Tietosuoja ja kyberturvallisuus vaativat jatkuvaa huolenpitoa

5.10.2018  |  Blogi, Riskienhallinta

Tietosuoja tulee nähdä osana liiketoimintaa aivan samalla tavalla kuin kyberturvallisuus. Nämä molemmat tulee sisällyttää jokaiseen asiakaskohtaamiseen ja huomioida pidemmän aikavälin suunnittelussa. Kun tietosuojaan ja kyberturvallisuuteen suhtaudutaan vakavasti, tehdään tarvittavat toimet ja varmistetaan niiden toteutuminen, ollaan lähtökohtaisesti oikealla tiellä.

Organisaation tietojen suojaamisen perimmäisenä tavoitteena on usein se, että päätöksenteon hetkellä organisaatiolla on tarvittavat tiedot käytettävissä päätöksenteon mahdollistamiseksi. Päätöksenteko pitää nähdä laajana kokonaisuutena, johon liittyvät olennaisina elementteinä tiedon eheys, luottamuksellisuus ja saatavuus. Tämä edellyttää, että tiedot suojataan asianmukaisesti vahingossa tai luvattomasti tapahtuvalta tietoturvaloukkaukselta.

Vastuullinen organisaatio miettii tietosuoja- ja kyberturvallisuusasioita jatkumona, jonka yksi keskeinen elementti on jatkuva parantaminen.

Jotta tämä olisi mahdollista, on organisaatiolla oltava käytössään ylimmän johdon tuki, tarvittavat resurssit ja kyvykkyydet sekä oikea strategia. Toimintaa on johdettava systemaattiseen malliin, kuten toiminnan vuosikelloon, perustuen. Toteumaa on mitattava kokonaisvaltaisesti ja toimintaa suhteutettava mittaridatan perusteella organisaation riskinsietokykyyn tai -halukkuuteen.

Vuosikello on konkreettinen tuki riskienhallintaan

Tietosuojan ja kyberturvallisuuden vuosikelloon kuuluvat luonnollisena osana esimerkiksi tuote- ja palvelukehityksen tuki, riski-/vaikutustenarviointien laatiminen ja päivittäminen sekä tietoturvaloukkausprosessi: miten toimimme, jos henkilötietojen käsittelyssä tapahtuu odottamaton paljastuminen sivulliselle tai palvelun saatavuus keskeytyy. Tämän lisäksi vuosikelloon tulee jaksottaa esimerkiksi dokumentaation, ohjeiden ja selosteiden katselmointi sekä päivittäminen tarvittaessa. Myös henkilöstön on oltava tästä hyvin perillä.

Vuosikellossa voidaan myös aikatauluttaa erilaiset katselmoinnit ja auditoinnit esimerkiksi tietohallinnon, käyttövaltuuksien ja sopimusten osalta. Vuosittain tulee myös arvioida, miten rekisteröityjen oikeudet toteutuvat yrityksen henkilötietojen käsittelytoimissa. Tärkeää on lisäksi suunnitella kehitystoimenpiteet ja budjetti tulevalle vuodelle.

Edellisten lisäksi alihankkijat ja muut kumppanit on arvioitava säännöllisesti. Rekisterinpitäjä tai palvelun tuottaja vastaa viime kädessä myös kumppaneiden toiminnasta. On esitetty, että suuri osa tietoturvaloukkauksista johtuu kumppanien huolimattomuudesta tai muusta välinpitämättömästä toiminnasta ja laiminlyönneistä.

Ota kokonaisuus haltuun

Ymmärryksemme on, että organisaatioilla on vielä runsaasti tekemistä tietosuojan ja kyberturvallisuuden saralla. Toiminta ei monesti ole kaikilta osin riittävän jäsentynyttä eikä systemaattista. Tämä johtaa helposti pistemäisiin ratkaisuihin eikä kokonaiskuvaa hahmoteta riittävän hyvin.

PwC tarjoaa asiakkailleen tietosuojan ja kyberturvallisuuden asiantuntijatukea jatkuvana palveluna mahdollistaen tarvittavan kehitysloikan sekä kyberturvallisuuden ja tietosuojan hallinnan ylläpidon. Ota yhteyttä, niin kerromme lisää!


Kysy lisää:

 puh. 020 787 7346
 puh. 020 787 8844

Jani Arnell

Digitaalinen turvallisuus

+358 (0)20 787 8844

  

Leave a Reply

(* merkityt kentät ovat pakollisia. Sähköpostiosoitetta ei julkaista kommentin yhteydessä.)