1. haastattelu 1. Organisaatio
a. Toimiala (yleiskuva, näkymät, kilpailu, uhat ja mahdollisuudet) b. Palvelu, tuote, idea, liiketoimintamalli
c. Ketä haastattelen? Mikä rooli?
d. Organisaation ikä
e. Henkilöstön lkm, kasvu, koulutustausta f. Organisaatiorakenne (hierarkkinen / matala) 2. Yrityskulttuuri
a. Hallinto (keskitetty / hajautettu / jaettu) b. Päätöksenteko
c. Viestintätapa (muodollinen / ei muodollinen) d. Viestintäkanavat
e. Luottamus
3. Yrityksen johtamistapa / strateginen suunnittelu
a. Yrityksen johtamistapa (formaali vai epäformaali toimintamalli)
b. Strateginen suunnittelu; nimetyt tavoitteet ja visio muutaman vuoden tähtäimellä
c. Operatiivisen päivittäisjohtamisen toteutus, vallan ja vastuun jakautuminen, käytössä olevat mittarit
d. Käytössä olevat johtamisen tai toiminnan ohjauksen mallit e. Kasvuhakuisuus (historia, tulevaisuuden suunnitelmat) 4. Riskienhallinta
a. Riskienhallinnan merkitys yrityksen toiminnalle: Missä roolissa kokonaiskuvan kannalta? Miten? Kuka? Miksi? Mihin tarkoitukseen? jne.
b. Toimintaan liittyvät merkittävimmät riskit
c. Riskienhallinnan menettelytavat, käytännöt ja prosessit (muodollinen / epämuodollinen), käytetäänkö aikaa tulevaisuuden uhkien ennakointiin vai keskitytäänkö hoitamaan päivittäisiä ongelmia, miten riskienhallinta on integroitu johtamiseen, riski-informaation hyödyntäminen johtamisen tukena, käytetyt työkalut jne.
d. Muodollisen riskienhallintaprosessin tarve
e. Riskienhallinnan motivointi (lainsäädäntö, asiakasvaateet, oman toiminnan kehittäminen, sattuneet vahingot, vakuutusyhtiöt ja muut kumppanit)
f. Tietoturvan suhde riskienhallintaan
g. Tulevaisuuden riskit, joiden merkitys kasvaa 5. Tietoturva
a. Suhtautuminen tietoturvaan yleisesti (johto, työntekijät)
b. Tietoturvapolitiikka / sovitut tietoturvakäytännöt (information security policy)
c. Tietoturvan nykytila (meneillään olevat kehitysprojektit jne.) d. Merkittävimmät uhat
e. Varautuminen uhkiin
f. Tietoturvapoikkeamat (onko ollut? Seuraukset?) g. Kokemus, tietotaito (johto, työntekijät)
h. Vastatoimet (proaktiivinen, reaktiivinen, estäminen vs.
palautumiskyky, kontrollit preventive vs. detective), tärkeimmät suojattavat kohteet luokiteltu jne.
i. Miten? (Teknologia / ihmiset / sertifiointi / vakuutukset / koulutus jne.)
j. Liiketoiminnan tarpeiden ja tietoturvan suhde (alignment to business needs)
k. Kumppanit, toimittajat, asiakkaat (esitättekö, onko teille esitetty tietoturvavaatimuksia jne.)
6. Päätöksenteko / investointiprosessi
a. Kuka, ketkä päättää? Miten? (Muodollisuus /epämuodollisuus) b. Investointibudjetit – kehittämistoimet, teknologia, tietoturva
ym. eritelty?
c. Suhtautuminen kustannuksiin, investointien priorisointi (kasvu / voitollisuus / riskien välttäminen)
d. Käytetyt mittarit e. Tietoturvainvestoinnit
i. Tavoitteet
ii. Tuotto-odotus (Miten mitataan? Mitataanko?)
iii. Yhteys kasvuun (riskienhallinta edellä vai kasvu edellä, ajatellaanko tietoturvainvestointeja kasvun kannalta)
LIITE 2 HAASTATTELURUNKO
2.haastattelu
1. Organisaatio ja yrityskulttuuri
a. Ketä haastattelen? Mikä rooli?
b. Toimiala (uhat ja mahdollisuudet)
c. Viestintätapa (muodollinen / ei muodollinen) d. Luottamuksen merkitys
2. Yrityksen johtamistapa / strateginen suunnittelu
a. Yrityksen johtamistapa (formaali vai epäformaali toimintamalli)
b. Strateginen suunnittelu; nimetyt tavoitteet ja visio muutaman vuoden tähtäimellä
c. Operatiivisen päivittäisjohtamisen toteutus, vallan ja vastuun jakautuminen, käytössä olevat mittarit
d. Käytössä olevat johtamisen tai toiminnan ohjauksen mallit e. Kasvuhakuisuus (historia, tulevaisuuden suunnitelmat) 3. Riskienhallinta
a. Riskienhallinnan merkitys yrityksen toiminnalle: Missä roolissa kokonaiskuvan kannalta? Miten? Kuka? Miksi? Mihin tarkoitukseen? jne.
b. Toimintaan liittyvät merkittävimmät riskit c. Tulevaisuuden riskit, joiden merkitys kasvaa
d. Riskienhallinnan menettelytavat, käytännöt ja prosessit (muodollinen / epämuodollinen), käytetäänkö aikaa tulevaisuuden uhkien ennakointiin vai keskitytäänkö hoitamaan päivittäisiä ongelmia, miten riskienhallinta on integroitu johtamiseen, riski-informaation hyödyntäminen johtamisen tukena, käytetyt työkalut jne.
e. Muodollisen riskienhallintaprosessin tarve f. Tietoturvan suhde riskienhallintaan
i. Sisäinen tietoturvatiimi (nyt, tulevaisuudessa) ii. Ulkoistukset ICT / tietoturva (nyt, tulevaisuudessa) 4. Tietoturva
a. Suhtautuminen tietoturvaan yleisesti (johto, työntekijät)
b. Tietoturvapolitiikka / sovitut tietoturvakäytännöt (information security policy)
c. Tietoturvan nykytila (meneillään olevat kehitysprojektit jne.) d. Liiketoiminnan tarpeiden ja tietoturvan suhde (alignment to
business needs) e. Merkittävimmät uhat f. Varautuminen uhkiin
g. Tietoturvapoikkeamat (onko ollut? seuraukset?)
h. Kokemus, tietotaito (johto, työntekijät)
i. Vastatoimet (proaktiivinen, reaktiivinen, kontrollit: estäminen, palautumiskyky, havaitseminen), tärkeimmät suojattavat kohteet luokiteltu jne.
i. Miten? (Teknologia / ihmiset / sertifiointi / vakuutukset / koulutus jne.)
j. Kumppanit, toimittajat, asiakkaat (esitättekö, onko teille esitetty tietoturvavaatimuksia jne.)
i. Uhkatiedon / menetelmätapojen jakaminen kumppaneiden kesken (nyt, tulevaisuudessa)
k. Teknologia, nykyiset järjestelmät, rajapinnat
i. Millä perusteilla valittiin nyt käytössä olevat järjestelmät ja työkalut? Mietittiinkö valinnassa tietoturva-aspekteja?
5. Päätöksenteko / investointiprosessi
a. Kuka, ketkä päättää? Miten? (Muodollisuus /epämuodollisuus.
päätösvallan jakautuminen)
b. Investointibudjetit – kehittämistoimet, teknologia, tietoturva ym. eritelty? (nyt, tulevaisuudessa)
c. Suhtautuminen kustannuksiin, investointien priorisointi (kasvu / voitollisuus / riskien välttäminen jne.)
d. Käytetyt mittarit e. Tietoturvainvestoinnit
i. Tavoitteet
ii. Tuotto-odotus (Miten mitataan? Mitataanko?)
iii. Yhteys kasvuun (riskienhallinta edellä vai kasvu edellä, ajatellaanko tietoturvainvestointeja kasvun kannalta)
LIITE 3 HAASTATTELURUNKO
3.haastattelu
Skenaario 1, investointipäätöstä tehtäessä painotettavat tekijät:
Mitkä asiat ovat tärkeitä investointipäätöstä tehtäessä ja arvioitaessa yleisesti? oma osaaminen, verkkohaku, kaverin suosittelu, hinta, tuotto-odotus, asiantuntijoiden suosittelu, jne. Mitkä tekijät vaikuttavat eniten tietoturvainvestointipäätöksiin? Esim. Muiden kokemukset, asiantuntijoiden suositukset, raha, lainsäädäntö ym.
Skenaario 2, konfliktitilanne:
Kaikki päätöksentekoon osallistuvat henkilöt eivät halua tehdä (tietoturva)investointia, vaikka suoraa vaihtoehtoista investointikohdetta ei ole (raha jää säästöön). Miten toimitaan? Annetaanko asian olla ja jätetään myöhemmäksi tms.? Onko tilanne realistinen?
Esim 1: 7900€ investointi sertifikaattiin (OWASP ASVS)
OWASP – ASVS = Open Web Application Security Project – Application Security Verification Standard
“Tehokas tapa varmentaa ja osoittaa verkkopalvelun tietoturvan taso”
Esim 2: Investointi koulutukseen:
”En halua mitään ylimääräisiä koulutuksia, muutenkin kädet täynnä jne.”
Skenaario 3, valintaperusteet samaan kategoriaan kuuluvien tietoturvainvestointien välillä:
Mitä asioita tietoturvainvestointipäätöksessä painotetaan? Painotetaanko turvallisuutta vaiko hintaa? Hyötyä? jne. (Saman tyypin tietoturvainvestointien välillä; esim. pitää tehdä valinta eri haittaohjelmien torjuntaohjelmistojen välillä)
Esim 1: Tunnettu, laadukas, hyvät arviot, tietoturva-asiantuntijoiden suosittelema, kalliimpi kuin kilpailevat ratkaisut
Esim 2: Vähemmän tunnettu, uusi, ei vielä merkittävästi käyttäjäarvioita, keskimääräistä edullisempi
Skenaario 4, tietoturvainvestoinnit suhteessa vaihtoehtoisiin investointikohteisiin:
Vaihtoehtoisia investointeja: Toinen investointikohde tuo suoraa kasvua, liikevaihtoa ym., Toinen investointi korkeintaan epäsuorasti. Miten
toimitaan? (tietoturvainvestointi verrattuna esimerkiksi palvelinkapasiteetin laajentamiseen, markkinointikampanja tms.) Investointi kohteeseen, joka kasvattaa riskiprofiilia, mutta tuo myös kasvua ja rahaa jne. Miten hyötyä mitattaisiin? Miten sitä arvioidaan? Miten sitä suhteutetaan muihin investointeihin? Menevätkö muut investoinnit automaattisesti edelle, jotka tuovat kasvua ja rahaa taloon?
Esim 1: Markkinointikampanja, 5000€
Esim 2: Tietoturvaskanneri, verkkopalvelun tietoturva; automaattinen haavoittuvuuksien testaus 5000€
Skenaario 5, Käytetyt työkalut investointipäätöksen tukena:
Esim. RICE-priorinsointityökalun hyödyntäminen vrt. joku muu, viitekehykset, industry best practises jne. Millä asioilla merkitystä?
Helppokäyttöisyys, entuudestaan tuttu jne. Onko ylipäätään tarvetta?
Skenaario 6, Valinta erilaisten taloudellisten investointimallien välillä (ROI, UM, ym.,):
Näettekö nämä mahdollisesti käyttökelpoisina? Mitä hyötyjä? Mitä ongelmia? jne.
Skenaario 7, (Tietoturva)investointistrategia:
Miten kuvailisitte yrityksenne tietoturvainvestointistrategiaa? Painotus;
esim. kyberresilienssi, palautumiskyky, estäminen, havainnointikyky, koulutus jne. Keinot; tekniset kontrollit, käyttäjien tietoturvakoulutus jne.