Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Transkriptio

1 Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

2 Taustaa ICT-tietoturvapäällikkö Tullissa Tietoturvan ja riskien hallinta Tietosuoja ja yksityisyys Tietoturvaarkkitehtuuri OWASP Helsingin hallituksen jäsen ISC 2 CISSP IAPP CIPP/E SABSA SCF VAHTI-sihteeristön jäsen ISACA CISM IAPP CIPT CSA CCSK LinkedIn: pyryheikkinen ITIL v3 Foundation PRINCE2 Foundation TOGAF 9 Certified Pyry Heikkinen 2

3 Tietoturvariskit ja tietosuojariskit eivät analogisia Tieto vuotaa luvattomille tahoille Organisaation toiminta häiriintyy Tietoturvariskit Tietosuojariskit Yksilön oikeuksia ja vapauksia loukataan Tieto ei ole saatavilla Pyry Heikkinen Tietosuojaa ei siis ratkaista pelkällä tietoturvallisuudella. 3

4 Tietosuoja ja tietoturva ovat joskus myös (näennäisesti) ristiriidassa Tietosuoja Tietoturva Pyry Heikkinen 4

5 Miten organisaatio huolehtii tietosuojan ja tietoturvan kehittämisestä? START Pyry Heikkinen 5

6 Sisäinen tarkastus (IA) (ISMS/PIMS) (EA) (ERM) Tietoturvan/ Tietosuojan hallintajärjestelmät Arkkitehtuuri Riskienhallinta Tietosuojavastaava (DPO) Organisaatiokulttuuri ja Omistajuus Pyry Heikkinen 6

7 Tietoturvan ja tietosuojan hallintajärjestelmät (ISMS/PIMS) Merkitys Luovat kivijalan tietoturvan ja tietosuojan toteutumiselle Toteuttavat periaatteita, velvollisuuksia ja oikeuksia Lainmukaisuus Käsittelyn turvallisuus ja tietosuojaloukkausten hallinta Rekisteröidyn oikeudet ja rekisterinpitäjän velvollisuudet Viitekehykset (esim.) ISO , TTA+VAHTI, ISO osiltaan ISO (tulossa), ISO Pyry Heikkinen 7

8 ISO Tietosuojan ja -turvan hallinnan linkitys? Security techniques Extension to ISO/IEC and ISO/IEC for privacy information management Requirements and guidelines Luonnosvaiheessa (Draft International Standard valmistelussa) ISO:ssa: Laajentaa standardin mukaista tietoturvallisuuden hallintajärjestelmää (ISO 27001) ja tämän kontrolleja (ISO 27002) tietosuojan hallinnan vaatimuksilla. Pyry Heikkinen 8

9 Riskienhallintajärjestelmä (tai prosessi) - ERM Merkitys Havaitsee uuden säätelyn (toimintaympäristöanalyysi) Hallitsee ja raportoi tietosuoja- ja tietoturvariskit johdolle Lainmukaisuus Riskilähtöisyys Osoitusvelvollisuus Viitekehykset (esim.) ISO 31000, ISO (Tietoturvariskit) COSO ERM Pyry Heikkinen 9

10 Kokonaisarkkitehtuuri - EA Merkitys Suunnittelee ja toteuttaa muutoksen ja vaatimukset tietojärjestelmissä: periaatteet, oikeudet ja velvollisuudet Lainmukaisuus Tietosuoja- ja turvaperiaatteet, rekisteröidyn oikeudet, rekisterinpitäjän velvollisuudet, jne. (tietojärjestelmissä) Viitekehykset (esim.) TOGAF JHS 179 Pyry Heikkinen 10

11 Sisäinen tarkastus - IA Merkitys Varmistaa hyvän hallinnon, vaatimustenmukaisuuden ja riskienhallinnan toteutumista auditoi ja ehdottaa Lainmukaisuus Lainmukaisuus kokonaisuudessaan Hyvä hallinto (eettisyys) ja riskilähtöisyys Viitekehykset (esim.) IIA COBIT (tietohallintokontrollit) Pyry Heikkinen 11

12 Tietosuojavastaava - DPO Merkitys Valvoo ja tukee tietosuojan toteutumista Toimii linkkinä rekisteröityihin ja valvontaviranomaisiin Lainmukaisuus Tietosuojavastaavan tehtävä Vaikutustenarviointi, informointi ja tietosuojaloukkaukset Viitekehykset (esim.) GDPR, eprivacy, kansalliset lait IAPP BoK Pyry Heikkinen 12

13 Operatiivinen Taktinen Strateginen Tietosuojavastaava Omistajat ja kulttuuri Sisäinen tarkastus Ti-hallintajärjestelmät Kokonaisarkkitehtuuri Riskienhallinta Eettiset periaatteet Johdon katselmus Tietoturva -politiikka Tietosuoja -politiikka Työroolit Periaatteet Vaatimukset Tietovirrat Toimintaympäristön analyysi Riskiraportointi johdolle Prosessien riskiarviot Toiminta Koordinaatio -ryhmät Sidosryhmien hallinta Koulutus & ohjeistus Auditoinnit Prosessit ja työtavat Periaatteet Tietoturvapalvelut Tiedon elinkaari Tietosuojapalvelut Tietosuoja -hankkeet MDM Tietokokonaisuudet Tietosuojamenetelmät Turvallinen infra Koordinaatio-ryhmät Hankkeiden & osastojen riskien hallinta Projektien, palveluiden, järjestelmien ja ryhmien riskienhallinta Tieto/ järjestelmä Teknologia Pyry Heikkinen 13

14 Tiedonhallinta IA Johto Lakiosasto Luo puitteet ja valvoo DPO eprivacy GDPR Uhkataso Liiketoiminnot EA ISMS/PIMS Kivijalka (tietoturvan ja -suojan hallinta) ERM Pyry Heikkinen 14

15 Kehityksen etenemisen seuranta Johto Tietotilinpäätös Kehityshankkeiden status Tietoturvan tilannekuva Riskiraportointi Auditoinnit Tietosuojan hallinta Edistyminen Tietoturvan hallinta Tietosuoja /tietoturva -riskit Lainmukaisuus DPO PMO CISO CRO IA Pyry Heikkinen 15

16 Eri pelureiden motiivit tietosuojan varmistamisen suhteen.. Miksi meidän pitäisi panostaa tietosuojaan? Pyry Heikkinen 16

17 (Henkilö)asiakaslähtöisyys Tehokas asiakaspalvelu Asiakkaan oikeuksien toteuttaminen, läpinäkyvyys, MyData, asiakasarvostus, asiakkaan suojelu, asiakkaan edun ajaminen, prosessien tehokkuus, lean & agile Helppo tapa aloittaa järjestelmällistä riskienhallintaa: SWOT Sanktioriskin minimointi Lainmukaisuus, hallinnon ohjaus, vahingonkorvaukset, rikosoikeudellinen vastuu, virkavastuu, käsittelyn keskeytys, tarkastukset Kilpailuetu Ylivertainen asiakaskokemus, asiakastiedon hyödyntäminen palvelun kehittämiseksi, käyttäjien ja asiakkaiden saanti, eettisyys, brändi, innovatiivisuus, big data & AI Maineriskin minimointi Negatiivinen julkisuus, käyttäjien tai asiakkaiden menetys, sidosryhmäsuhteet, imago, yhteiskunta- ja työnantajakuva Maine- & brändiherkkyys Pyry Heikkinen 17

18 Eri pelureiden motiivit tietoturvan varmistamisen suhteen.. Miksi meidän pitäisi panostaa tietoturvaan? Pyry Heikkinen 18

19 Tiedon salassapidon tärkeys Helppo tapa aloittaa järjestelmällistä riskienhallintaa: SWOT Luotettu osapuoli Sensitiiviset tiedot suojattu turvallisesti ja lainmukaisesti ja asiakkaiden, kumppanien sekä viranomaisten luottamus varmistettu Yhteiskunnan kivijalka Toiminnan jatkuvuus ja luotettavuus varmistettu vaativissakin olosuhteissa ja kehittyneiden uhkien kohteeksi joutuessa Innovaatioiden hyödyntäjä Oikeanlaiset suojaukset ja lain vaatimukset toteutettu digitalisaation, globalisaation ja innovaatioiden kustannustehokkaaksi hyödyntämiseksi Ketjun vahvin lenkki Toiminnan jatkuvuus ja tehokkuus varmistettu, jotta yhteiskunnan kriittiset toiminnot eivät häiriinny tai lamaannu kokonaan Toiminnan jatkuvuuden ja oikeellisuuden kriittisyys Pyry Heikkinen 19

20 Kiitos! Ikonit: Open Security Architecture Kuvat: Tulli, unsplash.com, pixabay.com Pyry Heikkinen 20