Kohti yhtä yhtenäistä tietoturvapoikkeamien käsittelyprosessia
Pulkkinen, Kaisa (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023051811623
https://urn.fi/URN:NBN:fi:amk-2023051811623
Tiivistelmä
Tämän opinnäytetyön tarkoituksena oli selvittää, kuinka henkilötietojen tietoturvaloukkausten ja muiden tietoturvapoikkeamien käsittelyprosessit olisi tarkoituksenmukaisinta yhdistää organisaatioissa sekä millaista tutkimusta aiheesta on tehty. Opinnäytetyön tavoitteena oli kehittää opinnäytetyön tekijän ymmärrystä aiheesta.
Tietoturva ja tietosuoja ovat erillisiä asiantuntijuusalueita, joilla on yhteisiä piirteitä. Tietoturva suojaa tietoja ja tietojärjestelmiä organisaation liiketoimintatavoitteiden mukaisesti. Tietosuoja puolestaan suojaa luonnollisten henkilöiden oikeuksia ja vapauksia varmistamalla henkilötietojen suojan lainsäädännön mukaisesti. Tietoturvaloukkaukset vaarantavat organisaation vastuulla olevien tietojen luottamuksellisuuden, eheyden tai saatavuuden. Sekä tietoturva että tietosuoja perustuvat tietojen turvallisuutta vaarantavien riskien tunnistamiseen ja niiden vähentämiseen erilaisten hallintakeinojen avulla.
Tutkimusmenetelmänä käytettiin integroitua kirjallisuuskatsausta. Systemoidun haun tuloksena todettiin, että henkilötietojen tietoturvaloukkausten ja muiden tietoturvapoikkeamien käsittelyprosessien yhdistämistä oli tutkittu vain vähän. Tutkimusten mukaan tarkoituksenmukaisinta olisi integroida tietosuojalainsäädännön vaatimukset organisaation tietoturvallisuuden hallintajärjestelmään. Integroinnin arvioitiin nopeuttavan reagointia tietoturvaloukkauksiin ja vähentävän byrokratiaa.
Yhdistetyssä tietoturvapoikkeamien käsittelyprosessissa on tunnistettava tapaukset, joissa henkilötiedot ovat vaarantuneet. Jos tietoturvapoikkeama koskee henkilötietoja, poikkeaman käsittelyssä tulee tehdä yhteistyötä organisaation tietosuojavastaavan kanssa, joka neuvoo käsittelyprosessin aikana lainsäädännön asettamista vaatimuksista ja toimii tarvittaessa valvontaviranomaisen yhteyspisteenä. Lisää tutkimusta tarvitaan vielä esimerkiksi siitä, kuinka henkilötietojen tietoturvaloukkausten käsittely on eri organisaatioissa toteutettu sekä millaisia haasteita tietoturvaloukkausten käsittelyprosessien integrointi on aiheuttanut eri toimialoilla ja erikokoisissa organisaatioissa
Tietoturva ja tietosuoja ovat erillisiä asiantuntijuusalueita, joilla on yhteisiä piirteitä. Tietoturva suojaa tietoja ja tietojärjestelmiä organisaation liiketoimintatavoitteiden mukaisesti. Tietosuoja puolestaan suojaa luonnollisten henkilöiden oikeuksia ja vapauksia varmistamalla henkilötietojen suojan lainsäädännön mukaisesti. Tietoturvaloukkaukset vaarantavat organisaation vastuulla olevien tietojen luottamuksellisuuden, eheyden tai saatavuuden. Sekä tietoturva että tietosuoja perustuvat tietojen turvallisuutta vaarantavien riskien tunnistamiseen ja niiden vähentämiseen erilaisten hallintakeinojen avulla.
Tutkimusmenetelmänä käytettiin integroitua kirjallisuuskatsausta. Systemoidun haun tuloksena todettiin, että henkilötietojen tietoturvaloukkausten ja muiden tietoturvapoikkeamien käsittelyprosessien yhdistämistä oli tutkittu vain vähän. Tutkimusten mukaan tarkoituksenmukaisinta olisi integroida tietosuojalainsäädännön vaatimukset organisaation tietoturvallisuuden hallintajärjestelmään. Integroinnin arvioitiin nopeuttavan reagointia tietoturvaloukkauksiin ja vähentävän byrokratiaa.
Yhdistetyssä tietoturvapoikkeamien käsittelyprosessissa on tunnistettava tapaukset, joissa henkilötiedot ovat vaarantuneet. Jos tietoturvapoikkeama koskee henkilötietoja, poikkeaman käsittelyssä tulee tehdä yhteistyötä organisaation tietosuojavastaavan kanssa, joka neuvoo käsittelyprosessin aikana lainsäädännön asettamista vaatimuksista ja toimii tarvittaessa valvontaviranomaisen yhteyspisteenä. Lisää tutkimusta tarvitaan vielä esimerkiksi siitä, kuinka henkilötietojen tietoturvaloukkausten käsittely on eri organisaatioissa toteutettu sekä millaisia haasteita tietoturvaloukkausten käsittelyprosessien integrointi on aiheuttanut eri toimialoilla ja erikokoisissa organisaatioissa