Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Samankaltaiset tiedostot
Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Oletusarvoinen ja sisäänrakennettu tietosuoja. Pyry Heikkinen

Tietosuoja sovelluskehityksessä. Pyry Heikkinen

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Fennian tietoturvavakuutus

Miten tietoturvallisuus ja tietosuoja saadaan palveluihin sisäänrakennetuksi? Pyry Heikkinen

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Riskit hallintaan ISO 31000

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna.

Riskienhallintapolitiikka. Ohje 1 (11) 3/2017

Sisäisen valvonnan ja riskienhallinnan perusteet

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Inarin kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Digital by Default varautumisessa huomioitavaa

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Riskienhallinta- ja turvallisuuspolitiikka

Mitä riskienhallinnan auditointi voisi tarkoittaa - referenssinä ISO 31000

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Projektin suunnittelu A71A00300

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

Projektin suunnittelu A71A00300

Tietoturvan johtaminen ja vastuut

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

SISÄISEN VALVONNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SIIKAJO- EN KUNNASSA JA KUNTAKONSERNISSA

Peruskyberturvallisuus. Arjessa ja vapaa-ajalla koskee jokaista meitä

VAHTI-riskienhallintaohje. teoriasta käytäntöön

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Kooste riskienhallinnan valmistelusta

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

JUHTA-asiantuntijaryhmä tietoturva, tietosuoja, varautuminen Toteuma v. 2017, suunnitelma v. 2018

Muokkaa otsikon perustyyliä napsauttamalla

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Neulamäen paloasema, lautakunnan huone, Volttikatu 1a, Kuopio

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Mitä riskienhallinta on Espookonsernissa?

31 Helsingin seurakuntayhtymän käyttöönotettava ICT:n (tietoja viestintäteknologian) ja digitalisaation kehittämisen ohjausmalli

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Popinniemen Iskun seuraseminaari ja sen tulokset

KOSKIEN SAUMA-SOVELLUKSIA

Facebook koulutus. Kalle Rapi Etelä-Karjalan kylät ry

Kokonaisvaltainen riskienhallinta

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

TIETOTURVALLISUUDESTA

OPERATIIVISET RISKIT JA NIIDEN ENNAKOIMINEN

HARJAVALLAN KAUPUNGIN KUNNALLINEN SÄÄDÖSKOKOELMA

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Sosiaaliset mediat ja tietosuoja. Juha Kontturi IT -suunnittelija Turun ammattikorkeakoulu

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Kasva tietoturvallisena yrityksenä

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

KyberotsikoitaSuomesta. Lähteet: Helsingin Sanomat, Yle Uutiset, Talouselämä, Tivi

Valmistautuminen EU:n Tietosuojaasetukseen

PK-yrityksen tietoturvasuunnitelman laatiminen

Juuan Kunta. Sisäisen valvonnan ja riskienhallinnan perusteet. Hyväksytty kunnanvaltuustossa. Sisällys

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

5.10. Työ Työkykyjohtamisen opintopolku 2017, osa 8/9: Työkyvyn johtaminen tiedolla

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietokoneiden ja mobiililaitteiden suojaus

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Useimmin kysytyt kysymykset

Tietosuojaseloste. Trimedia Oy

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

DLP ratkaisut vs. työelämän tietosuoja

Espoon kaupunkikonsernin tietoturvapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Rekisteri- ja tietosuojaseloste

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Vahvuudet: Mitä on tiiminne osaaminen suhteessa valitsemaanne yritykseen perusteluineen

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Sisäisen valvonnan ja Riskienhallinnan perusteet

Sisäisen valvonnan ja riskienhallinnan perusteet

Transkriptio:

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Taustaa ICT-tietoturvapäällikkö Tullissa Tietoturvan ja riskien hallinta Tietosuoja ja yksityisyyden suoja Tietoturvaarkkitehtuuri OWASP Helsingin hallituksen jäsen ISC 2 CISSP IAPP CIPP/E SABSA SCF VAHTI-sihteeristön jäsen ISACA CISM IAPP CIPT CSA CCSK LinkedIn: pyryheikkinen ITIL v3 Foundation PRINCE2 Foundation TOGAF 9 Certified 2

Kuka tekee riskienhallintaa? Me kaikki hallitsemme riskejä jatkuvasti, esim. kun jätämme avaamatta epäilyttävän liitetiedoston lähetämme viestin sähköpostilla tai lähetyksen postissa kun lukitsemme tietokoneen tai työtilan kahvitauon ajaksi kun suljemme kahvinkeittimen päivän päätteeksi hankimme vakuutuksia tai ulkoistettuja palveluita kun valitsemme toimittajaa osana hankintaa suunnittelemme projektia tai hanketta teemme vuosi- tai työvuorosuunnittelua 3

Mikä on riski? Työntekijälle on lähetetty maililla kiristyshaittaohjelma Virustorjunta ei huomaa tätä ja henkilö ei osa varoa viestiä Tapahtuma tai tekijä, joka voi vaikuttaa kielteisesti tehtävien hoitamiseen, tavoitteiden saavuttamiseen tai toimintaan Haittaohjelma lukitsee viraston tietokoneet Viraston toiminta keskeytyy viikoksi Juurisyy uhka hyökkäys Heikkous alttius haavoittuvuus Vaikutus seuraus tapahtuma Vaikutus toimintaan Käynnissä on liikaa projekteja samaan aikaan Henkilöstöä on liian vähän ja kuormitusta ei seurata Laatu kärsii ja henkilöstö palaa loppuun Lakisääteisiä muutoksia ei saada tehtyä 4

Miten riskejä ja uhkia voi tunnistaa? Muiden kokemukset Omat ohjeet Media Omat kokemukset Uhka Asiantuntijalähteet Sisäinen tiedotus Yleinen historiatieto 5

Miten arvioida riskin todennäköisyyttä ja vaikutusta? Viraston Imago ja suhteet Kysy kaverilta! Viraston tiedot ja toiminta ICT ja tietojärjestelmät Tehdään tiimissä! 6

Mitä voisi tapahtua riskin toteutuessa? Pysähdy ja tutki alitajuntaa Kehen vaikuttaa? Itseen Ryhmään Virastoon Asiakkaisiin Miten vaikuttaa? Terveys Laki/oikeudet Talous Toiminta Miten vakavasti? Lievästi Melko paljon Paljon Kriittisesti 7

Miten riskejä hallitaan? Ei aloiteta (vielä) uutta toimintaa tai hanketta Luovutaan riskialttiista toiminnasta Ei lähdetä työmatkalle riskimaahan Muutetaan toimintaa Otetaan suojakeinoja käyttöön Tarkastetaan toimintaa tai sopimusvaatimuksia Vältetään riski Vähennetään riskiä Siirretään tai jaetaan riski Otetaan riski (harkitusti) Vakuutukset Leasing Ulkoistus (esim. palvelut ja ICT) Otetaan riski ja varaudutaan siihen Otetaan harkiten jäljelle jäänyt riski 8

Tehokas riskienhallinta.. ISO 31000:2009: Tehokkaan riskien hallinnan periaatteet Luo ja suojelee arvoa On osa toiminnan prosesseja On osa päätöksentekoa Huomioi erityisesti epävarmuuden On järjestelmällistä, rakenteellista ja ajantasaista Perustuu parhaaseen käytettävissä olevaan tietoon On räätälöityä Huomioi inhimilliset ja kulttuurilliset tekijät On läpinäkyvää ja osallistavaa On dynaamista, toistuvaa ja muutoksiin reagoivaa Edesauttaa jatkuvaa kehittymistä 9

Riskienhallinta, joka luo ja suojelee arvoa 0 vakavaa työtapaturmaa vuodessa Palvelu suojattu tietomurron varalta Lähtötilanne tai nykytila Riskit Mahdollisuudet Tavoite Ei saa maksaa tai haitata toimintaa liikaa Riskienhallinta Projekti läpi aikataulussa ja tavoitteissa Viraston toiminnan jatkuvuus taattu 10

Riskienhallinta, joka on osa toiminnan prosesseja Strategiset riskit Pilvipalvelun hankinta Projektimalli Systeemityömalli Operatiiviset riskit Työn vaaratekijöiden kartoitus Riskien hallinta Maksun käsittely ja tilitys Taloudelliset riskit Vuotuinen riskiprosessi Uusi henkilötietojen käsittelytapa Vahinkoriskit 11

Riskienhallinta, joka on osa päätöksentekoa Esim. Otetaanko käyttöön uusi virastolle kriittinen sovellus? Jota ei olla ehditty kunnolla testata Joka säästäisi merkittävästi joka kuukausi Vanhaan sovellukseen ei pystytä palaamaan helposti Hallintakeinot Mahdollisuudet Riskit Otetaanko riski? Riskin omistaja (vastuunkantaja) Ohjausryhmä Tiedon omistaja Palvelun omistaja Rekisterin pitäjä Esimies 12

Riskienhallinta, joka huomioi erityisesti epävarmuuden Tavoite Toiminta Toimintaympäristö Ilmiö x (etätyö) Ilmiö y (digitalisaatio) Toimenpiteet riskien hallitsemiseksi ja mahdollisuuksien hyödyntämiseksi Huom! Tekemättä jättäminen voi johtaa riskiin Huom! Riskin hallintatoimi voi johtaa toiseen riskiin 13

Riskienhallinta, joka perustuu parhaaseen käytettävissä olevaan tietoon Liiketoiminta Henkilöstö ICT Toimintaympäristön muutokset Tietosuoja Riski? Työsuojelu Oman organisaation tila Turvallisuus 14

Riskienhallinta, joka huomioi inhimilliset ja kulttuurilliset tekijät Mustat joutsenet Median vaikutus Psykologiset vinoumat 15

Helppo tapa aloittaa järjestelmällistä riskienhallintaa: SWOT Vahvuudet Heikkoudet Mahdollisuudet Uhat 16

PESTLE-malli auttaa huomioimaan eri toimintaympäristön osa-alueita Yhteiskunta Teknologia Talous Lait Politiikka Toimintaympäristö Ympäristö 17

Kiitos! Ikonit: Open Security Architecture http://www.opensecurityarchitecture.org Kuvat: Tulli 18

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute