Julkaistu Ei kommentteja artikkeliin Risk Managerin huolilista: Top3 privacy-riskiä

Risk Managerin huolilista: Top3 privacy-riskiä

Tietosuoja-asetus astui voimaan toukokuun lopussa. Ennen tuota deadlinea moni organisaatio teki suuren työn tunnistaakseen oman toimintansa puutteet ja laittaaksen prosessit tietosuoja-asetuksen mukaiseksi 25.5.2018 mennessä.  Kesän ajan ollaan siis huokaistu helpotuksesta, nostettu jalat pöydälle ja suunnattu levähdyksen jälkeen syksyn alkaessa kaikki energia uusiin haasteisiin?

Valitettavasti ei (vaikkakin monen tietosuojaprojekteissa työskennelleen mielestä tämä ehkä kuulostaa varteenotettavalta vaihtoehdolta), nimittäin viimeistään kevään aikana  mukana olleille valkeni, että tietosuojaan liittyvä työ ei ole kertaprojekti. Se vaatii jatkuvaa ylläpitoa ja kehittämistä ja nykymaailmassa tietosuoja tulee huomioida yhtenä osa-alueena yrityksen jatkuvassa riskienhallinnassa.

Helpottaaksemme mahdollista tuskaa aiheeseen liittyen, nostamme tässä kirjoituksessa esiin kolme ajankohtaista teemaa, joiden kautta riskienhallintapäällikkö voi tarkastella aihetta pysyäkseen kartalla siitä, missä suurimmat riskit luuraavat.

Ihmiset

Suurin hype tietosuojan ympärillä on (toistaiseksi) hälventynyt ja nyt pitäisi varmistaa, että henkilöt, jotka dataa käsittelevät, käsittelevät sitä jatkossakin uusien ohjeiden ja prosessien mukaisesti. Monessa yrityksessä datan käsittelyä tehdään eri aikakausilta peräisin olevissa järjestelmissä ja sitä löytyy myös sähköposteista jne. Miten homma pysyy hanskassa kesälomien jälkeen – muistavatko kaikki vielä hienon ja kattavan koulutuksesi sisällön ja toteuttavatko he uutta toimintamallia edelleen pieteetillä?

Havainnointikyky ja varautuminen

Tekninen kyvykkyytesi – tunnetko oman kyvykkyytesi (ja sen rajoitteet) tunnistaa ja tutkia tietomurtotilanteita? Jos dataa katoaa tai epäillään väärinkäytöstä, näetkö järjestelmistäsi mitä tapahtui ja milloin?

Kriisijohtaminen – onko jatkuvuuden hallinnan prosessisi päivitetty sisältämään skenaario henkilötietomurrosta?  Onko organisaatiosi aidosti kykenevä toimimaan prosessin mukaisesti ja tuottamaan tietoa säännösten vaatimalla tavalla?

Muutoksen hallinta

Vietit ehkä viime kevään (tai jo sitä edeltävän vuoden) etsimällä ja kuvaamalla kaikki ne prosessit, joissa organisaatiossasi dataa käsitellään. Ja hyvä niin, olit valmis toukokuun 25. päivä. Paitsi että sitten on se pikkujuttu, eli elämä toukokuun jälkeen.

Organisaatiossasi on varmasti jo suunnitteilla muutoksia. Onko tietosuoja mukana, kun organisaatiossasi suunnitellaan uusia prosesseja, kehitystiimit valmistautuvat lanseeraamaan uusia tuotteita tai nettisivuillenne suunnitellaan lisättäväksi uusia analytiikkatyökaluja? Miten varmistat sen, että toiminta on jatkuvien muutostenkin keskellä aina tietosuoja-asetuksen mukaista?

Jos nämä kolme näkökulmaa ovat hanskassa ja sinulla on luottavainen olo niiden suhteen – onneksi olkoon, jatka samaan malliin! Jos taas tunnet huolen kouraisevan vatsanpohjaa jonkin kohdalla, on aika perehtyä asiaan tarkemmin eli kuvata riskit oman organisaatiosi kannalta ja miettiä niihin korjaavat toimenpiteet. Tulisiko henkilöstölle esimerkiksi laatia vuosittainen koulutusohjelma tietosuojaosaamisen ylläpitämiseksi, olisiko jatkuvuudenhallintaa syytä harjoitella tai kartoittaa millaisia tietosuojasyötteitä muutoksenhallinnan prosesseihin olisi mahdollista lisätä?

Mukavia ja työntäyteisiä hetkiä tietosuojan parissa!

 

Julkaistu Ei kommentteja artikkeliin Riskienhallinta operatiivisella tasolla

Riskienhallinta operatiivisella tasolla

Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä.

Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella.

Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisiä kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selkeästi kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksissä usein käytössä operatiivisten riskien tietojärjestelmä, joka tukee suuremman tietomassan käsittelyä. Riskien tunnistaminen ja luokittelu johdonmukaisesti on tärkeää erityisesti suuremmissa organisaatioissa, suuren tietomäärän analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.

Operatiivisella tasolla riskit ovat yksittäisiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyviä, riskinä tunnistetaan esimerkiksi tekijä, joka voi estää tietyn yksittäisen vuositavoitteen saavuttamisen. Tyypillisiä esimerkkejä ovat myös tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.

Riskeistä keskustellaan käytännönläheisesti, samalla tukeutuen yksikön omiin tavoitteisiin sekä koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan pääsääntöisesti yksikön oman budjetin sallimissa rajoissa. Riskienhallinnalle määritellään yksityiskohtaisesti yksittäiset toimenpiteet, vastuuhenkilö(t), aikataulu ja seurantaprosessi.

Pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvvarret” ruuhkauta ylemmän johdon agendaa.

Riskeistä raportoidaan kootusti bisnesriskienhallinnan tasolle mutta pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvarret” ruuhkauta ylemmän johdon agendaa. Raportointi ylemmälle tasolle on kuitenkin tärkeää siksi, että operatiivisella tasolla saatetaan tunnistaa riskejä, jotka ovat esim. osatekijöitä organisaatiota laajemmin koskettavissa riskeissä. Joskus on myös aiheellista arvioida hallintatoimenpiteiden riittävyys ylemmällä tasolla.

Tämä ja edeltävät kaksi postausta ovat käsitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riittävässä laajuudessa kaikki riskitasot. Tämä ei kuitenkaan tarkoita sitä, että kaikki riskit käsiteltäisiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja työkalut. Eri tasojen välinen viestintä on edellytys sille, että jako toimii tarkoituksenmukaisesti.  Tähän palaamme seuraavassa kirjoituksessa.

Esimerkki operatiivisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaa kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja käsitys uhkista ja kontrollien heikkouksista täsmentyy.

Etenkin ennen asetuksen voimaan astumista operatiivisen tason riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin järjestelmiin ja IT:n käytäntöihin tietojärjestelmien valvonnassa ja hallinnassa. Työtä priorisoidaan liiketoiminnan näkökulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyvät järjestelmät ovat etusijalla.  Viimeistään toukokuun 2018 jälkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.

On pohdittava:

Mitä henkilötietoja käsittelemme?

Missä prosesseissa ja tietojärjestelmissä käsittelemme kutakin henkilötietoa?

Missä henkilötietoja säilytetään? Onko ratkaisu teknisesti vaatimukset täyttävä ja kestävä?

Millä käytännön toimenpiteillä varmistamme (ja parannamme) tietojen suojausta?

Onko tunnistetuille prosesseille ja järjestelmille tehty tietosuojan vaikutusarviointi?

Millä käytännön toimenpiteillä tunnistamme tietovuodon?

Miten käytännössä reagoimme tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?