Tietoturvariskien hallinta: Vaiheittainen opas selkeään prosessiin.

Tietoturvariskien hallinta on olennainen osa onnistunutta tietoturvastrategiaa.

Tietoturvariskien hallinta on pohjimmiltaan prosessi, jossa riskit tunnistetaan, arvioidaan, käsitellään ja seurataan. Tavoitteena on selkeä prosessi, joka johtaa suurimpien riskien löytämiseen ja omien resurssien tehokkaaseen käyttöön niiden vähentämiseksi.

Prosessi koostuu neljästä keskeisestä vaiheesta: tunnistaminen, arviointi, käsittely ja seuranta. Ensin tunnistetaan, mitä on vastassa. Sitten arvioidaan riskit (erityisesti niiden todennäköisyys ja vaikutus) ja asetetaan ne tärkeysjärjestykseen. Seuraavaksi päätetään käsittelystä, jonka avulla voidaan hoitaa suurimpia riskejä. Tämä tarkoittaa yleensä lisäturvatoimenpiteitä, joilla pienennetään riskin todennäköisyyttä tai vaikutusta. Kun toimenpiteet on toteutettu, nämä riskit on toistaiseksi hoidettu. Jäännösriskiä voidaan vielä arvioida ja siirtyä sitten hoitamaan seuraavaksi korkeimman tason riskejä.

Näin sanottuna prosessi ei ehkä kuulosta kovin pelottavalta. Organisaatiossa on kuitenkin monia näkökulmia, jotka on otettava huomioon: monenlaisia riskejä, erilaisia keskeisiä suojattavia assetteja, joiden riskit halutaan yksilöidä, tai erilaisia tiimejä, jotka on otettava mukaan prosessiin.

Seuraavaksi perehdymme syvemmin näiden riskinhallintaprosessin vaiheiden keskeisiin menestystekijöihin. Muista, että hyvin toteutettu riskienhallintaprosessi voi vähentää huomattavasti merkittävän tietomurron todennäköisyyttä ja vaikutuksia.

Millaisia ovat esimerkiksi tietoturvariskit?

Tietoturvariskejä on monenlaisia. Tavalla tai toisella ne vaarantavat organisaation tieto-omaisuuden luotettavuuden, yhtenäisyyden ja saatavuuden. Seuraavassa on joitakin yleisiä esimerkkejä:

• Tietojärjestelmiin liittyvät riskit: Esimerkiksi ransomware-hyökkäykset, tilien kaappaukset, esimerkiksi huonojen salasanakäytäntöjen, hallitsemattomien käyttöoikeuksien hallintakäytäntöjen tai teknisten haavoittuvuuksien vuoksi.
  
• Etätyöhön ja mobiililaitteisiin liittyvät riskit: Näitä voivat olla esimerkiksi man-in-the-middle-hyökkäykset, kadonneet laitteet tai salakuuntelu.
  
• Henkilöstöön liittyvät riskit: Esimerkkeinä voidaan mainita uhkien soluttautuminen henkilöstöön, petolliset entiset työntekijät, inhimilliset virheet tietämättömien työntekijöiden toimesta tai tietovuodot sisäpiirin kautta.
  
• Fyysiset tietoturvariskit: Esimerkiksi ilkivalta, varkaus, fyysinen luvaton pääsy kriittisiin laitteisiin tai pääsynvalvonnan epäonnistuminen yleensä.
  
• Häiriöihin liittyvät riskit: Näitä voivat olla esimerkiksi hidas reagointi tietoturvahäiriöön, tekniset haavoittuvuudet, joista yritys ei ole tietoinen, tai seuraamukset, jotka johtuvat ilmoittamatta jätetyistä tietomurroista.
• kehitykseen liittyvät riskit: Esimerkkejä ovat hallitsemattomat tai tunnistetut tekniset haavoittuvuudet, hallitsemattomat riippuvuudet kolmansista osapuolista.
  
• Yhteistyökumppaneihin liittyvät riskit: Esimerkiksi kumppaneihin liittyvät prosessiemme käyttökatkokset, toimitusketjun hyökkäykset, kriittisten kumppaneiden turvallisuusvalmiuksien riittämätön valvonta, kumppaneiden toiminnan jatkuvuuteen liittyvät ongelmat (esim. konkurssi).
  
• Sähköpostiin ja phishingiin liittyvät riskit: Nämä voivat vaihdella yleisistä phishing-hyökkäyksistä spear phishingiin, tilien haltuunottoon, salasanojen vuotamiseen, huomaamattomiin tietomurtoihin ja avainhenkilöiksi naamioituneet työsähköpostikompromissit.
  
• Tekniset tietoturvariskit: Esimerkkejä ovat tietoturvapäivitysten puuttuminen, riittämätön lokitus ja kyvyttömyys tutkia tietomurtoja, hallitsemattomat muutokset palveluihin ja varmuuskopioiden tuhoutuminen.
  
• Yksityisyyden suojaan liittyvät riskit: Esimerkiksi epäselvä tietosuojaviestintä, seuraamukset henkilötietojen puutteellisesta suojaamisesta, rekisteröityjen valituksiin perustuvat tutkimukset, seuraamukset puutteellisesta tietosuojaraportoinnista.

Näihin vaaroihin vastaaminen edellyttää kattavaa tietoturvapolitiikkaa, joka sisältää teknisiä, organisaatioon ja henkilöstöön liittyviä toimenpiteitä. Toimenpiteitä olisi päivitettävä jatkuvasti, jotta voidaan vastata kehittyvään uhkaympäristöön.

Esiaskeleet: Millaista tietoturvatyötä pitäisi tehdä ennen riskeihin paneutumista?

Tässä riskinhallinnan ensimmäisessä vaiheessa on kyse siitä, että mietitään, mikä voisi mahdollisesti mennä pieleen. On mietittävä mahdollisia uhkatekijöitä ja niihin liittyviä haavoittuvuuksia, jotka voivat vaarantaa tietoturvan.

Esiaskel: Tunnista ja dokumentoi tieto-omaisuus

Tietoturvariskien hallinnan ensimmäisenä olennaisena askeleena sinun on tunnistettava ja dokumentoitava tieto-omaisuus selkeästi. Näihin kuuluvat arvokkaat tiedot ja asiakirjat (esim. asiakastiedot, työntekijätiedot, taloudelliset tiedot, henkinen omaisuus) sekä niiden käsittelyyn käytettävät ohjelmistovarat (esim. CRM-järjestelmät, HR-järjestelmät, tuotantojärjestelmät, toiminnanohjausjärjestelmät). Muistetaan kuitenkin, että kyse ei ole vain digitaalisesta datasta. Myös fyysiset toimipaikat (esim. toimistot, datakeskukset) ja fyysinen omaisuus (esim. palvelimet, tietokoneet ja muut tärkeät laitteistot), joiden avulla näihin digitaalisiin tietoihin pääsee käsiksi, ovat tärkeitä.

Assettien ohella on ratkaisevan tärkeää ymmärtää niiden hallinnoinnissa tarvittavat sidosryhmät. Miten esim. tärkeät tietojärjestelmät ovat henkilötietojen toimittajia tai käsittelijöitä? Myös omat työntekijät, erityisesti eri yksiköt, joilla on tärkeitä tietojenkäsittelyn vastuita, ovat organisaation tietoturvan kannalta tärkeitä assetteja.

Lopuksi, varojen dokumentointi selkeästi järjestetyllä tavalla sujuvoittaa riskienhallintaprosessia. Dokumentoinnin olisi oltava dynaamista - sitä olisi päivitettävä, kun uusia resursseja lisätään tai vanhoja poistetaan käytöstä. Jotkin organisaatiot jatkavat myös tietojen sijaintien ja virtojen kartoittamista mahdollisten haavoittuvuuksien paljastamiseksi, mutta tämä alkaa olla jo hieman edistyneempää.

Esivaihe: Tunnista ja dokumentoi nykyiset turvatoimet

Jotta tietoturvariskien hallinta onnistuisi, sinun on ymmärrettävä, mitä suojaat (assetit) ja miten suojaus tällä hetkellä toteutetaan (turvatoimet).

Nykyisiin turvatoimenpiteisiisi kuuluu varmasti teknisiä toimenpiteitä, kuten tunkeutumisen havaitsemis- tai päätelaitteiden suojausohjelmistot, organisaatioon liittyviä toimenpiteitä, kuten salasanojen vahvuutta ja käyttäjien käyttöoikeuksien myöntämistä koskevat yrityskäytännöt, ja henkilöstöön liittyviä toimenpiteitä, kuten turvallisen etätyöskentelyn tai mobiililaitteiden käyttöä koskevat säännöt. Et voi arvioida ja vertailla riskejä toisiinsa, ennen kuin tarkastelet kattavasti kaikkia nykyisin käytössä olevia turvatoimia.

Assettien ja nykyisten turvatoimenpiteiden dokumentointi luo perustan ISMS-järjestelmälle (information security management system). Tätä tehtäessä saatat jo havaita joitakin puuttuvia parhaita käytäntöjä, jotka voit korjata jo ilman riskienhallintaprosessin läpikäymistä. Mutta kun olet kartoittanut ja dokumentoinut nykyiset toimenpiteesi ja olet niihin suhteellisen tyytyväinen, voit saada suurimman hyödyn vankasta riskienhallintaprosessista parantamalla niitä entisestään.

Tietoturvan nykytilan ymmärtäminen on ratkaiseva askel kohti kestävämpää huomista.

Vaihe 1: Tunnista riskit - millaiset tapaukset voisivat haitata meitä?

Tässä riskinhallinnan ensimmäisessä vaiheessa on kyse siitä, että mietitään, mikä voisi mahdollisesti mennä pieleen. Sinun on pohdittava mahdollisia uhkia ja niihin liittyviä haavoittuvuuksia, jotka voivat vaarantaa tietoturvasi.

Tietoturvariskejä on monenlaisia, ja voit varmasti käyttää esimerkkilistauksia ajattelusi apuna. Tekniset haavoittuvuudet koodissa, epärehelliset entiset työntekijät tai huonosti hoidetut kumppaniyritykset ovat erilaisia, mutta kaikki merkityksellisiä tietoturvariskien lähteitä.

Sekä tekninen että organisaation tuntemus on tärkeää riskien tunnistamisessa. Ajankohtaisten tietoturvauutisten seuraaminen on myös yksi tapa pysyä ajan tasalla uusimmista uhkien aiheuttajista ja nähdä, millaisia riskejä on toteutunut ympäröivissä yrityksissä.

Ongelmia aiheuttavat usein sekä teknologian ja uhkien dynaamisuus että järjestelmien monimutkaisuus. Järjestelmällinen riskien tunnistaminen luo kuitenkin pohjan seuraaville riskien arvioinnin ja käsittelyn vaiheille. Se on prosessi, jota on jatkettava jonkin aikaa, jotta voidaan löytää organisaatiossasi parhaiten toimivat keinot.

Vinkkejä onnistuneeseen riskien tunnistamiseen:

• Määrittele käytetyt riskien tunnistamismenetelmät. Järjestätkö työpajoja? Käytätkö riskien määrittelyssä esimerkkiluetteloita? Käytättekö automatisoituja riskien tunnistustyökaluja? Teettekö tunkeutumistestejä? Vai miten varmistatte, että kohtuullinen määrä merkityksellisiä tietoturvariskejä tunnistetaan jatkuvasti?
  
• Määrittele näkökulmat. Tunnistetaanko riskit yleensä koko organisaation näkökulmasta? Vai käytättekö assetteihin perustuvaa näkökulmaa riskien tunnistamiseksi esimerkiksi yksittäisen tietojärjestelmän, prosessin tai muutoksen näkökulmasta? Molemmat lähestymistavat ovat päteviä, ja usein niitä tulisi yhdistää parhaiden tulosten saavuttamiseksi.
  
• Keskity laatuun, älä määrään. Riskien tunnistamisen tärkein hyöty on tietoturvaympäristön parempi ymmärtäminen. Saattaa olla hyödyllistä tunnistaa myös riskit, jotka eivät ole liian vakavia tai todennäköisiä, mutta ei kuitenkaan kaikkia. Seuraavissa vaiheissa keskitytään joka tapauksessa ensin tärkeimpiin riskeihin. Voit joka tapauksessa tunnistaa lisää riskejä myöhemmin. Liian monet avoimet riskit vain jumiuttavat prosessisi.

Vaihe 2: Arvioi riskit, jotta ne voidaan priorisoida oikein.

Riskien arvioinnissa tunnistetut riskit asetetaan järjestykseen. Arvioinnilla tarkoitetaan selkeiden arvojen löytämistä riskin vaikutukselle ja todennäköisyydelle ja siten riskin tason määrittelyä. Kunkin riskin osalta on tarkasteltava mahdollisia riskiskenaarioita, niiden todennäköisyyttä ja mahdollisia vaikutuksia.

Tarkoituksena on selvittää, mitkä ovat kiireellisimmät riskit, joihin on keskityttävä juuri nyt. Vain kaikkein tärkeimpien riskien kohdalla on järkevää jatkaa seuraaviin vaiheisiin, jotka koskevat käsittelyä eli lieventävien toimenpiteiden määrittelyä riskin vaikutuksen tai todennäköisyyden pienentämiseksi.

Analysoidaksesi ja määrittääksesi riskin todennäköisyysarvon sinun tulisi miettiä mahdollisia tapahtumaskenaarioita, jotka johtavat riskin toteutumiseen. Luettelemalla skenaariot pystyt lopulta määrittämään esim. arvion todennäköisyydestä (%), jolla riski toteutuu vuoden aikana, ja muuttamaan sen sitten riskiarvoksi (esim. 10 % = kohtalainen).

Esimerkiksi se, että asiaan liittyvät toimet ovat hyvin harvinaisia, nykyiset turvavalvontatoimet ovat hyviä tai asiaan liittyville työntekijöille on annettu kattavat ohjeet, voi tehdä riskistä vähemmän todennäköisen arvioinneissa.

Analysoidaksesi ja määrittääksesi riskin vaikutusarvon sinun tulisi miettiä riskin seurauksia. Riskin vaikutusta olisi tarkasteltava laajasti - siihen voi sisältyä taloudellisia vaikutuksia, maineelle aiheutuvia vaurioita, oikeudellisia seurauksia, palvelujen keskeytyksiä ja siten menetettyä liiketoimintaa tai menetettyä kilpailuetua (ja joskus jopa suoranaisia uhkia ihmisten terveydelle). Eri seurauksia pohtimalla pitäisi pystyä arvioimaan riskin rahallinen vaikutus (€) ja muuttamaan se sitten riskin arvoksi (esim. 100 000 € voi olla joissakin organisaatioissa korkea arvo).

Sellaiset seikat kuin asiaan liittyvien assettien pieni määrä, asiaan liittyvän toiminnan vähäinen merkitys organisaatiolle tai olemassa olevat vahvat turvatoimet voivat alentaa riskin vaikutusta arvioinneissa.

Vinkkejä onnistuneeseen riskien arviointiin:

• Arviointiasteikot on laadittava hyvin selkeästi. Käytätkö asteikkoa 1-3? Vai 1-5? Vai tarkempia arvoja? Valitsitpa minkä tahansa, tärkeintä on, että jokaisen osallistujan on ymmärrettävä yksityiskohtaisesti, mitä tarkoittaa, jos riskin vaikutus on 2 - vähäinen tai 5 - kriittinen. Eri tasoille on laadittava selkeät kuvaukset. Vähäinen vaikutus voi tarkoittaa alle 20 000 euron vahinkoa jollekin organisaatiolle, ja suuri todennäköisyys tarkoittaa, että riski esiintyy arviolta kerran kahdessa vuodessa.
  
• Määrittele hyväksyttävä riskitaso. Yleensä riskitaso = vaikutus x todennäköisyys. Asettamalla hyväksyttävän riskin tason (esim. 8) autat kohdistamaan riskityön. Jos käytät aikaasi sellaisen riskin arviointiin tai edes käsittelemiseen, joka on joka tapauksessa alle hyväksyttävän riskitason, et käytä aikaasi järkevästi.

Vaihe 3: Suurimpien riskien käsittely - miten niiden tasoa voidaan laskea?

Kahden ensimmäisen vaiheen jälkeen sinulla pitäisi olla selkeästi priorisoitu luettelo eri tietoturvariskeistä. Riskienkäsittelyn aikana suunnittelet ja toteutat toimenpiteitä suurimpien riskien pienentämiseksi. Joitakin riskejä voit ehkä jakaa tai eliminoida, mutta yleensä tietoturvan alalla otetaan käyttöön jonkinlaiset uudet suojatoimet, joilla vähennetään riskin vaikutusta tai todennäköisyyttä.

Konkreettisemmin sanottuna tietyn riskin käsittely voi tarkoittaa parempien organisaation sisäisten valvontatoimenpiteiden luomista (esim. selkeämmät valvontaprosessit, tiukemmat sopimukset, ohjeita työntekijöille), parempien teknisten suojatoimien käyttöönottoa (esim. salausohjelmistot, hälytysjärjestelmät, haavoittuvuuden tarkistus) tai parempia ohjeita ja ohjeistuksia työntekijöille (esim. etätyöstä, salasanojen käytöstä, henkilötietojen käsittelystä).

Riskien hallintasuunnitelman laatimisessa voidaan hyödyntää yhteistyötä ja asiantuntemusta useilta eri aloilta. Tehtävänäsi on löytää paras tapa alentaa riskitasoa mahdollisimman pienin tarvittavin investoinnein.

Vinkkejä onnistuneeseen riskien arviointiin:

• Määrittele "käsiteltävien riskien" raja. Jokaisella organisaatiolla on rajalliset resurssit tietoturvaan. Toimintasi laajuuden mukaan sinun tulisi asettaa itsellesi tietyt rajat. Sinulla voi olla esim. max. 10 käsiteltävää riskiä kerrallaan. Silloin voit tarkastella näitä riskejä uudelleen säännöllisesti ja keskittyä hoidon loppuun saattamiseen. Sitten siirryt hoitamaan seuraavia riskejä. Näin prosessi pysyy selkeänä ja järjestelmällisenä.
  
• Käy " käsiteltävät riskit" läpi säännöllisesti. Jos sinulla on kuukausittain riskienhallintatyöpaja, mitä teet ensin? Sinun pitäisi luultavasti käydä läpi riskit, joilla on jo käsittelysuunnitelmat. Onko ne toteutettu? Jos jotkut niistä on jo toteutettu, on aika ottaa lisää riskejä käsiteltäväksi.

Vaihe 4: Parhaat käytännöt riskien seurantaan

Tietoturvariskien hallinnan kolmen ensimmäisen elintärkeän vaiheen avulla olet periaatteessa tehnyt suuren osan työstä.

Riskien seurannan tarkoituksena on varmistaa, että palaat relevantteihin riskeihin tietyin väliajoin. Asiat muuttuvat - joko organisaatiosi ympärillä tai sen sisällä. Tietoturvauhat kehittyvät, uusia säännöksiä tulee voimaan ja organisaatiossasi saatetaan tehdä suuria muutoksia (esim. palkataan paljon uutta henkilöstöä, lanseerataan uusia tuotteita jne.). Tällaiset muutokset saattavat vaikuttaa riskiarviointeihisi.

Kun riski muuttuu merkittävästi, se ei ehkä enää ole hyväksyttävissä rajoissa. Tämä liittyy myös kiinteästi jäännösriskien arviointiin.

Jäännösriskillä tarkoitetaan riskien käsittelyn jälkeen jäljellä olevaa riskiä. Riski arvioidaan siis periaatteessa uudelleen samojen kriteerien mukaan kuin ennen käsittelyä. Jäännösriskin arvioinnilla varmistetaan, että olet tietoinen jäljellä olevasta riskistä, vaikka se on periaatteessa jo hyväksytty.

• Ymmärrä suurimmat jäljellä olevat riskit. Suurimmista jäännösriskeistä tiedottaminen organisaation ylimmälle johdolle tai muille sidosryhmille voi olla tärkeää. Näin voit tuoda avoimesti esiin, että riskit on kartoitettu ja toimenpiteitä on toteutettu, mutta esimerkiksi nykyisten resurssien puitteissa jäljellä on vielä huomattavia riskejä.
  
• Automatisoi riskien seuranta. Älykkäät työkalut voivat tarjota ominaisuuksia, kuten vuosittaiset muistutukset riskien omistajille, jotta nämä voivat joko helposti vahvistaa, ettei riskiin ole tapahtunut merkittäviä muutoksia, tai sitten päivittää arviointeja ja palauttaa riskin takaisin aktiivisiin vaiheisiin, jos se ei ole enää hyväksyttävällä tasolla.

Special: Assetteihin perustuvan riskien tunnistamisen yhdistäminen yleiseen riskiarviointiin

Tärkeimmät assetit tarkoittavat organisaatiosi tietojenkäsittely-ympäristön tärkeimpiä komponentteja. Ne ovat se ydin, jonka yrität pitää turvassa turvatoimenpiteilläsi. Esimerkkejä keskeisistä asseteista ovat mm. seuraavat:

• Keskeiset tietovarannot: Epäilemättä yksi organisaation arvokkaimmista asseteista. Se voi olla mitä tahansa arkaluontoisista käyttäjätiedoista, asiakasomistajatietoja täynnä olevista tietokannoista, tuotetiedoista, taloustilastoista tai suojatusta tutkimuksesta.
  
• Keskeiset tietojärjestelmät/ohjelmistot: Sovellukset ja järjestelmät, jotka pitävät prosessit käynnissä. Arvokkaita ohjelmistoja voivat olla esimerkiksi asiakassuhteiden hallintatyökalut, tietokantajärjestelmät tai räätälöidyt sovellukset.
  
• Keskeiset prosessit: Prosessien on pysyttävä käynnissä liiketoiminnan jatkuvuuden varmistamiseksi.
  
• Keskeiset kumppanit: Korvaamattomat kumppanit, joiden ongelmat estäisivät myös toimintasi jatkuvuuden.
  
• Keskeiset toimipaikat: Fyysiset sijaintisi, jotka ovat välttämättömiä toimintojesi pyörittämisen kannalta.

Assetteihin perustuvan riskien tunnistamisen hyödyntäminen yleisemmän riskinarvioinnin yhteydessä on erinomainen tapa saada vielä parempia tuloksia riskienhallinnan toimenpiteistä.

Asset-pohjainen riskien tunnistaminen auttaa sinua:

• Delegoimaan vastuun riskien tunnistamisesta ja arvioinnista omistajille.
  
• Tunnistamaan yksityiskohtaisempia riskejä, joita on usein myös helpompi käsitellä.
  
• Varmistamaan, että keskeisten assetien näkökulmaa ei unohdeta riskiarviointeja tehtäessä.

‍

Älykkäät ISMS-järjestelmät voivat velvoittaa tärkeimpien assettien omistajia käymään läpi riskien tunnistamisen työnkulut.

Johtopäätöksenä:

Järjestelmällinen riskienhallinta on yksi keino parantaa tietoturvaa jatkuvassa tahdissa kaikissa toimivissa tietoturvajärjestelmissä. Kun omaksut jäsennellyn lähestymistavan organisaatiosi tietoturvariskien tunnistamiseen, arviointiin, käsittelyyn ja seurantaan, sinulla on hyvät mahdollisuudet onnistua.

Riskien tunnistamisesta ja niiden arvioinnista aina riskien käsittelyyn ja seurantaan liittyvistä keskusteluista olet oppinut, että tämä prosessi on jatkuva, ei kertaluonteinen toimenpide. Arvioimalla jatkuvasti uudelleen tietoturvan tilaa riskien avulla organisaatiosi on aina valmis vastaamaan seuraavaan riskiin.

Sinun ei kuitenkaan kannata sukeltaa pää edellä riskienhallintaan. Tieto-omaisuuden ja nykyisten suojausten dokumentointi muodostaa perustan tehokkaalle riskienhallinnalle. Tärkeimpien sidosryhmien osallistaminen, avoin viestintä, tehokas analytiikka ja toimiva yhteistyö ovat myös elementtejä, jotka muodostavat onnistuneen riskienhallintaohjelman.

Tietoturva ei ole luksusta - se on välttämättömyys. Nyt on aika luoda vankka prosessi organisaation tietoturvariskien hallintaa varten.