Julkaistu Ei kommentteja artikkeliin Risk Managerin huolilista: Top3 privacy-riskiä

Risk Managerin huolilista: Top3 privacy-riskiä

Tietosuoja-asetus astui voimaan toukokuun lopussa. Ennen tuota deadlinea moni organisaatio teki suuren työn tunnistaakseen oman toimintansa puutteet ja laittaaksen prosessit tietosuoja-asetuksen mukaiseksi 25.5.2018 mennessä.  Kesän ajan ollaan siis huokaistu helpotuksesta, nostettu jalat pöydälle ja suunnattu levähdyksen jälkeen syksyn alkaessa kaikki energia uusiin haasteisiin?

Valitettavasti ei (vaikkakin monen tietosuojaprojekteissa työskennelleen mielestä tämä ehkä kuulostaa varteenotettavalta vaihtoehdolta), nimittäin viimeistään kevään aikana  mukana olleille valkeni, että tietosuojaan liittyvä työ ei ole kertaprojekti. Se vaatii jatkuvaa ylläpitoa ja kehittämistä ja nykymaailmassa tietosuoja tulee huomioida yhtenä osa-alueena yrityksen jatkuvassa riskienhallinnassa.

Helpottaaksemme mahdollista tuskaa aiheeseen liittyen, nostamme tässä kirjoituksessa esiin kolme ajankohtaista teemaa, joiden kautta riskienhallintapäällikkö voi tarkastella aihetta pysyäkseen kartalla siitä, missä suurimmat riskit luuraavat.

Ihmiset

Suurin hype tietosuojan ympärillä on (toistaiseksi) hälventynyt ja nyt pitäisi varmistaa, että henkilöt, jotka dataa käsittelevät, käsittelevät sitä jatkossakin uusien ohjeiden ja prosessien mukaisesti. Monessa yrityksessä datan käsittelyä tehdään eri aikakausilta peräisin olevissa järjestelmissä ja sitä löytyy myös sähköposteista jne. Miten homma pysyy hanskassa kesälomien jälkeen – muistavatko kaikki vielä hienon ja kattavan koulutuksesi sisällön ja toteuttavatko he uutta toimintamallia edelleen pieteetillä?

Havainnointikyky ja varautuminen

Tekninen kyvykkyytesi – tunnetko oman kyvykkyytesi (ja sen rajoitteet) tunnistaa ja tutkia tietomurtotilanteita? Jos dataa katoaa tai epäillään väärinkäytöstä, näetkö järjestelmistäsi mitä tapahtui ja milloin?

Kriisijohtaminen – onko jatkuvuuden hallinnan prosessisi päivitetty sisältämään skenaario henkilötietomurrosta?  Onko organisaatiosi aidosti kykenevä toimimaan prosessin mukaisesti ja tuottamaan tietoa säännösten vaatimalla tavalla?

Muutoksen hallinta

Vietit ehkä viime kevään (tai jo sitä edeltävän vuoden) etsimällä ja kuvaamalla kaikki ne prosessit, joissa organisaatiossasi dataa käsitellään. Ja hyvä niin, olit valmis toukokuun 25. päivä. Paitsi että sitten on se pikkujuttu, eli elämä toukokuun jälkeen.

Organisaatiossasi on varmasti jo suunnitteilla muutoksia. Onko tietosuoja mukana, kun organisaatiossasi suunnitellaan uusia prosesseja, kehitystiimit valmistautuvat lanseeraamaan uusia tuotteita tai nettisivuillenne suunnitellaan lisättäväksi uusia analytiikkatyökaluja? Miten varmistat sen, että toiminta on jatkuvien muutostenkin keskellä aina tietosuoja-asetuksen mukaista?

Jos nämä kolme näkökulmaa ovat hanskassa ja sinulla on luottavainen olo niiden suhteen – onneksi olkoon, jatka samaan malliin! Jos taas tunnet huolen kouraisevan vatsanpohjaa jonkin kohdalla, on aika perehtyä asiaan tarkemmin eli kuvata riskit oman organisaatiosi kannalta ja miettiä niihin korjaavat toimenpiteet. Tulisiko henkilöstölle esimerkiksi laatia vuosittainen koulutusohjelma tietosuojaosaamisen ylläpitämiseksi, olisiko jatkuvuudenhallintaa syytä harjoitella tai kartoittaa millaisia tietosuojasyötteitä muutoksenhallinnan prosesseihin olisi mahdollista lisätä?

Mukavia ja työntäyteisiä hetkiä tietosuojan parissa!

 

Julkaistu Ei kommentteja artikkeliin Riskienhallinta operatiivisella tasolla

Riskienhallinta operatiivisella tasolla

Operatiivinen riskienhallinta –tasolla riskienhallinta on määrämuotoista ja se keskittyy yrityksen päivittäisen toiminnan riskeihin lyhyellä, usein noin vuoden aikajänteellä.

Operatiivisten riskien hallinta on keskijohdon vastuulla. He vastaavat riskien tunnistamisesta, analysoinnista, käsittelystä ja raportoinnista oman organisaationsa avustuksella.

Operatiivisella tasolla tarkasteltavien ja käsiteltävien riskien lukumäärä on suuri ja prosessiin kohdistuu vaatimuksia tehokkuudesta ja jäljitettävyydestä. Myös riskiarviointien laadintaan osallistuu usein huomattavasti laajempi joukko ihmisiä kuin ylempien tasojen riskienhallintaan. Ollakseen tehokas, prosessin tuleekin olla selkeästi kuvattu ja ohjeistettu. Riskinhallinnan apuna on suuremmissa yrityksissä usein käytössä operatiivisten riskien tietojärjestelmä, joka tukee suuremman tietomassan käsittelyä. Riskien tunnistaminen ja luokittelu johdonmukaisesti on tärkeää erityisesti suuremmissa organisaatioissa, suuren tietomäärän analysoimiseksi ja muilla tasoilla tapahtuvan operatiivisten riskien katselmoimiseksi.

Operatiivisella tasolla riskit ovat yksittäisiin aihepiireihin, prosessien toimivuuteen ja toimintatapoihin liittyviä, riskinä tunnistetaan esimerkiksi tekijä, joka voi estää tietyn yksittäisen vuositavoitteen saavuttamisen. Tyypillisiä esimerkkejä ovat myös tietoturvallisuuden, omaisuusvahinkojen ja projektien riskit.

Riskeistä keskustellaan käytännönläheisesti, samalla tukeutuen yksikön omiin tavoitteisiin sekä koko organisaation olennaisiin tavoitteisiinja kokonaisriskikuvaan. Riskienhallintatoimenpiteet suunnitellaan ja toteutetaan pääsääntöisesti yksikön oman budjetin sallimissa rajoissa. Riskienhallinnalle määritellään yksityiskohtaisesti yksittäiset toimenpiteet, vastuuhenkilö(t), aikataulu ja seurantaprosessi.

Pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvvarret” ruuhkauta ylemmän johdon agendaa.

Riskeistä raportoidaan kootusti bisnesriskienhallinnan tasolle mutta pääosa riskeistä pyritään käsittelemään keskijohdon valtuuksin, jotta prosessi pysyy kevyenä, eivätkä ”lillukanvarret” ruuhkauta ylemmän johdon agendaa. Raportointi ylemmälle tasolle on kuitenkin tärkeää siksi, että operatiivisella tasolla saatetaan tunnistaa riskejä, jotka ovat esim. osatekijöitä organisaatiota laajemmin koskettavissa riskeissä. Joskus on myös aiheellista arvioida hallintatoimenpiteiden riittävyys ylemmällä tasolla.

Tämä ja edeltävät kaksi postausta ovat käsitelleet riskienhallinnan eri tasoja. Tehokkainta riskienhallinta on silloin, kun se huomioi riittävässä laajuudessa kaikki riskitasot. Tämä ei kuitenkaan tarkoita sitä, että kaikki riskit käsiteltäisiin samalla tavalla, vaan eri tasoille on luotava niille soveltuvat prosessit ja työkalut. Eri tasojen välinen viestintä on edellytys sille, että jako toimii tarkoituksenmukaisesti.  Tähän palaamme seuraavassa kirjoituksessa.

Esimerkki operatiivisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaa kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Operatiivisella tasolla tietosuojariskit konkretisoituvat ja käsitys uhkista ja kontrollien heikkouksista täsmentyy.

Etenkin ennen asetuksen voimaan astumista operatiivisen tason riskien tunnistamiseksi toteutetaan tietosuojaa koskeva vaikutustenarviointi kohdistuen erityisesti teknisiin järjestelmiin ja IT:n käytäntöihin tietojärjestelmien valvonnassa ja hallinnassa. Työtä priorisoidaan liiketoiminnan näkökulmasta ja taktisella tasolla tunnistetut korkean riskin toiminnot ja niihin liittyvät järjestelmät ovat etusijalla.  Viimeistään toukokuun 2018 jälkeen tietosuojan tulee olla osa normaalia riskienhallintaprosessia.

On pohdittava:

Mitä henkilötietoja käsittelemme?

Missä prosesseissa ja tietojärjestelmissä käsittelemme kutakin henkilötietoa?

Missä henkilötietoja säilytetään? Onko ratkaisu teknisesti vaatimukset täyttävä ja kestävä?

Millä käytännön toimenpiteillä varmistamme (ja parannamme) tietojen suojausta?

Onko tunnistetuille prosesseille ja järjestelmille tehty tietosuojan vaikutusarviointi?

Millä käytännön toimenpiteillä tunnistamme tietovuodon?

Miten käytännössä reagoimme tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?

 

Julkaistu Ei kommentteja artikkeliin Riskienhallinta taktisella tasolla

Riskienhallinta taktisella tasolla

Taktinen riskienhallinta -tasolla tarkastellaan ja hallitaan toiminnan suunnitteluun, organisointiin sekä toteutukseen liittyviä riskejä. Monesti puhutaan myös bisnesriskien hallinnasta. Riskienhallintainformaatio tukee liiketoiminta-alueita koskevaa päätöksentekoa.

Kyseessä ovat strategisia riskejä astetta konkreettisemman tason riskit, jotka liittyvät strategian käytännön toteuttamiseen selkeiden tavoitteiden ja toimintasuunnitelmien mukaisesti. Hyvä taho arvioimaan riskejä tällä tasolla on liiketoimintajohto (yhdessä liiketoiminta-alueen johtoryhmän kanssa). Toimitusjohtajan rooli on tukea ja haastaa liiketoimintajohdon riskienhallintatyötä.

Keskustelu käydään strategista tasoa yksityiskohtaisemmin. Silti on erittäin tärkeää säilyttää kokonaiskäsitys oman liiketoiminta-alueen riskikokonaisuudesta ja yhtymäkohdista, sekä vaikutuksista muihin liiketoiminta-alueisiin. Riskien tunnistamisen lähtökohtana on sekä oman liiketoiminta-alueen strategia ja tavoitteet, että organisaation kokonaisstrategia. Tukena riskien käsittelyssä on sekä strategisen tason riskiraportointi, että operatiiviselta tasolta tuleva riskienhallinnan tieto ja erityisesti operatiivisella tasolla tunnistetut riskit, joita toivotaan arvioitavan ylemmällä tasolla suhteessa kokonaisuuteen.  Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan.

 Riskien tarkastelun aikajänteen tulee määräytyä yrityksen toiminnan suunnitteluprosessien mukaan

Käsiteltävien riskien lukumäärä on edelleen rajallinen, mutta kuitenkin suurempi kuin strategisella riskienhallinnan tasolla; käsittelyssä on tyypillisesti 10-20 liiketoimintajohdolle olennaisinta riskiä per liiketoiminta-alue. Riskejä voidaan tunnistaa mihin tahansa perinteisistä riskiluokista, strategisiin, taloudellisiin, operatiivisiin… Olennaista on, että käsitellään liiketoiminnan kannalta merkittäviä aiheita.

Tehokkaiden riskienhallintasuunnitelmien laatimiseksi riskien juurisyistä tulee muodostaa riittävä käsitys.  Kaikkiin riskienhallinnan toimenpiteiden yksityiskohtiin ei puututa, mutta suunnitelma konkretisoidaan toimenpiteiksi, joille määritetään vastuuhenkilöt, toteutusaikataulu ja seuranta. Toimenpiteiden vaikuttavuutta tulee arvioida suhteessa niiden vaatimiin resursseihin ja toimenpiteet tulee viedä toimintasuunnitelmiin ja liiketoiminta-alueen budjettiin.

Esimerkki taktisen tason riskipohdinnoista – tietosuoja

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta?

Strategisella tasolla luotiin käsitys siitä, onko tietosuoja merkittävä riski yrityksen toiminnalle ja miten siihen tulisi suhtautua. Taktisella tasolla tietosuojaan liittyvää riskiä tarkastellaan yrityksen tuottamien palveluiden ja tuotteiden näkökulmasta. Jos tietovuoto on strategisella tasolla nostettu merkittäväksi riskiksi, niin tällä tasolla tarkastelua konkretisoidaan tunnistamalla palvelut, toimintaprosessit ja liiketoimintatavoitteet joissa riski on suurin.

On pohdittava:

Minkä palveluiden tai tuotteiden tuottaminen edellyttää henkilötietojen käsittelyä?

Olemmeko kartoittaneet missä tietoja tallennetaan ja miten niitä hyödynnetään?

Käsittelemmekö tietoja kumppaniemme kanssa ja onko vastuut kirjattu selkeästi sopimuksiin?

Tiedämmekö, että tiedot on suojattu asianmukaisesti?

Onko meillä kyvykkyys tunnistaa tietovuoto?

Pystymmeko reagoimaan tietovuotoon 72 tunnin ilmoitusvelvollisuuden puitteissa?

Julkaistu Ei kommentteja artikkeliin Riskienhallinta strategisella tasolla

Riskienhallinta strategisella tasolla

Strateginen riskienhallinta –tasolla riskienhallinta nivotaan tukemaan strategiaa ja strategisia tavoitteita. Sen tarkoituksena on tukea ylimmän johdon toimintaa, merkittävien strategisten linjausten arviointia ja päätöksentekoa. Käsiteltävien riskien määrä pidetään rajallisena, huomio on merkittävimmissä riskikokonaisuuksissa.

Strategisella tasolla riskit ovat suuria ja monitahoisia kokonaisuuksia, jotka ovat yritystasolla merkittäviä ja voivat uhata strategisten tavoitteiden saavuttamista. Käsiteltävät riskit eivät koostu yksinomaan yrityksen riskiluokituksessa lokeroon ”strategiset riskit” koostetuista asioista. Myös operatiivinen tai taktinen riski voi olla strategisesti merkittävä. Tämän vuoksi riskiraportoinnin tulee saada syötteitä sekä taktiselta, että operatiiviselta tasolta (yleensä taktisen tason kautta).

Merkittävänä haasteena strategisen riskienhallinnan toteuttamisessa on, että perinteiset strategiaopit eivät nosta riskienhallintaa osaksi strategiatyötä. On toimintaympäristöanalyysia ja SWOT-analyysia kaikkine laajennuksineen mutta riskit eivät kuulu prosessiin ja piste. Haastaisimme yritysjohtoa ja riskienhallinnan ammattilaisia miettimään, miten on mahdollista tehdä pitkälle tulevaisuuteen ulottuvia strategisia linjauksia, jos ei ole ymmärrystä nykytilan riskeistä ja niiden kehittymisestä eri strategiavaihtoehdoissa? Strategiset linjaukset kuten esimerkiksi laajentuminen uudelle palvelu- tai maantieteelliselle alueelle ovat mahdollisuuksia liiketoiminnalle, mutta niiden mukana syntyy uusia, tuntemattomia riskejä. Nämä riskit ja suhtautuminen niihin tulisi tunnistaa osana strategian valmistelutyötä, ei vasta päätöksenteon jälkeen.

Paras taho arvioimaan riskejä ja määrittämään ylätason hallintastrategiat on organisaation ylin johto: hallitus (ja suuremmassa yrityksessä hallituksen tarkastusvaliokunta) toimitusjohtajan tukemana (suuremmissa yrityksissä toimitusjohtajaa puolestaan tukee hänen johtoryhmänsä). Ylin johto varmistaa, että riskienhallinnan taso ja prosessi ovat riittäviä, haastaa toimitusjohtajaa riskikokonaisuudesta ja evästää riskienhallinnan toimenpiteiden priorisoinnista, tasosta ja luonteesta.

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää

Riskienhallintaa koskevan keskustelun tulisi olla napakkaa ja olennaisiin, suuriin kokonaisuuksiin keskittyvää, yksityiskohtaisiin toimenpiteisiin ei ole tarkoituksenmukaista mennä. Tämä edellyttää keskustelun pohjana käytettävältä riskiraportoinnilta paljon – strategisten riskien raportoinnissa ei saa jäädä kiinni lillukanvarsiin. Toisaalta saattaa olla tarkoituksenmukaista tehdä ns. Deep Dive -tyyppisiä sukelluksia yksittäisiin riskeihin tai riskiluokkiin, jotta varmistetaan yhteinen ymmärrys ja näkemys riskin merkityksestä, tilasta, kehitysnäkymistä ja vaadittavien toimenpiteiden tasosta.

Esimerkki strategisen tason riskipohdinnoista – tietosuoja

 

Tietosuojariskit ovat hyvä esimerkki riskilajista, johon liittyviä riskejä voidaan tunnistaan kaikilla riskienhallinnan tasoilla.  Keskustelu tietosuojan ympärillä on ollut viime aikoina tiivistä, johtuen toukokuussa 2018 voimaan tulevasta EU:n tietosuoja-asetuksesta. Miten tietosuojaan pitäisi suhtautua yrityksessä riskienhallinnan näkökulmasta? Kenen pöydällä aiheen tulisi olla ja mistä näkökulmasta? Strategisella tasolla luodaan käsitys siitä, onko aihe merkittävä yrityksen liiketoiminnan kannalta, ja ohjataan riskin käsittelyä muilla tasoilla.

On pohdittava:

Mitä henkilötietoja liiketoiminnassa tarvitaan?

Miten henkilötietoja liiketoiminnassa hyödynnetään?

Olemmeko mukana sellaisessa bisneksessä, jossa henkilötieto on liiketoiminnalle strategista tietoa?

Vaikuttaisiko tietovuoto merkittävästi liiketoimintaedellytyksiin, eli millainen vaikutus tapahtumalla olisi maineeseen ja uskottavuuteen & olisiko riski kustannusmielessä merkittävä?

Strategisella tasolla kannattaa pitää mielessä myös riskin upside. Voisiko hyvin hoidettu tietosuoja luoda jopa kilpailuetua markkinoilla asiakkaiden silmissä tai onko henkilötieto omaisuuserä, jonka avulla liiketoimintaa voidaan kehittää tai laajentaa?