Tietoturva luonnolliseksi osaksi
palvelujohtamista
Driven by the Challenge_
Pasi Korhonen
•  Senior Security Consultant
• 
• 
• 
• 
• 
• 
CISM
CISA
CRISC
CISSP
PCI QSA
CobIT5f
•  ISACA Finland Chapter
•  Chapter Leader
2
Driven by the Challenge_
Who we are
•  We are information security
•  We are focused
•  We know your business
•  We have the industry leading
professionals
•  We are independent
Our vision is
to be the leading European information security assessor
APPROVED
SCANNING
VENDOR
4
QUALIFIED
SECURITY
ASSESSOR
Driven by the Challenge_
PAYMENT APPLICATION
QUALIFIED SECURITY
ASSESSOR
Hallinnan tasot
TRUSTED ADVISOR
BUSINESS REQUIREMENTS
Security
management
<
Security
improvement
program
Security
coaching
services
Strategic
security
consultation
ENHANCER
BUSINESS ENABLING
Incident
response
services
PCI
compliance
Security standards
and
frameworks
Secure software
development
Training
services
Karhu Vulnerability
Management
Solution
PCI ASV scans
ASSESSOR
CONTROL EXECUTION
Vulnerability
assessment
Penetration testing
Security reviews
and analyses
www.isaca.org
6
•  Principles
1.  Meeting Stakeholder Needs
2.  Covering the Enterprise Endto- End
3.  Applying a Single, Integrated
Framework
4.  Enabling a Holistic Approach
5.  Separating Governance From
Management 7
•  Enablers
1.  Principles, policies and
frameworks
2.  Processes
3.  Organizational structures
4.  Culture, ethics and behavior
5.  Information
6.  Services, infrastructure and
applications
7.  People, skills and competencies
Palvelutuotannon tietoturvallisuus
•  Osana päivittäistä
•  Johtamista
•  Operatiivista toimintaa
•  Ajattelua
•  Kattaa koko elinkaaren
•  Idea
•  Toteutus
•  Kehittäminen
•  Päättäminen
•  Kaikki toimijat
8
Driven by the Challenge_
Palvelustrategia
•  Johdettavissa organisaation strategiasta
•  Johdon
•  Osallistuminen
•  Mahdollistaminen
•  Tunnustaminen
•  Laadukkaat mittarit
•  Kokonaisuuksien hallinta
•  Jatkuva datavirta
•  Tuotantoketju
9
Driven by the Challenge_
Suunnittelu ja käyttöönotto
•  Palvelu ei ole vain järjestelmä
•  Tulee kehittää
Yleinen palvelukehittämisen menetelmät
Tarvearviointi/analyysi
Hallitusti pienestä isommaksi
Vakauttaminen (tuotteistaminen)
Operatiivinen malli
• 
• 
• 
• 
• 
• 
• 
Muutoksenhallinta
Tuotteistaminen käyttöönoton apuvälineenä
10
Driven by the Challenge_
11
Driven by the Challenge_
Hallinta ja kehittäminen
• 
• 
• 
• 
• 
• 
• 
• 
Nykytilanne
Toiminnan kypsyys
Määrätietoinen mittaaminen
kullakin tasolla
Palaute
• 
• 
• 
• 
Omistajuus
Sidosryhmät
Tietoaineiston luokittelu
Portfolion hallinta
Tavoitteellisuus
Jatkuvuus
Priorisointi
Investointi
12
Driven by the Challenge_
Viitekehykset tukemaan
• 
• 
• 
• 
• 
• 
The IT Balanced Scorecard
EMC - RSA Archer
CMMI
O-ISM3
TOGAF
ISO- standardit
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
15504
20000
27001/2
27031
27034
27035
27036
27017
27018
31000
13
(SPICE)
IT service management
ISMS
Business continuity System acquisition Security incident management Supplier management Privacy (2015)
Cloud
Risk management https://www.scrum.org/
Driven by the Challenge_
Laatujärjestelmä tukemassa johtamista
+
• 
• 
• 
• 
• 
+
-
Olemassa oleva
Voimakkaasti läsnä
Yleisesti tunnettu metodologia
Vakiintunut raportointimalli
Tehokkuus
14
• 
• 
• 
• 
• 
-
Väärät mittarit
Väärät tulkinnat (fokus)
Eriävät tarkoitukset
Väärä esitysmalli
Saatavuus, luottamuksellisuus
Driven by the Challenge_
Esimerkkejä palveluista
15
Driven by the Challenge_
Kiitos
Pasi Korhonen
Senior Security Consultant
+358 40 591 6497
[email protected]
www.nsense.net