LIIKETOIMINTALÄHTÖINEN ICT-RISKIANALYYSI

Autan tunnistamaan ja arvioimaan digitalisaation aiheuttamia riskejä liiketoiminnan lähtökohdista. 

Haluaisitko ymmärtää liiketoimintaanne liittyvät ICT-riskit?

Täydellisessä maailmassa järjestelmät toimivat aina, katkoja ei esiinny eikä tietoturvaa uhkaa mikään. Todellisuudessa järjestelmissä on virhetilanteita, katkoja esiintyy, tietoturvauhkia on jatkuvasti enemmän.

  • Haluaisitko ymmärtää tietoteknisten järjestelmien liiketoiminnalle aiheuttamat riskit nykyistä paremmin?
  • Ehkä suunnittelette toimintanne digitalisointia, mutta prosessien digitalisointi mietityttää, koska ette ymmärrä mahdollisten ongelmatilanteiden aiheuttamia kustannuksia.
  • Onko erilaisiin poikkeustilanteisiin varauduttu riittävällä tasolla?

Liiketoimintalähtöinen ICT-riskianalyysi vastaa näihin kysymyksiin.

Ongelmana on oikeanlaisen osaamisen puute

Oletko teettänyt perinteisiä tietoturva-auditointeja? Oletko keskustellut tyypillisen tietoturva-asiantuntijan kanssa? Tavallisesti teknisen tietoturvan asiantuntijat osaavat kyllä kertoa uhkakuvista, mutta heistä on vaikea saada irti, mitä asia oikeasti tarkoittaa.

Usein tietoturvaa tarkastellaan teknisistä lähtökohdista, vieläpä yksittäisten järjestelmien näkökulmasta. Yritystason riskejä arvioidaan, mutta aivan liian usein IT-riskejä ei vielä huomioida riittävällä tasolla.

Oletteko pohtineet IT:n varajärjestelyitä? Usein on hyvin vaikea ymmärtää, miten suuri ongelmien riski todellisuudessa on.

Koska IT-riskien arviointi on vaikeaa eikä tuota suoraa, mitattavaa hyötyä, ne on helppo aliarvioida.

Miksi uskon olevani pätevä auttamaan sinua?

Minulla on 20 vuoden kokemus IT-ympäristöjen kehittämisestä. Olen tehnyt kymmeniä roadmapeja onnistuneesti.

Olen yhdistänyt kyvyn ymmärtää liiketoimintaa ja syvällisen teknisen osaamisen kokonaisuudeksi. Pystyn keskustelemaan yhtä sujuvasti toimitusjohtajan kuin asiantuntijoidenkin kanssa.

Sovellan työssäni useita kansainvälisesti hyväksyttyjä viitekehyksiä. Arkkitehtuurityössä käytän seuraavia viitekehyksiä:

  • TOGAF 9
  • COBIT
  • JHS-179 (suomalaisten julkisten organisaatioiden käyttämä)

Tietoturvatyössä hyödynnän seuraavia viitekehyksiä ja standardeja:

  • SABSA
  • ISO 27001
Kokenut IT-asiantuntija

Usein viitekehyksien käyttöön liittyy ongelmia, koska niiden sokea käyttäminen johtaa pitkiin ja tehottomiin projekteihin. Tämän vuoksi käytän eri viitekehyksistä ja standardeista vain niitä osuuksia, jotka ovat maalaisjärjellä perusteltavissa.

Olen muokannut lähestymistä siten, että se on käytännönläheinen ja suoraviivainen, jotta tuloksia saadaan nopeasti. Mukana on kuitenkin elementtejä, jotka ovat välttämättömiä hyvien tulosten aikaansaamiseksi.

Jos sinulle tuottaa vaikeuksia kuvata tilannettanne ja tuottaa kirjallista suunnitelmaa, minulta se onnistuu. Olen hyvä hahmottamaan kokonaisuuksia ja kuvaamaan asioita niin, että niistä voidaan keskustella ja tehdä parempia päätöksiä.

Tietoturvatyö vaatii liiketoiminnan tarpeiden huomioimista

Minulla on vuosien tausta tietoturvatyössä. Työhistoriani alussa tein teknistä tietoturvaa, mm. suunnittelin tietoliikenneverkon ja käyttäjän tunnistuksen tietoturvaratkaisuita. Hyvin pian huomasin, että pisteratkaisuista ei ole hyötyä. Tietoturvaa pitää katsoa kokonaisuutena.

Kun aloin perehtymään kokonaistietoturvaan, havaitsin pian, että ilman hallinnollista tietoturvaa kokonaistietoturvasta on turha puhua. Opettelin siis hallinnollisen tietoturvan asioita, jotta saatoin auttaa asiakkaitani parantamaan tietoturvaa tuloksekkaasti.

Vaikka jokaisen yrityksen tilanne on tietysti erilainen, huomasin pian, että tärkein tietoturvatavoite suurimmalle osalle yrityksistä on kyky jatkaa toimintaa ongelmista huolimatta.

Palomuureista, tietojen salaamisesta ja järjestelmien kovettamisesta on kovin vähän hyötyä, jos järjestelmä ei toimi silloin, kun sitä tarvitaan.

Olen aina ollut kiinnostunut liiketoiminnan tarpeista lähtevästä IT:n kehittämisestä. Sen vuoksi uskon vahvasti myös tietoturvatyössä liiketoiminnan tarpeista lähtemiseen.

SABSA on konsepti, jonka avulla tietoturvaa voidaan rakentaa liiketoiminnan tarpeista. Lue eteenpäin, niin kerron, mistä on kyse.

Digitalisaation aiheuttamia riskejä on mahdollista ymmärtää ja hallita

SABSA on siis konsepti, jonka avulla tietoturvaa voidaan rakentaa liiketoiminnan tarpeista.

Olen rakentanut SABSAN ympärille metodiikkaa, jonka avulla ICT-riskejä voidaan analysoida liiketoiminnan tarpeet huomioiden.

Metodiikka sisältää mm. seuraavia elementtejä:

  • Johtajien haastattelut liiketoiminnan kannalta tärkeimpien kohteiden tunnistamiseksi
  • Järjestelmien sidoksien ja vaikutusten ymmärtäminen
  • Erilaisten skenaarioiden tunnistaminen
  • Todellisten kustannusten laskeminen laskentamallien avulla

Case: “Kybervakuutuksen hinta laski melkein puoleen”

Oras Group halusi selvittää perusteellisesti it-järjestelmien riskit ja niiden toteutumisen vaikutukset yrityksen liiketoimintaan. Projekti onnistui erinomaisesti, ja esimerkiksi yhtiölle tarjotun kybervakuutuksen hinta laski lähes puoleen. Kun riskit ja niiden vaikutukset ymmärrettiin selvemmin, niitä voitiin myös alkaa vähentämään. Oras Groupilla oli vuonna 2017 haaste. Maailmalla oli liikkeellä uudentyyppisiä vaarallisia kiristyshaittaohjelmia. Ne olivat jo iskeneet joihinkin yrityksiin …

Case: “Kybervakuutuksen hinta laski melkein puoleen” Lue lisää »

ICT-riskianalyysistä on käytännön hyötyä johtajalle

Liiketoimintalähtöisestä ICT-riskien arvioimisesta on organisaation johtamisessa paljon hyötyä:

  • Saat tietää todennäköiset ongelmia aiheuttavat skenaariot
  • Saat euromääräiset arviot vahinkojen suuruudesta
  • Tunnistat sellaisia järjestelmien ja toimintojen välisiä riippuvuuksia, joita ei ole helppo havaita ilman asian analysointia
  • Voit tehdä oikein mitoitettuja investointipäätöksiä mahdollisista varajärjestelyistä.
  • Voit kilpailuttaa esimerkiksi Cyber-vakuutuksen ja säästää vakuutuksen hinnassa suuria summia rahaa, koska teidän riskit on analysoitu ja tiedossa.

Tuntuuko sinusta, että meidän olisi hyvä keskustella?

Jos sinusta tuntuu, että meidän olisi hyvä keskustella, toimi seuraavasti:

  1. Ota yhteyttä minuun. Voit täyttää oheisen lomakkeen tai voit lähestyä minua oikeassa alakulmassa olevan chatin avulla.
  2. Olen sinuun yhteydessä todennäköisesti saman päivän aikana, viimeistään kuitenkin 24 tunnin sisällä.
  3. Sovitaan puhelu tai videopalaveri, jossa käydään läpi tilannettanne ja haasteitasi. Arvioin heti, voinko auttaa ja jos voin, mikä voisi olla hyvä lähestyminen.
  4. Saat työstä kirjallisen, yksityiskohtaisen tarjouksen, jonka perusteella tiedät, miten asiaa kannattaa lähestyä. Vaikket tilaisikaan työtä minulta, saat kuitenkin ilmaista konsultaatiota.

Lupaus

Minulle 100% tyytyväinen asiakas on erittäin tärkeää. Yritän sen vuoksi varmistua jo ennen töiden aloittamista siitä, että pystyn auttamaan sinua.

Lupaus

Olen hyvin tarkka asiakkaideni tyytyväisyydestä, enkä lähde tekemään projekteja, joista voisi seurata tyytymättömyyttä. Sen vuoksi varmistamme ennen projektia, että onnistumisen todennäköisyys on korkea.

  • Minulla ei ole riippuvuuksia muihin alan toimijoihin. Kun palkkaat minut avuksesi, saat aidosti riippumattoman neuvontanajan.  
  • Minun kanssa töitä tehdessä ei tunneta tyhmiä kysymyksiä. Tehtäväni on auttaa sinua olemaan parempi johtaja. Autan mielelläni sinua ymmärtämään asioita paremmin, vaikka kysymyksesi ei liittyisi suoraan projektiin. Käytä tämä mahdollisuus hyödyksesi.
  • Kanssani asioidessa sinun ei tarvitse olla tekemisissä myyjien tai muiden välikäsien kanssa. Asioit suoraan minun kanssa. Tästä on sinulle paljon hyötyä.

Ota yhteyttä

Ota yhteyttä, niin selvitetään, mikä olisi paras lähestyminen tilanteessasi.