Ads 468x60px

tiistai 25. elokuuta 2015

Ajatuksia jatkuvuuden hallinnasta

Jatkuvuuden hallinnan kymmenen sudenkuoppaa ja miten vältät ne
Yrityksen ja organisaation johdolla on velvollisuus asettaa tavoitteet ja varmistaa resurssit sille, että yrityksen ydinliiketoiminta pystyy jatkumaan ja toipumaan merkittävistä häiriötilanteista.
Väitän, että suurella osalla suomalaisten yritysten ja organisaatioiden johtajista ei kuitenkaan ole riittävää varmuutta siitä onko yrityksen kriittisten ydinsovellusten jatkuvuus oikeasti varmistettu riittävällä tasolla IT:n ja sovellusylläpidon osalta (palvelutuottajilla tai omassa ylläpidossa) tapahtuvan merkittävän häiriön sattuessa.
Kaikilla ammattimaisilla palveluntuottajilla tai yrityksen omilla jaetuilla alusta- tai infrastuktuuripalvelua tuottavilla yksiköillä on varmasti omat jatkuvuussuunnitelmansa kirjoitettuna ja ylläpidettyinä, monella toimijalla myös riittävällä tasolla säännöllisesti testattuna. Nämä jaetun infrastruktuurin jatkuvuussuunnitelmat eivät vain kata yritysten liiketoimintasovelluksia.
Väitän myös, että kun yrityksen liiketoiminnassa tapahtuu merkittävä pitkävaikutteinen häiriö, häiriötä johtavalla tai toipumista edistävillä ryhmillä ei välttämättä ole käytettävissään ajan tasalla olevaa tilannekuvaa häiriöistä, kommunikointikanavat ovat puutteellisia, sovelluskohtaiset toipumisratkaisut ovat epäselviä tai puuttuvat sekä pahimmassa tapauksessa jopa toipumista johtavan ja korjaavan ryhmän työvälineetkään eivät toimi. Lisäksi toipumista ohjataan vaillinaisen tai väärän tiedon varassa.
Olen listannut alle jatkuvuuden hallinnan kymmenen sudenkuoppaa, jotka huomioimalla tai korjaamalla ylläolevia riskejä saadaan pienenettyä:

maanantai 24. elokuuta 2015

EU:n tietosuoja-asetuksesta kilpailuetua

EU:n yleinen tietosuoja-asetus tulee lähitulevaisuudessa muuttamaan henkilötietojen käsittelyn sääntelyn perustaa ja tuo mukanaan uusia, nykyistä tiukempia vaatimuksia rekisterinpitäjille. Jatkossa henkilötietojen käsittelyn tulee olla suunnitelmallista, dokumentoitua ja perustua riskianalyysiin. Rekisterinpitäjän tulee jatkossa kyetä tarvittaessa osoittamaan, että on toiminut asetuksen vaatimusten mukaisesti, korotettujen sanktioiden uhalla.

Viranomaisten tehtävä on valvoa rekisterinpitäjien ja tietojenkäsittelijöiden suorittamaa henkilötietojen käsittelyä sekä asetuksen vaatimusten toteuttamista. Koska toistaiseksi viranomaisten resurssit valvontaan ovat olleet rajalliset, organisaatioiden oma vastuunkanto ja proaktiivisuus asiassa korostuvat, ja osoittamalla itse vaatimustenmukaisuus sekä hyvät tietosuojakäytännöt voidaan saavuttaa selkeä kilpailuetu markkinoilla. Jo nykyisin monien tarjouspyyntöjen edellytyksenä on osoittaa tietoturvan ja tietosuojan hoidon tila.

perjantai 14. elokuuta 2015

Tietoturvasertifiointien kysynnässä odotettavissa piikki - takarajat sertifioinneille umpeutumassa


Sosiaali- ja terveydenhuollon tietojärjestelmien tietoturvavaatimusten määrittely ja seuranta siirtyi 1.1.2015 Sosiaali- ja terveysministeriöltä Terveyden ja hyvinvoinnin laitokselle (THL). Vastuiden siirtymisen yhteydessä THL julkaisi päivitetyt tietoturvavaatimukset, jotka astuivat voimaan 1.2.2015.

Päivitettyjen tietoturvavaatimusten ohella myös vaatimusten tarkastusprosessi muuttui. Aikaisemman auditoinnin sijasta jokaisen A-luokkaan kuuluvan apteekki- ja potilastietojärjestelmän sekä välityspalvelun tulee hankkia järjestelmäkohtainen vaatimuksenmukaisuustodistus. Vaatimuksenmukaisuustodistuksia voi myöntää kaikki Viestintäviraston hyväksymät tietoturvallisuuden arviointilaitokset, joille on myönnetty VAHTI-pätevyysalue. Tällä hetkellä KPMG IT Sertifiointi Oy on ainoa Viestintäviraston hyväksymä tietoturvallisuuden arviointilaitos. KPMG IT Sertifiointi Oy:n pätevyysalue kattaa tällä hetkellä VAHTI
, KATAKRI II ja ISO/IEC 27001:2013.