Riskienhallinta on yleinen fraasi nykyajan liiketoiminnassa. Ilman selkeitä toimintatapoja sen toteuttamiseen sekä arkeen kytkemiseen, riskienhallinnan on kuitenkin vaarana jäädä irralliseksi, turhalta tuntuvaksi kokonaisuudeksi.

Tietoturvariskien hallinta on yksi riskienhallinnan osa-alue, jonka painoarvo jatkuvasti kasvaa. Etenkin voimakkaasti digitaalisilla organisaatioilla sen tulisi kulkea riskienhallinnan etujoukoissa.

Tämän artikkelin ideana on tarjota selkeä toimintamalli tietoturvariskien hallintaan, joka ulottuu riskien tunnistamista niiden sulkemiseen asti, eri ihmisten osallistamiseen erilaisissa rooleissa sekä riskien käsittelyssä päätettyjen toiminpiteiden valvontaan. Käsittelemme asiaa pääosin ISO 27001 -tietoturvastandardin hyvien käytäntöjen näkökulmasta.

Vaatimukset organisaation tietoturvariskien hallinnalle

Karkeasti yleistäen voi sanoa, että jokainen tietoturvastandardi tai aihepiiriä sivuava lainsäädäntö nostaa riskien hallintaa esille. ISO 27001 esittää omat vaatimuksensa, mutta hyvin samansuuntaisia kohtia on mm. tiedonhallintalaissa, NIST-kehikossa, Katakrissa tai CSA Star -kehikossa.

Jos omaa tietoturvariskien hallintaa lähtee edistämään ISO 27001:n näkökulmasta, tekeminen on varmasti yleisten käytäntöjen mukaista ja hyödyllistä.

ISO 27001 listaa tietoturvariskien hallinnalle mm. seuraavia selkeitä vaatimuksia:

• 6.1.1: On oltava dokumentoitu menettely, jonka mukaisesti tunnistetaan, arvioidaan ja käsitellään tietoturvariskit
• 6.1.3c: Kaikki ISO 27002:n listaamat hallintakeinot huomioidaan riskien käsittelyvaiheessa
• 6.1.3d: Muodostetaan soveltuvuuslausunto hallintakeinojen toteuttamisesta

Ensimmäinen vaatimus ohjaa organisaatiota kokonaisuutena toteuttamaan riskienhallintaa yhteisten ja kaikkien noudattamien pelisääntöjen mukaan. Se on jo itsessään merkittävä riski, jos jokainen arvioi riskejä "vähän omaan tyyliinsä".

Toinen kohta vaatii organisaatiota riskien käsittelyvaiheessa käymään kattavasti läpi ISO 27002:n sisältämä hallintakeinot. Standardi tarjoaa siis riskien käsittelyyn tukea - pitkän listan keinoja, joilla riskejä voidaan saada pienennettyä kohti hyväksyttävää tasoa.

Kolmas kohta vaatii organisaatiota katsomaan omaa hallintakeinojen palettia kokonaisuutena. Mitä ISO 27002:n suosittelemista hallintakeinoista olemme toteuttaneet ja millä perusteille olemme jättäneet joitain hallintakeinoja toteuttamatta? Soveltuvuuslausunnon kautta on mahdollista saada kokonaisnäkemys, vaikka varsinaista riskien arviointia ja käsittelyä tehdään kulloinkin yksittäisen riskin näkökulmasta.

Hyvän riskienhallintaprosessin hyödyt

Toimiessaan hyvä tietoturvariskienhallintaprosessi:

• ‍Tehostaa tietoturvatyötä, kun ensin tehdään tehokkaasti ydinasiat kuntoon ja sitten kehitystä priorisoidaan riskienhallinnan avustamana
• Kohdistaa katseen oikein, kun oman toiminnan erityispiirteet pääsevät korostumaan sopivasti tietoturvatyössä riskien hallinnan kautta
• On helppo näyttää toimivaksi, kun riskien käsittely johtaa selkeisiin toimenpiteisiin, joilla on vastuuhenkilö, aikataulu sekä status ja työn edistymistä valvotaan (parhaillaan automatisoidusti)

Tärkeää on kuitenkin ymmärtää, ettei riskien hallintaan välttämättä kannata sukeltaa suorilta, mikäli tietoturvan perusteet eivät organisaatiossa ole kunnossa. Riskien tunnistamista ja arviointia on hyvin vaikeaa tehdä, mikäli organisaatiolla ei ole systemaattisia toimintatapoja kuvata omaa digitaaliseen turvallisuuteen liittyvää toimintaympäristöään, kuvata tietoturvatoimenpiteillä suojattavaa omaisuutta sekä hahmottaa jo nykyään tehtäviä tietoturvatoimenpiteitä. Tämän takia Digiturvamalli pyrkii tarjoamaan valmiit toimintamallit näihin kaikkii osa-alueisiin ja suosittelee riskienhallintaan edettevän ns. perusasioiden jälkeen.

Riskienhallintaprosessin vaiheet Digiturvamallissa

Esittelemme seuraavaksi vaihe vaiheelta riskien hallinnan toteuttamista Digiturvamallissa.

1. Riskien tunnistaminen

Uusia riskejä voidaan Digiturvamallissa tunnistaa mm. seuraavilla tavoilla:

‍Automatisoitu tietoturvariskien tunnistaminen tietoturvatehtäviä aktivoimalla. Digiturvamalli sisältää taustatietoa liittyvistä riskeistä jokaiselle tehtävälle. Kun tehtävä aktivoidaan Digiturvamallissa, liittyvät riskit lisätään automaattisesti riskirekisteriin.

‍Riskien tunnistaminen häiriön tai muutoksen käsittelyn kautta. Organisaation tietoturvahäiriöiden tai merkittävien tietoturvaan vaikuttavien muutosten käsittelyprosessit sisältävät riskianalyysin. Tässä pyritään tunnistamaan kyseiseen tapahtumaan liittyvät riskit, jotka etenevät sitten riskien arviointivaiheeseen. Riskit voivat olla täysin uusia tai tapahtuman kautta uudelleenarviointia vaativia.

‍Kriittiseen omaisuuteen liittyvien riskien tunnistaminen. Halutessaan riskejä voi tunnistaa aina kun tieto-omaisuutta (esim. tietojärjestelmä, tietovaranto, kumppani) luokitellaan 'Kriittiseksi" hallintajärjestelmässä. Tämän toteuttaminen voi olla omaisuuden omistajan valvonnassa. Kaikki tunnistetut riskit linkitetään vastaavaan omaisuuteen riskin dokumentaatiokortilla.

Työpajat Digiturvamallin esimerkkiriskien avulla. Digiturvamalli sisältää kattavan esimerkkiluettelon tietoturvariskeistä. Tätä luetteloa käytetään laiminlyötyjen uhkien määrittämiseen ja uusien riskien tunnistamiseen. Suosittelemme tällaisten työpajojen käyttöä tarvittaessa, esim. mikäli muita tässä kuvattuja menetelmiä ei ole käytetty viimeisen 6 kuukauden aikana.

‍

2. Riskien esikäsittely

Kun riski on tunnistettu, ensimmäinen toimenpide on riskin omistajan valinta. Automaattinen oletusvalinta uusien riskien omistajana on Digiturvamallissa koko Riskienhallinta ja johtaminen -teeman omistaja. Tämän henkilön tulisi siirtää riski eteenpäin omaisuuden omistajalle, kun riski liittyy selvästi vastaavaan omaisuuteen, tai muun digiturvateeman omistajalle, kun riski liittyy selvästi vastaavaan teemaan. Delegointi tapahtuu asettamalla oikea käyttäjä riskin omistajaksi dokumentaatiokortilla.

Riskin omistajan ensimmäiset toimet ovat:

• Liittyvän omaisuuden tunnistaminen. Tämä on yksi menetelmä, joka yhdistää riskinarvioinnin ja käsittelyn muihin hallintajärjestelmän osiin. Riskit voidaan liittää muuhun omaisuuteen (mm. tietojärjestelmään tai kumppaniin) dokumentointikortin kentässä 'Liittyvät kohteet hallintajärjestelmässä'. Jos riski liittyy selvästi muihin resursseihin, joilla ei ole omaa dokumentointikorttia hallintajärjestelmässä, tämä kuvataan kentässä 'Muut liittyvä omaisuus'.
• Nykyisten riskiä hallitsevien tehtävien tunnistaminen. Tämän kohdan ideana on hahmottaa, kuinka paljon organisaatio jo nykyisellään tekee tämän riskin hallitsemiseksi. Näiden huomioiminen on tärkeää riskien arviointivaiheessa. Tässä kohti riskien arvioinnin on tärkeää tapahtua samassa järjestelmässä, missä tietoturvatoimenpiteitäkin valvotaan.

3. Riskien arviointi

Riskien arviointivaiheessa riskille annetaan numeerinen arvo sen mahdollisista vaikutuksista sekä todennäköisyydestä. Organisaatio voi valita käyttöön joko suppeamman (1-3) tai leveämmän (1-5) arviointiskaalan omien tottumustensa mukaan.

Digiturvamalli pyrkii auttamaan riskien analyysia tarjoamalla pikavastauksia perusteluiksi, kun riskille ei valita korkeaa vakavuutta tai todennäköisyyttä. Riski voi olla esimerkiksi organisaation toiminnan piirteiden takia vakavuudeltaan pienentynyt, tai nykyisten hyvien hallintakeinojen takia todennäköisyydeltään pienentynyt.

Arvioinnin perusteella riskille lasketaan automaattisesti riskitaso. Organisaatio voi itse määritellä hyväksyttävän riskin tason, jonka ylittävien riskien tulee jatkaa käsittelyvaiheeseen, jossa eri toimenpiteiden kautta riskitasoa pyritään pienentämään.

4. Riskien käsittely

Arvioinnissa määritelty riskitaso kertoo, pitääkö riskin hallintaa jatkaa pidemmälle.

Mikäli riskitaso on hyväksyttävällä tasolla tai sen alapuolella, riski voidaan tässä vaiheessa hyväksyä.

Tarvittaessa riskin hallinta jatkuu käsittelyvaiheeseen, jossa:

• Valitaan sopiva riskin käsittelyvaihtoehto ohjeiden avulla
• Määritetään tarkemmat toimenpiteet, joilla riskitasoa pystytään pienentämään

Yleisin valinta on riskin vähentäminen uusia tehtäviä lisäämällä, eli parantamalla omaa tietoturvatekemistä. Tässä kohdassa on erityisen tärkeää, että päätetyt tehtävät listataan samaan järjestelmään, missä riskienhallinta tehdään. Näin riskienhallinta johtaa todellisiin tuloksiin, jotka päätyvät automaattisesti saman valvontaprosessin piiriin.

Tätä suunnitelmaa riskin pienentämiseksi hyväksyttävälle tasolle voidaan kutsua joko yhden tai koko riskikattauksen "käsittelysuunnitelmaksi" (risk treatment plan). Tässä vaiheessa viimeinen vaihe on riskin omistajan hyväksyntä tälle käsittelysuunnitelmalle.

5. Riskin seuranta ja sulkeminen

Kun suunniteltu riskin käsittely on toteutettu, eli tehtäville määritellyt omistajat ovat kuitanneet tehtävien olevan kunnossa (tai muut hallintatoimet on toteutettu), riski voidaan tämän jälkeen sulkea. Riskien hallintaprosessi päättyy siis selkeään lopputulokseen.

Riski voi nousta uudelleen arviointiin esimerkiksi omistajan tarkistuksen, tapahtuneen tietoturvahäiriön tai organisaation toimintaan kohdistuvan merkittävän muutoksen kautta, jotka nostavat uudelleen riskin vakavuutta tai todennäköisyyttä.

Riski voi nousta uudelleen arviointiin esimerkiksi omistajan tarkistuksen, tapahtuneen tietoturvahäiriön tai organisaation toimintaan kohdistuvan merkittävän muutoksen kautta.

Vinkkejä riskienhallinnan toteuttamiseen Digiturvamallissa

Seuraavassa vielä muutamia nostoja, jotka voivat auttaa riskienhallintatyön toteuttamista organisaatiossanne:

• Kannattaa tutustua riskienhallintaan liittyviin raporttipohjiin Digiturvamallissa, joita ovat mm. Riskienhallinnan raportti (suppeampi) sekä Riskienhallinnan menettelykuvaus ja tulokset (laajempi). Etenkin jälkimmäinen toimii hyvänä ohjeistusmateriaalina kaikille tietoturvariskien hallintaan osallistuville.
• Tietoturvariskit-listaukselle voi halutessaan asettaa tarkistusvälin. Tämän avulla Digiturvamallin Teams-sovellus voi muistuttaa riskien omistajia tietoturvariskien tarkistamisesta esim. kerran 6 kuukaudessa. Näin voidaan tunnistaa syystä tai toisesta selvästi muuttuneet tietoturvariskit uudelleenarvioitaviksi.
• Luo omat ohjeet riskien omistajille. Digiturvamallissa ohjeita on mahdollista kohdistaa yksiköille. Yksi tällainen "dynaaminen yksikkö" ovat riskeille nimetyt omistajat. Voit siis lisätä tärkeät esim. riskien arviointiin liittyvät ohjeet Ohjekirjaan ja varmistaa Digiturvamallin avulla, että riskien omistajat lukevat ne säännöllisesti.

‍

Haluatko kuulla teemasta lisää?

Mikäli haluat kuulla tarkemmin tietoturvariskien hallinasta, tule mukaan teemaan liittyviin tuleviin webinaareihimme tai poimi sinulle sopiva aika Teams-palaverille, niin jatketaan henkilökohtaisen keskustelun merkeissä.