Tagged: tietoriski

Tietoriskien hallintajärjestelmä

Riskien hallinnan periaatteita noudattaen yrityksessä pitää olla selvillä erilaisten tietoriskien ja yllättävien tilanteiden estäminen, tilanteen hallinnan ja korjaamisen menettelyt, järjestelyt, keinot ja ratkaisut.

Tietoriskien tunnistamisen yhteydessä selvitetään nykyisin noudatettavat käytännöt ja menettelyt sekä käytettävät suojauskeinot ja järjestelyt.

Tietoriskien analysoinnissa arvioidaan toiminnan haavoittuvuutta ja tilanteen toteutumisen mahdollisuutta.

Toiminnan parantamisessa suunnitellaan kehitettävät uudet tarpeelliset menettelyt ja keinot.

Eri toimiyksiköissä pitää tietää tietoriskien hallinnoimiseksi ja torjumiseksi, mitä riskejä torjutaan, mitkä ovat kriittisimmät riskit ja miten niitä torjutaan.

Ihmisten tietoisuuden ja toimintatapojen sekä eri suojauskeinojen integrointi takaa tiedon suojaamisen vääristymisiltä tai tiedon joutumisen asiattomien haltuun.

Kaikki keinot tähtäävät yhdessä käytettynä siihen, että yritykselle tärkeät toimintayksiköissa käsiteltävät tiedot säilyvät oikeina ja käytettävissä sekä vain niiden käytössä, joille tiedot työtehtävien tekemisessä kuuluvat.

Näin voidaan varmistaa tietoriskien hallinta ja osaltaan taata yrityksen kilpailukyky ja suojata yritykselle tärkeä tieto asiattomilta ja kilpailijoilta.

Erilaisia teknisiä ratkaisuja on tarjolla useita, joista yrityksen tulee osata koota omaan toimintaansa tarkoituksenmukaiset ja yhteensopivat keinot.

Tietoturvallisuuden hallintataso riippuu toimintayksikön valmiuksista ja käytännöistä.

Eri tavoista ja ratkaisuista syntyy yritykselle se taso, jolla toimitaa ja omaisuutta suoljataan ja se suojaustoimien varasto, joka on käytettävissä.

Kaikkia eri suojaustapoja, -ohjeita, -menettelyjä, -keinoja ja -ratkaisuja nimitetään myös kontrolleiksi, keinovarastoksi, kontrollipooliksi.

Tämä kokonaisuus on tietoturvallisuuden hallintajärjestelmä, jonka tasoa ja riittävyyttä suhteessa toimintaan voidaan arvioida.

Arvioinnissa tehdään helposti virhe siinä, kun jätetään tunnistamatta todelliset tietoriskit, käytössä olevat kontrollit ja toteutuneet toimintaa häirinneet tilanteen ja kun arvioidaan tietoturvallisuuden hallintajärjestelmää toiminnasta irrallisena järjestelmänä – joko teknisinä ratkaisuina tai toimintaohjeina.

Koska tietoriskien hallinta vaatii ihmisten johtamista, sovittujen käytäntöjen ja menettelyjen noudattamista, teknisiä ratkaisuja ja muita suojausjärjestelyjä, on tietoturvallisuuden hallintataso aina erilainen eri toimintayksiköissä.

Johdolle on lupa esittää vain totuudenmukaista tietoa. Vain yhteenveto, joka sisältää analysoinnit kriittisten ja tärkeiden toimintayksiköiden tietoriskeistä, niiden vaikutuksesta ja hallinnan tasosta, kuvaa ammattimaista analysointia ja kyvykkyyttä.

Lähde: Tuija Kyrölä, Esimien ja tietoriskien hallinta, WSOY, 2001

Yrityksen turvallisuuden kehittäminen

Liiketoiminnan turvallisuutta voidaan taata mm.

  • ydintoiminnan varmistamisella
  • tilojen suojaamisella
  • toimintaedellytysten varmistamisella
  • työntekijöiden riskitietoisuuden ja valmiuksien kehittämisellä
  • liikesuhteissa käyttäytymisen ohjeilla
  • varajärjestelyjen ennakkosuunnittelulla

Toiminnan jatkuvuuden turvaaminen edellyttää ydintoiminnan, kuten tuotannon ja tuotekehityksen varmistamista. Eismerkiksi tehtaassa koneiden kunnossapitoa, työvaiheiden ohjaamista, henkilöstön osaamisen ylläpitoa, jne.

Edellä oleva tarkoittaa yleensä elintärkeiden järjestelmien, tietojan ja yhteyksien toiminnan hallintaa ja henkilöstön osaamisen ylläpitoa.

Kiinteistössä, kuten toimistossa, asiakas- ja muissa työtiloissa, tulee sallia liikkuminen ainoastaan ennalta tunnistetuille henkilöille.

Työvälineiden ja muun omaisuuden tulee säilyä ehjänä ja käyttökuntoisena.

Toimintaedellytykset, kuten sähkön- ja vedensaati tulee varmistaa.

Kiinteistöä ja ympäristöä uhkaaviin vaaroihin, kuten tulipaloihin tulee varautua.

Henkilöstön riskitietoisuus ja toimintakyky takaavat yllättävissäkin tilanteissa oikean toiminnan. Siksi on tärkeää, että rekrytoinnissa arvioidaan henkilöiden luotettavuus ja lojaalisuus ja että valmiukisista huolehditaan säännöllisesti kouluttamalla ja tiedottamalla työpaikalla, liikesuhteissa ja vapaa-ajalla noudattettavista käytännöistä ja toimintaohjeista.

On myös tärkeää seurata työkykyä ja huolehtia fyysisestä suojauksesta noudattamalla turvallisuusmääräyksiä.

Matkustamiseen ja ulkomaankomennuksiin liittyvät riskit ja turvalliset käytännöt tulee selvittää henkilöstölle.

Henkilöstön riskitietoisuuden taso ja kehittyminen voidaan koota yrityksen osaamistietokantaan.

Ulkopuoliset, kuten kilpailijat ja liikekumppanit ovat kiinnostuneita yrityksen toiminnan tiedoista ja osaavista ihmisistä. Liikesuhteissa toimittaessa on noudatettava yrityksen johdon määrittelemää suojaustasoa.

On tärkeää sopia yhteisistä käytännöistä, liittää ne sopimuksiin sekä sopia väärinkäyttötapauksille vahingonkorvaus tai sakko.

Varajärjestelyjen suunnittelulla varaudutaan kriittisten ja tärkeiden toimintojen jatkamiseen yllättävissä tilanteissa. Toimenpiteet kuvataan tärkeiden toimintojen toipumissuunnitemissa.

Vastuulliesn koordinoijan on tärkeää luoda luottamuksellinen suhde eri yritysten asiantuntijoihin ja viranomaisiin. Riskien hallintatehtävissä on huolehdittava mys varahenkilöjärjestelyistä esimerkiksi sillä, että vastuullisen tulee dokumentoida toimintansa ja jakaa tietoa ainakin esimiehelleen.

Riskienhallinnan koordinoijan on tärkeää suunnata painopistettä henkilöstön aiheuttamien tahattomien tai tahallisten tilanteiden, jopa rikosten, estämiseen eikä ainoastaan ulkoisten uhkien torjuntaan.

Jokainen julkisuuteen tullut sisäinen rikosepäily mustaa yrityksen mainetta,

Riskien hallinnan ohjaaminen vain ulkoisten uhkien torjuntaan mahdollistaa sisäisten virheiden jatkumisen.

Erityisesti yrityksen omistajien ja sijoittajien tulee kiinnittää huomio riskien hallintatyön painopisteiden analysointiin.

 Lähde: Tuija Kyrölä, Esimies ja tietoriskien hallinta, WSOY 2001

Tietoriskit

Tietoriskin kohteina yrityksessä ovat esimerkiksi tietojenkäsittelylaitteet ja -yhteydet, ohejmistot ja tiedostot, arkistomateriaali ja asiakirjat ja rekisterit.

Tietoa uhkaavat vaarat ovat suurin piirtein samat kuin omaisuusriskien toteutuminen, mutta toteutumismuodot ovat osittain erilaisia.

Tietojenkäsittely turvallisuus on olennainen osa liiketoiminnan turvallisuutta. Yritystoiminnan riippuvuus tietojenkäsittelystä on suuri ja kasvaa koko ajan.

Mm. hajautettu toiminta, verkostoituminen, rationalisointi, elektroninen kaupankäynti, kansainvälinen rahaliikenne, paperiton toiminta ja asiakasyhteyksien hoito perustuvat atk järjestelmiin ja verkkoihin.

Tietoturvallisuuden perusedellytys on, että tietojen ja ohjelmien varmistukset ovat kunnossa. Korvaavia laitteita on aina saatavissa, mutta ohjelmien ja varsinkin tietojen tuhoutuminen tai joutuminen vääriin käsiin vahingoittaa aina yrityksen toimintaa ja mainetta.

Pahimmillaan se voi aiheuttaa koko liiketoiminnan loppumisen.

Turvatoimet tietojärjestelmien suojaamiseksi varmistavat tietojen häiriöttömän käsittelyn. Investoinnit voidaan laskea liiketoimintaan liittyviin ylläpito- ja kehittämiskustannuksiin.

Turvatoimien lisäksi yrityksen kannattaa varautua tietojenkäsittelyyn kohdistuviin vahinkoihin ja niiden aiheuttamiin taloudellisiin menetyksiin.Turvatoimet ovat harvoin täysin aukottomia.

Voi tapahtua myös vahinkoja, joihin ei osata tai voida varautua.

Omaisuusvakuutukset eivät yleensä korvaa tietokoneessa tai muussa elektroniikkalaitteessa oleville tiedostoille ja ohjelmille aiheutuneita vahinkoja.

Vakuutus ei myöskään korvaa vahinkoa, jonka on aiheuttanut tieto- ja tietoliikennetekniikalle tietoliikenteen häirintä (esim. käytönestohyökkäys), tietomurto (esim. hakkerointi) tai vaaran aiheuttaminen tietojenkäsittelylle (esim. tietokonevirus).

Vastuuvakuutukset korvaavat vakuutuskirjassa mainitussa toiminnassa toiselle aiheutetut henkilö- ja esinevahingot, joista vakuutuksenottaja on voimassaolevan oikeuden mukaan korvausvastuussa.

Ne korvaavat myös henkilätietolain 47 pykälässä tarkoitetun taloudellisen vahingon johonkin tiettyyn pieneen euromäärään saakka. Vakuutuksen korvauspiirillä ei ole vaikutusta lain määräämään vastuuseen aiheutetusta taloudellisesta vahingosta.

47 §
Vahingonkorvausvelvollisuus

Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä.

Vahingonkorvauksesta on muutoin voimassa, mitä vahingonkorvauslain (412/1974) 2 luvun 2 ja 3 §:ssä, 3 luvun 4 ja 6 §:ssä sekä 4, 6 ja 7 luvussa säädetään.

Lähde: Pellikka, et.al., Omaisuuden vakuuttaminen, Suomen Vakuutusalan Koulutus ja Kustannus, 1998