Riskienhallinta on yleinen fraasi nykyajan liiketoiminnassa. Ilman selkeitä toimintatapoja sen toteuttamiseen sekä arkeen kytkemiseen, riskienhallinnan on kuitenkin vaarana jäädä irralliseksi, turhalta tuntuvaksi kokonaisuudeksi.
Tietoturvariskien hallinta on yksi riskienhallinnan osa-alue, jonka painoarvo jatkuvasti kasvaa. Etenkin voimakkaasti digitaalisilla organisaatioilla sen tulisi kulkea riskienhallinnan etujoukoissa.
Tämän artikkelin ideana on tarjota selkeä toimintamalli tietoturvariskien hallintaan, joka ulottuu riskien tunnistamista niiden sulkemiseen asti, eri ihmisten osallistamiseen erilaisissa rooleissa sekä riskien käsittelyssä päätettyjen toiminpiteiden valvontaan. Käsittelemme asiaa pääosin ISO 27001 -tietoturvastandardin hyvien käytäntöjen näkökulmasta.
Karkeasti yleistäen voi sanoa, että jokainen tietoturvastandardi tai aihepiiriä sivuava lainsäädäntö nostaa riskien hallintaa esille. ISO 27001 esittää omat vaatimuksensa, mutta hyvin samansuuntaisia kohtia on mm. tiedonhallintalaissa, NIST-kehikossa, Katakrissa tai CSA Star -kehikossa.
ISO 27001 listaa tietoturvariskien hallinnalle mm. seuraavia selkeitä vaatimuksia:
Ensimmäinen vaatimus ohjaa organisaatiota kokonaisuutena toteuttamaan riskienhallintaa yhteisten ja kaikkien noudattamien pelisääntöjen mukaan. Se on jo itsessään merkittävä riski, jos jokainen arvioi riskejä "vähän omaan tyyliinsä".
Toinen kohta vaatii organisaatiota riskien käsittelyvaiheessa käymään kattavasti läpi ISO 27002:n sisältämä hallintakeinot. Standardi tarjoaa siis riskien käsittelyyn tukea - pitkän listan keinoja, joilla riskejä voidaan saada pienennettyä kohti hyväksyttävää tasoa.
Kolmas kohta vaatii organisaatiota katsomaan omaa hallintakeinojen palettia kokonaisuutena. Mitä ISO 27002:n suosittelemista hallintakeinoista olemme toteuttaneet ja millä perusteille olemme jättäneet joitain hallintakeinoja toteuttamatta? Soveltuvuuslausunnon kautta on mahdollista saada kokonaisnäkemys, vaikka varsinaista riskien arviointia ja käsittelyä tehdään kulloinkin yksittäisen riskin näkökulmasta.
Toimiessaan hyvä tietoturvariskienhallintaprosessi:
Tärkeää on kuitenkin ymmärtää, ettei riskien hallintaan välttämättä kannata sukeltaa suorilta, mikäli tietoturvan perusteet eivät organisaatiossa ole kunnossa. Riskien tunnistamista ja arviointia on hyvin vaikeaa tehdä, mikäli organisaatiolla ei ole systemaattisia toimintatapoja kuvata omaa digitaaliseen turvallisuuteen liittyvää toimintaympäristöään, kuvata tietoturvatoimenpiteillä suojattavaa omaisuutta sekä hahmottaa jo nykyään tehtäviä tietoturvatoimenpiteitä. Tämän takia Digiturvamalli pyrkii tarjoamaan valmiit toimintamallit näihin kaikkii osa-alueisiin ja suosittelee riskienhallintaan edettevän ns. perusasioiden jälkeen.
Esittelemme seuraavaksi vaihe vaiheelta riskien hallinnan toteuttamista Digiturvamallissa.
Uusia riskejä voidaan Digiturvamallissa tunnistaa mm. seuraavilla tavoilla:
Automatisoitu tietoturvariskien tunnistaminen tietoturvatehtäviä aktivoimalla. Digiturvamalli sisältää taustatietoa liittyvistä riskeistä jokaiselle tehtävälle. Kun tehtävä aktivoidaan Digiturvamallissa, liittyvät riskit lisätään automaattisesti riskirekisteriin.
Riskien tunnistaminen häiriön tai muutoksen käsittelyn kautta. Organisaation tietoturvahäiriöiden tai merkittävien tietoturvaan vaikuttavien muutosten käsittelyprosessit sisältävät riskianalyysin. Tässä pyritään tunnistamaan kyseiseen tapahtumaan liittyvät riskit, jotka etenevät sitten riskien arviointivaiheeseen. Riskit voivat olla täysin uusia tai tapahtuman kautta uudelleenarviointia vaativia.
Kriittiseen omaisuuteen liittyvien riskien tunnistaminen. Halutessaan riskejä voi tunnistaa aina kun tieto-omaisuutta (esim. tietojärjestelmä, tietovaranto, kumppani) luokitellaan 'Kriittiseksi" hallintajärjestelmässä. Tämän toteuttaminen voi olla omaisuuden omistajan valvonnassa. Kaikki tunnistetut riskit linkitetään vastaavaan omaisuuteen riskin dokumentaatiokortilla.
Työpajat Digiturvamallin esimerkkiriskien avulla. Digiturvamalli sisältää kattavan esimerkkiluettelon tietoturvariskeistä. Tätä luetteloa käytetään laiminlyötyjen uhkien määrittämiseen ja uusien riskien tunnistamiseen. Suosittelemme tällaisten työpajojen käyttöä tarvittaessa, esim. mikäli muita tässä kuvattuja menetelmiä ei ole käytetty viimeisen 6 kuukauden aikana.
Kun riski on tunnistettu, ensimmäinen toimenpide on riskin omistajan valinta. Automaattinen oletusvalinta uusien riskien omistajana on Digiturvamallissa koko Riskienhallinta ja johtaminen -teeman omistaja. Tämän henkilön tulisi siirtää riski eteenpäin omaisuuden omistajalle, kun riski liittyy selvästi vastaavaan omaisuuteen, tai muun digiturvateeman omistajalle, kun riski liittyy selvästi vastaavaan teemaan. Delegointi tapahtuu asettamalla oikea käyttäjä riskin omistajaksi dokumentaatiokortilla.
Riskin omistajan ensimmäiset toimet ovat:
Riskien arviointivaiheessa riskille annetaan numeerinen arvo sen mahdollisista vaikutuksista sekä todennäköisyydestä. Organisaatio voi valita käyttöön joko suppeamman (1-3) tai leveämmän (1-5) arviointiskaalan omien tottumustensa mukaan.
Digiturvamalli pyrkii auttamaan riskien analyysia tarjoamalla pikavastauksia perusteluiksi, kun riskille ei valita korkeaa vakavuutta tai todennäköisyyttä. Riski voi olla esimerkiksi organisaation toiminnan piirteiden takia vakavuudeltaan pienentynyt, tai nykyisten hyvien hallintakeinojen takia todennäköisyydeltään pienentynyt.
Arvioinnin perusteella riskille lasketaan automaattisesti riskitaso. Organisaatio voi itse määritellä hyväksyttävän riskin tason, jonka ylittävien riskien tulee jatkaa käsittelyvaiheeseen, jossa eri toimenpiteiden kautta riskitasoa pyritään pienentämään.
Arvioinnissa määritelty riskitaso kertoo, pitääkö riskin hallintaa jatkaa pidemmälle.
Mikäli riskitaso on hyväksyttävällä tasolla tai sen alapuolella, riski voidaan tässä vaiheessa hyväksyä.
Tarvittaessa riskin hallinta jatkuu käsittelyvaiheeseen, jossa:
Yleisin valinta on riskin vähentäminen uusia tehtäviä lisäämällä, eli parantamalla omaa tietoturvatekemistä. Tässä kohdassa on erityisen tärkeää, että päätetyt tehtävät listataan samaan järjestelmään, missä riskienhallinta tehdään. Näin riskienhallinta johtaa todellisiin tuloksiin, jotka päätyvät automaattisesti saman valvontaprosessin piiriin.
Tätä suunnitelmaa riskin pienentämiseksi hyväksyttävälle tasolle voidaan kutsua joko yhden tai koko riskikattauksen "käsittelysuunnitelmaksi" (risk treatment plan). Tässä vaiheessa viimeinen vaihe on riskin omistajan hyväksyntä tälle käsittelysuunnitelmalle.
Kun suunniteltu riskin käsittely on toteutettu, eli tehtäville määritellyt omistajat ovat kuitanneet tehtävien olevan kunnossa (tai muut hallintatoimet on toteutettu), riski voidaan tämän jälkeen sulkea. Riskien hallintaprosessi päättyy siis selkeään lopputulokseen.
Riski voi nousta uudelleen arviointiin esimerkiksi omistajan tarkistuksen, tapahtuneen tietoturvahäiriön tai organisaation toimintaan kohdistuvan merkittävän muutoksen kautta, jotka nostavat uudelleen riskin vakavuutta tai todennäköisyyttä.
Riski voi nousta uudelleen arviointiin esimerkiksi omistajan tarkistuksen, tapahtuneen tietoturvahäiriön tai organisaation toimintaan kohdistuvan merkittävän muutoksen kautta.
Seuraavassa vielä muutamia nostoja, jotka voivat auttaa riskienhallintatyön toteuttamista organisaatiossanne:
Mikäli haluat kuulla tarkemmin tietoturvariskien hallinasta, tule mukaan teemaan liittyviin tuleviin webinaareihimme tai poimi sinulle sopiva aika Teams-palaverille, niin jatketaan henkilökohtaisen keskustelun merkeissä.