Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen
Taustaa ICT-tietoturvapäällikkö Tullissa Tietoturvan ja riskien hallinta Tietosuoja ja yksityisyyden suoja Tietoturvaarkkitehtuuri OWASP Helsingin hallituksen jäsen ISC 2 CISSP IAPP CIPP/E SABSA SCF VAHTI-sihteeristön jäsen ISACA CISM IAPP CIPT CSA CCSK LinkedIn: pyryheikkinen ITIL v3 Foundation PRINCE2 Foundation TOGAF 9 Certified 2
Kuka tekee riskienhallintaa? Me kaikki hallitsemme riskejä jatkuvasti, esim. kun jätämme avaamatta epäilyttävän liitetiedoston lähetämme viestin sähköpostilla tai lähetyksen postissa kun lukitsemme tietokoneen tai työtilan kahvitauon ajaksi kun suljemme kahvinkeittimen päivän päätteeksi hankimme vakuutuksia tai ulkoistettuja palveluita kun valitsemme toimittajaa osana hankintaa suunnittelemme projektia tai hanketta teemme vuosi- tai työvuorosuunnittelua 3
Mikä on riski? Työntekijälle on lähetetty maililla kiristyshaittaohjelma Virustorjunta ei huomaa tätä ja henkilö ei osa varoa viestiä Tapahtuma tai tekijä, joka voi vaikuttaa kielteisesti tehtävien hoitamiseen, tavoitteiden saavuttamiseen tai toimintaan Haittaohjelma lukitsee viraston tietokoneet Viraston toiminta keskeytyy viikoksi Juurisyy uhka hyökkäys Heikkous alttius haavoittuvuus Vaikutus seuraus tapahtuma Vaikutus toimintaan Käynnissä on liikaa projekteja samaan aikaan Henkilöstöä on liian vähän ja kuormitusta ei seurata Laatu kärsii ja henkilöstö palaa loppuun Lakisääteisiä muutoksia ei saada tehtyä 4
Miten riskejä ja uhkia voi tunnistaa? Muiden kokemukset Omat ohjeet Media Omat kokemukset Uhka Asiantuntijalähteet Sisäinen tiedotus Yleinen historiatieto 5
Miten arvioida riskin todennäköisyyttä ja vaikutusta? Viraston Imago ja suhteet Kysy kaverilta! Viraston tiedot ja toiminta ICT ja tietojärjestelmät Tehdään tiimissä! 6
Mitä voisi tapahtua riskin toteutuessa? Pysähdy ja tutki alitajuntaa Kehen vaikuttaa? Itseen Ryhmään Virastoon Asiakkaisiin Miten vaikuttaa? Terveys Laki/oikeudet Talous Toiminta Miten vakavasti? Lievästi Melko paljon Paljon Kriittisesti 7
Miten riskejä hallitaan? Ei aloiteta (vielä) uutta toimintaa tai hanketta Luovutaan riskialttiista toiminnasta Ei lähdetä työmatkalle riskimaahan Muutetaan toimintaa Otetaan suojakeinoja käyttöön Tarkastetaan toimintaa tai sopimusvaatimuksia Vältetään riski Vähennetään riskiä Siirretään tai jaetaan riski Otetaan riski (harkitusti) Vakuutukset Leasing Ulkoistus (esim. palvelut ja ICT) Otetaan riski ja varaudutaan siihen Otetaan harkiten jäljelle jäänyt riski 8
Tehokas riskienhallinta.. ISO 31000:2009: Tehokkaan riskien hallinnan periaatteet Luo ja suojelee arvoa On osa toiminnan prosesseja On osa päätöksentekoa Huomioi erityisesti epävarmuuden On järjestelmällistä, rakenteellista ja ajantasaista Perustuu parhaaseen käytettävissä olevaan tietoon On räätälöityä Huomioi inhimilliset ja kulttuurilliset tekijät On läpinäkyvää ja osallistavaa On dynaamista, toistuvaa ja muutoksiin reagoivaa Edesauttaa jatkuvaa kehittymistä 9
Riskienhallinta, joka luo ja suojelee arvoa 0 vakavaa työtapaturmaa vuodessa Palvelu suojattu tietomurron varalta Lähtötilanne tai nykytila Riskit Mahdollisuudet Tavoite Ei saa maksaa tai haitata toimintaa liikaa Riskienhallinta Projekti läpi aikataulussa ja tavoitteissa Viraston toiminnan jatkuvuus taattu 10
Riskienhallinta, joka on osa toiminnan prosesseja Strategiset riskit Pilvipalvelun hankinta Projektimalli Systeemityömalli Operatiiviset riskit Työn vaaratekijöiden kartoitus Riskien hallinta Maksun käsittely ja tilitys Taloudelliset riskit Vuotuinen riskiprosessi Uusi henkilötietojen käsittelytapa Vahinkoriskit 11
Riskienhallinta, joka on osa päätöksentekoa Esim. Otetaanko käyttöön uusi virastolle kriittinen sovellus? Jota ei olla ehditty kunnolla testata Joka säästäisi merkittävästi joka kuukausi Vanhaan sovellukseen ei pystytä palaamaan helposti Hallintakeinot Mahdollisuudet Riskit Otetaanko riski? Riskin omistaja (vastuunkantaja) Ohjausryhmä Tiedon omistaja Palvelun omistaja Rekisterin pitäjä Esimies 12
Riskienhallinta, joka huomioi erityisesti epävarmuuden Tavoite Toiminta Toimintaympäristö Ilmiö x (etätyö) Ilmiö y (digitalisaatio) Toimenpiteet riskien hallitsemiseksi ja mahdollisuuksien hyödyntämiseksi Huom! Tekemättä jättäminen voi johtaa riskiin Huom! Riskin hallintatoimi voi johtaa toiseen riskiin 13
Riskienhallinta, joka perustuu parhaaseen käytettävissä olevaan tietoon Liiketoiminta Henkilöstö ICT Toimintaympäristön muutokset Tietosuoja Riski? Työsuojelu Oman organisaation tila Turvallisuus 14
Riskienhallinta, joka huomioi inhimilliset ja kulttuurilliset tekijät Mustat joutsenet Median vaikutus Psykologiset vinoumat 15
Helppo tapa aloittaa järjestelmällistä riskienhallintaa: SWOT Vahvuudet Heikkoudet Mahdollisuudet Uhat 16
PESTLE-malli auttaa huomioimaan eri toimintaympäristön osa-alueita Yhteiskunta Teknologia Talous Lait Politiikka Toimintaympäristö Ympäristö 17
Kiitos! Ikonit: Open Security Architecture http://www.opensecurityarchitecture.org Kuvat: Tulli 18