Bekanta dig med principerna

För organisationer är riskhantering inom digital säkerhet en nödvändig grundläggande verksamhet för hela personalen på samma sätt som till exempel att sörja för kommunikation, arbetsergonomi eller brandsäkerhet.

Digital säkerhet påverkar säkerheten i den fysiska världen samtidigt som den digitala säkerheten påverkas av säkerhetsgärningar i den fysiska världen.

Även om det verkar som att riskhantering inom digital säkerhet handlar om tryggande och skydd av organisationens intressen, verktyg och processer, så handlar det sist och slutligen om att skydda människor och deras intressen.

Om de digitala plattformarnas funktion störs på grund av en realiserad risk kan situationen leda till betydande ekonomiska förluster och andra kort- och långsiktiga olägenheter för organisationen. Det kan vara betydligt dyrare att återhämta sig från olägenheter än att förbereda sig på hot.

Överträdelser kan till exempel leda till påföljder som böter, eller om affärsverksamheten upphör på grund av olägenheter blir arbetstagarna utan arbete.

Nätbrottslingar strävar oftast efter att

• få ekonomisk vinning (till exempel genom att utpressa organisationer som blivit föremål för angrepp)
• störa organisationers eller samhällsaktörers eller statliga aktörers verksamhet
• inhämta information i syfte att använda den för att begå större brott.

• Vad är digital säkerhet? (Myndigheten för digitalisering och befolkningsdata)Öppnas i ett nytt fönster.

Med öppen och heltäckande riskhantering avses att din organisation identifierar och är medveten om att det finns risker. Din organisation ska också se till att alla känner till riskerna tillräckligt väl:

• ledningen
• experter
• övrig personal och
• samarbetspartner.

Numera finns största delen av den information som är viktig för organisationens affärsverksamhet i digitala nätverk eller olika digitala plattformar, såsom informationssystem eller molntjänster. Eftersom många anställda i organisationen behandlar eller utnyttjar gemensam information är riskhantering inom digital säkerhet något som berör alla.

Eftersom IT-experter ofta har specialkompetens i frågor som gäller digital säkerhet, uppfattas det ofta som att det enbart är IT-avdelningens uppgift att sörja för den digitala säkerheten och riskhantering inom digital säkerhet. Riskhanteringen inom digital säkerhet är emellertid en uppgift som alla har del i. Roller och uppgifter inom riskhanteringen är bara olika sinsemellan.

Riskhantering inom digital säkerhet kan ibland kännas som något främmande eller besvärligt, som att det inte har att göra med det egna arbetet. I sitt arbete utför alla ändå riskhantering på egen hand och tillsammans. Eftersom riskhanteringen och digital säkerhet är omfattande helheter som omfattar hela organisationen är samarbete en grundförutsättning för att riskhanteringen ska lyckas.

Om riskhantering inom digital säkerhet i din organisation endast ligger på en anställds ansvar och endast inom en anställds kompetensområde, är kontinuiteten i riskhanteringsarbetet i din organisation hotad om den anställda till exempel insjuknar eller byter arbetsplats. Se alltså till att fördela ansvaret.

Riskhantering är den viktigaste processen för digital säkerhet.

− VAHTI nätverket (2017)

Med riskhantering avses handlingar som tryggar kontinuiteten i organisationens verksamhet, med vilka man strävar efter att minimera riskernas skadeverkningar. Gärningar i anslutning till riskhantering kan gälla både individen och organisationen.

Riskhanteringsåtgärder är till exempel

• observation av risker i anslutning till användningen av datanät eller digitala enheter eller
• utveckling av organisationens verksamhet utifrån identifierade risker.

Med säkerhetsledning avses övergripande och planmässig verksamhet som syftar till att främja säkerheten och som kombinerar

• metoder
• tillvägagångssätt och
• ledning av människor.

Kontinuitetshantering är en process för digital säkerhet med hjälp av vilken

• de viktigaste riskerna identifieras
• man bedömer effekterna av dem för organisationen och dess aktörsnätverk
• man skapar ett tillvägagångssätt för att fortsätta verksamheten i störningssituationer samt
• övar på att agera i störningssituationer.

Beredskap är en slags verksamhet med vilken man tryggar och möjliggör en störningsfri skötsel av organisationens uppgifter i både normala och exceptionella situationer. Det är särskilt viktigt att organisationen säkerställer kontinuiteten i dess kärnverksamhet.

Beredskapsåtgärder är till exempel

• utbildning
• övningar och
• riskbedömning.

Med informationssäkerhet avses åtgärder för att säkerställa uppgifternas sekretess, integritet och tillgänglighet.

Informationssäkerheten kan förbättras till exempel genom följande gärningar:

• användning av starka lösenord
• säkerhetskopiering av uppgifter
• uppdatering av applikationer och enheter.

Med dataskydd avses skydd av uppgifter som hänför sig till människors integritet och uppgifter om individer mot missbruk.

De dataskyddshandlingar som anges i lagen omfattar

• lagenlig
• korrekt och
• transparent behandling av personuppgifter.

Myndigheten för digitalisering och befolkningsdatas inlärningsvägar för digital säkerhet erbjuder verktyg för att utveckla kompetensen inom digital säkerhet för dem som arbetar i den offentliga förvaltningens organisationer. Det finns fyra inlärningsvägar på olika nivåer:

• grundläggande färdigheter
• avancerade färdigheter
• färdigheter på expertnivå
• färdigheter på chefsnivå.

Bekanta dig med inlärningsvägar (på finska).

Myndigheten för digitalisering och befolkningsdatas utvecklingsvägar för digital säkerhet 1–3 erbjuder sakkunniga och direktörer som ansvarar för digital säkerhet i organisationer inom den offentliga förvaltningen verktyg för att utveckla den digitala säkerheten inom den egna organisationen.

Bekanta dig med utvecklingsvägar (på finska).Öppnas i ett nytt fönster.

• Utbildningsenheten Digital säkerhet i livet: Digital säkerhet i livet (Myndigheten för digitalisering och befolkningsdata)Öppnas i ett nytt fönster.
• Utbildningen Agera säkert i den digitala världen (eOppiva)Öppnas i ett nytt fönster.
• Utbildningen Digital säkerhet i arbetslivet (eOppiva)Öppnas i ett nytt fönster.
• Utbildningen Digital säkerhet för välfärdsområdenas förtroendevalda (eOppiva)Öppnas i ett nytt fönster.
• Utbildningen Digital säkerhet för kommunernas förtroendevalda (eOppiva)Öppnas i ett nytt fönster.
• Utbildningen Digitala säkerheten i skick med hjälp av arkitektur (eOppiva)Öppnas i ett nytt fönster.

• Utbildningen Riskhantering i den digitala världen (eOppiva)Öppnas i ett nytt fönster.

• Utbildningen Trygga den digitala verksamheten vid störningar (eOppiva)Öppnas i ett nytt fönster.

• Utbildningen Dataskyddets ABC för personalen inom den offentliga förvaltningen (eOppiva)Öppnas i ett nytt fönster.
• Utbildningen Dataskyddets ABC 2 – Djupare om dataskydd (eOppiva)Öppnas i ett nytt fönster.

Dataskydd vid upphandlingar (på finska)

• Tietosuoja hankinnoissa (eOppiva)Öppnas i ett nytt fönster.
• Tietosuojan vaikutustenarvioinnit osana hankintaa (eOppiva)Öppnas i ett nytt fönster.