Tietoturvariskien hallinta on keskeinen osa tehokkaan tietoturvan rakentamista, mutta käytännössä se jää usein puutteelliseksi. Tiedämme, että se ei johdu siitä, että organisaatiot sivuuttaisivat riskit kokonaan. Useimmiten riskienhallinta on osa prosesseja, mutta se ei ohjaa todellisia päätöksiä.

Jotta voidaan ymmärtää, missä tiimit kohtaavat vaikeuksia, on hyödyllistä ensin ymmärtää, mitä tietoturvariski on ja miksi tietoturvariskien hallinta on niin tärkeää. Kun olemme ymmärtäneet perusasiat, on aika tarkastella yleisimpiä tapoja, joilla riskienhallinta epäonnistuu käytännössä, miten voit tunnistaa merkit ja miten tiimit voivat muuttaa suuntaa parempaan riskienhallintaan

1. Riskienhallinnan käsitteleminen kertaluonteisena tehtävänä

Riskienhallintaa käsitellään usein kertaluonteisena tehtävänä, joka suoritetaan tyypillisesti kerran vuodessa juuri ennen auditointia. Virallinen riskinarviointi suoritetaan, dokumentoidaan ja jätetään sitten koskemattomaksi seuraavaan auditointikierrokseen asti. Sillä välin organisaatio kehittyy, uusia työkaluja otetaan käyttöön ja työskentelytavat muuttuvat, mutta riskit pysyvät samoina.

Tämän voi huomata jopa tutusta ajatuksesta: ”Päivitämme tämän ensi vuonna.”

Suunnan muuttamiseksi riskienhallinnan on oltava jatkuvaa ja tapahtumapohjaista. Riskit on tarkasteltava uudelleen, kun organisaatiossa tapahtuu muutoksia, ei vain silloin, kun kalenteri sanoo, että on aika. Tämä pitää riskinarvioinnit ajankohtaisina ja varmistaa, että turvallisuuspäätökset perustuvat nykypäivän todellisuuteen, ei viime vuoden oletuksiin.

2. Liian suuri painotus dokumentoinnissa, liian pieni painotus päätöksenteossa

Riskienhallinnassa painotetaan usein enemmän dokumentointia kuin päätöksentekoa. Tiimit luovat huolellisesti viimeisteltyjä riskirekistereitä ja yksityiskohtaisia kuvauksia, mutta on epäselvää, mitä pitäisi tosiasiassa tehdä toisin. Ongelma syntyy, kun toimenpiteitä ei ole määritelty selkeästi, valintoja ei ole tehty ja seuranta puuttuu. Tuttu merkki on, että riskienhallinta tuottaa asiakirjoja, ei tuloksia.

Riskienhallinnan tulisi olla päätösten tukena. Dokumentoinnin tulisi auttaa tiimejä tekemään ja seuraamaan valintoja, ei korvata niitä.

3. Kaikki riskit päätyvät luokkaan ”korkea”

Liian usein kaikki tunnistetut riskit luokitellaan lopulta korkeiksi. Todellista priorisointia ei ole käytettävissä, riskien pisteytys menettää merkityksensä, ja lopulta johdolla ei ole selkeää perustetta päätöksenteolle, mikä puolestaan johtaa meidät takaisin edellisen kohdan ongelmaan. Kun kaikki on kiireellistä, mikään ei ole todella kiireellistä.

Tämä on merkki siitä, että riskimalli ei todellisuudessa auta. Priorisointi pitäisi mahdollistaa kompromissit ja osoittaa selvästi, mitkä riskit vaativat välitöntä huomiota ja mitkä voidaan käsitellä myöhemmin.

4. Ei selkeää riskien omistajuutta

Toinen yleinen ongelma on riskien epäselvä omistajuus. Riskit osoitetaan epämääräisesti ”IT:lle” tai ”turvallisuudelle” ilman, että kukaan on vastuussa päätöksistä. Riskien hyväksyminen on epävirallista, jos sitä ylipäätään tapahtuu, eikä kukaan voi varmuudella sanoa, kuka on vastuussa tietystä riskistä.

Jotta tästä päästään eteenpäin, jokaisella riskillä on oltava todellinen omistaja, joku, joka ymmärtää kontekstin ja jolla on valtuudet tehdä tarvittavat päätökset.

5. Riskien käsittelyä koskevat päätökset eivät ole selkeitä

Joskus on epäselvää, mitä päätöstä riskistä on tosiasiassa tehty. Hallintakeinoja on otettu käyttöön, mutta kukaan ei ole selvästi ilmoittanut, miksi ne on valittu. Riskien hyväksymistä ei dokumentoida, eikä jäännösriskiä tarkastella. Turvallisuustyö tehdään, mutta riski ei muutu mihinkään.

Riskienhallinta toimii paremmin, kun riskien käsittelyä käsitellään selkeänä päätöksenä ja kirjataan sellaisena, sen sijaan että se jätetään oletukseksi.

6. Riskienhallinta on irrallaan päivittäisestä toiminnasta

Riskienhallinnan tulisi olla osa päivittäistä työtä. Käytännössä kuitenkin uudet järjestelmät otetaan usein käyttöön ilman riskien arviointia, toimittajat otetaan mukaan ilman arviointia ja muutokset ohittavat riskien arvioinnin kokonaan. Riskit näkyvät lopulta vain turvallisuusasiakirjoissa.

Kuinka tätä voidaan muuttaa? Riskienhallinta on sisällytettävä päivittäiseen toimintaan, jotta riskien arviointi käynnistyy luonnollisesti aina, kun jotain muuttuu.

7. Liian monta riskienhallintatoimenpidettä

Teimme paljon päätöksiä, mutta mikään ei muuttunut.

Riskienhallintatyöpajoissa tiimit sopivat usein useista riskienhallintatoimenpiteistä. Paperilla kaikki näyttää proaktiiviselta, mutta kun päivittäinen työ jatkuu, suurinta osaa toimenpiteistä ei koskaan toteuteta. Seuranta hiipuu, eikä mikään muutu.

Tämä tarkoittaa yleensä, että toimenpiteitä on liikaa. Harvat, hyvin valitut riskienhallintatoimenpiteet ovat paljon tehokkaampia kuin pitkät luettelot, joita ei koskaan toteuteta.

8. Riskit ovat liian yleisiä ollakseen toteutettavissa

Jotkut riskit on kuvattu niin yleisesti, että niitä on mahdotonta toteuttaa. Nimitykset kuten ”tietoturvaloukkaus”, ‘järjestelmävika’ tai ”kyberhyökkäys” eivät selitä, mitä todella tapahtuisi, miten se voisi tapahtua tai mitkä olisivat sen vaikutukset. Hyvä riskienhallinta keskittyy realistisiin skenaarioihin, joita ihmiset voivat ymmärtää ja joihin he voivat reagoida, eikä abstrakteihin uhkien nimityksiin.

9. Riskienhallintaa ohjaa vaatimustenmukaisuus eikä päinvastoin

Joissakin organisaatioissa vaatimustenmukaisuus päätyy määrittämään riskien prioriteetit. Päätöksiä ohjaavat vaatimuskehikon tarkistuslistat, riskit käännetään vastaamaan hallintakeinoja ja uudet uhat jäävät huomiotta. Oletuksena on: ”Olemme vaatimustenmukaisia, joten meidän on oltava turvassa.”

Riskienhallinnan tulisi ohjata säännösten noudattamista – sen ei tulisi olla sen rajoittama.

10. Puuttuva oppimiskierre ISMS-työstä

Lopuksi, monissa organisaatioissa riskienhallinnasta puuttuu oppimiskierre. Häiriöt käsitellään erikseen, auditointitulokset eivät päivitä riskejä, eikä työntekijöiden palaute oteta huomioon arvioinneissa. Tämän seurauksena samat ongelmat toistuvat ajan mittaan.

Tämän pitäisi toimia päinvastoin: tietoturvariskien hallinnan tulisi oppia jatkuvasti häiriöistä, auditoinneista ja käytännön kokemuksista pysyäkseen merkityksellisenä ja tehokkaana.

Mitä siis tulisi pitää mielessä?

Useimmat tietoturvariskien hallinnan epäonnistumiset eivät johdu riskien täydellisestä sivuuttamisesta. Ne johtuvat siitä, että riskienhallinta on liian raskasta, liian irrallaan päivittäisestä työstä tai liian keskittynyt dokumentointiin päätösten sijaan.

Hyvä riskienhallinta on käytännöllistä. Se auttaa ihmisiä tekemään valintoja, ei vain täyttämään lomakkeita. Se on jatkuvaa, helppo päivittää ja tiiviisti yhteydessä organisaation todelliseen toimintaan. Kun riskienhallinta on tehty hyvin, se tukee priorisointia, oppimista ja selkeää vastuunjakoa. Se tekee riskit näkyviksi oikealla hetkellä ja auttaa tiimejä keskittymään siihen, mikä on todella tärkeää – ei vain siihen, mikä näyttää hyvältä paperilla.

Näiden periaatteiden pitäminen mielessä helpottaa huomattavasti riskienhallinnan siirtämistä muodollisesta vaatimuksesta todelliseksi tietoturvan hallinnan ajuriksi.