimivuus Liikesalaisuuksien suojaus IT-resurssien käytön suojaus
  • 17. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 18 Yhteenveto  Sidosryhmien ja heidän tavoitteidensa priorisointi auttaa riskien analyysissä  Tärkeysjärjestyksen ei tarvitse olla tarkka  Sidosryhmäanalyysi on tärkeä riskienhallinnan lähtökohta  Osa modernia projektijohtamista
  • 18. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 19 TIETOTURVAN RISKIENHALLINNAN KYVYKKYYS
  • 19. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 20 Käytäntö  Amatöörimäinen riskienhallinta  Käytössä ei ole menetelmiä, ohjeistusta tai työpohjia  Perustuu intuitioon, ei analyysiin  Riskienhallinnan tuloksia ei dokumentoida  Reagointia, ei ennakointia – riskit ratkotaan vasta niiden lauettua  Yleinen tapa toimia  Ohjeita ja työpohjia on olemassa – mutta niitä ei käytetä systemaattisesti tai tehokkaasti  Riskilokit täytetään projektin alussa, mutta niitä ei ylläpidetä  Riskienhallintatoimenpiteet ovat prosessin pääkohdissa mukana vaatimuksni, mutta niitä noudatetaan harvoin  Parhaiden yritysten käytännöt  Yrityksellä on riskipolitiikka, joka kuvaa riskienhallinnan tavoitteet, vastuut ja keinot  Riskienhallinnan koulutusta tarjotaan henkilökunnalle  Johto keskustelee riskeistä ja seuraa niitä – riskit ovat johtoryhmän agendoilla  Riskienhalinnan menetelmät, ohjeistus ja työpohjat ovat olemassa, niitä käytetään ja niitä kehitetään jatkuvasti  Aktiivista riskienhallintaa vaaditaan ja sitä tuetaan
  • 20. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 21 Riskienhallinnan päävaiheet Keskity keskeisten tehtävien suorittamiseen Tunnista Arvioi Kontrolloi Seuraa Potentiaaliset uhat Priorisoidut riskit Toimenpiteet Uutta informaatiota Uudet uhat Riittämätön vaikutus
  • 21. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 22 Riskien tunnistaminen  Riskien tunnistamisessa tulee käyttää useita tekniikoita  Yhteistyö ja keskustelut useiden ihmisten kanssa parantavat osumatarkkuutta  Aivoriihitekniikat ja tarkistuslistat ovat tehokkaita apuvälineitä riskien tunnistamisessa
  • 22. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 23 Riskien ymmärtäminen Riskit-menetelmän kuvaustekniikka Riskit-menetelmän kuvaustekniikka  Jäsentää riskien kuvausta  Esittää riskin osien riippuvuudet visuaalisesti  Tukee kommunikaatiota ja analyysiä  Voidaan kuvata myös verbaalisesti Reaction Reaction Factor Risk factor Event Risk event Effect set Risk effects
  • 23. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 24 Riskitekijä (Risk Factor)  Asia (“fakta”), joka vaikuttaa jonkun riskitapahtuman todennäköisyyteen tai olemassaoloon  Kuvaa tilannetta ja ympäristöä – esim. resursseja tai rajoitteita  Riskitekijään ei liity todennäköisyyttä  Tyypillisesti kuvaavat asioita, joiden takia tilanne on riskipitoisempi kuin normaalisti  Myös positiivisiä tekijöitä voidaan luetella riskitekijöinä Factor Risk factor Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riskitekijä • Henkilökunnan kokemattomuus • Uuden teknologian käyttö • Uusien menetelmien käyttö • Alihankkijoiden käyttö • Epäterveellinen ruokavalio • Asuminen maanjäristysvyöhykkeellä • Lumisade
  • 24. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 25 Riskitapahtuma (Risk Event)  Kuvaa ei-toivotun tapahtuman  Erikoistapaus: käy ilmi, että aiemmat oletukset tai suunnitelmat eivät pidä paikkaansa  Riskitapahtumalla on todennäköisyys – ei ole varmuutta siitä, tapahtuuko se vai ei  Useat riskitekijät voivat vaikuttaa tapahtumaan  Voi myös vaikuttaa muihin riskeihin Event Risk event Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- tapahtuma • Avainhenkilö irtisanoutuu • Asennukset eivät ole valmiina ajoissa • Alihankkijan toimitus myöhästyy • Testiajot epäonnistuvat • Sydänkohtaus • Maanjäristys • Autokolari
  • 25. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 26 Riskireaktio (Risk Reaction)  Kuvaa riskitapahtuman jälkeisen reaktion  Reaktiot vaikuttavat siihen, mikä on riskin laukeamisen lopullinen vaikutus tavoitteisiin Reaction Risk reaction Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- reaktio • Konsulttien käyttö korvaamaan puuttuvia resursseja • Aikataulun suunnittelu uudelleen • Ylityöt • Hoito sairaalassa, leikkaus • Rakennusten korjaus • Auton hinaus korjaamoon
  • 26. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 27 Riskivaikutukset (Risk Effects)  Kuvaa riskin lopullista vaikutusta tavoitteisiin  Huomioiden reaktion vaikutuksen  Vaikutukset voidaan kuvata numeroina tai verbaalisesti Effect set Risk effect set Tuotekehitysesimerkkejä Yleisiä esimerkkejä Riski- vaikutukset • Budjetin ylitys 100 K€ • Kuukauden viivästys aikatauluun • Asiakas huomattavan tyytymätön • Menetetty työaika • Kipu ja särky • Korjauskustannukset • Nousseet vakuutusmaksut
  • 27. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 28 Risk Statements Koska <riskitekijät> On mahdollista että <riskitapahtuma> Josta seuraa <riskivaikutukset> Factor Event Effect set
  • 28. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 29 YHTEENVETO
  • 29. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 30 Tietoturvan riskienhalinnan haasteita  Tilastotietoa on vaikea saada  Varsinkin uusista uhista ei ole historiatietoa  Riskejä on vaikea kvantifioida  Esim. asiakkaan luottamuksen menetys tai mainevahinko  Uhkien epäsuoria vaikutuksia on vaikea arvioida  Epäsuoria vaikutuksia voi olla paljon  Ne voivat vaikuttaa muihin sidosryhmiin  Riskien arvioinnin tulokset vanhenevat nopeasti  Uudet teknologiat ja ympäristöt  Hakkereiden uudet toimintatavat GAO, 1999
  • 30. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 31 Menestystekijät 1. Hanki johdun ymmärrys ja tuki 2. Keskity olennaiseen 3. Määritä selkeät menetelmät ja toimintatavat 4. Osallistuta sekä teknisiä asiantuntijoita, johtoa että käyttäjiä 5. Anna vastuu liiketoimintayksiköille 6. Pidä kunkin vaiheen fokus rajattuna  Tarvittaessa myös analysoi alue pala kerrallaan 7. Dokumentoi tulokset ja toista prosessi riittävän useinGAO, 1999
  • 31. © Jyrki Kontio, R & D-Ware Oy 26/11/2010 32 Yhteenveto  Tietoturvariskien hallinta tulee olla systemaattista ja läpinäkyvää  Sidosryhmien ja tarpeiden tunnistaminen auttaa tunnistamaan tehokkaita toimenpiteitä  Riskien tunnistaminen ja analyysi täytyy tehdä riittävän usein