1. COMP.SEC.100
  2. 3. Riskienhallinta ja riskienhallintajärjestelmä
  3. 3.5 Riskienhallintajärjestelmä (syventävä)

Riskienhallintajärjestelmä (syventävä)

Mikä on riskienhallintajärjestelmä ja miksi se on välttämätön? (syventävä)

Riskien arviointi ja vähentämistoimenpiteiden kehittäminen riskien hallitsemiseksi ovat todennäköisesti tehokkaita vain jos käytössä on koordinoitu ja hyvin kommunikoitu hallintopolitiikka (governance policy) koskien hallittavaa järjestelmää. Riskien havaitsemiseen vaikuttaa neljä asiaa:

  • intuitiivinen arviointi, joka liittyy todennäköisyyksiin ja vahinkoihin
  • asiayhteyteen liittyvät tekijät, jotka liittyvät riskin havaittuihin ominaisuuksiin (esim. tuttuus) ja riskitilanne (esim. henkilökohtainen hallinta)
  • riskilähteeseen liittyvät merkitykset, riskiin liittyvät ihmiset ja riskinottotilanteen olosuhteet
  • riskikeskusteluun osallistuvien toimijoiden luotettavuus ja uskottavuus

Riskienhallintajärjestelmän tulisi sisältää laaja sidosryhmänäkemys, koska silloin myös riskienhallinnan toimenpiteille on laajempi hyväksyntä ja organisaation sitoutuminen valittuun malliin tehostuu. Onnistuneen riskienhallintajärjestelmän tekijöitä ovat esimerkiksi riskienhallintajärjestelmän tiivis yhteys päivittäiseen toimintaan ja päätöksentekoon, ja kyberriskien pitäminen yhtä tärkeinä kuin terveyden, työturvallisuuden, taloudellisten prosessien ja henkilöresurssien. Esimerkiksi ulkomaille matkustaessaan työntekijät noudattavat aina taloudellisia rajoituksia ja organisaation matkustusprosesseja. Kyberturvallisuutta tulisi ajatella samoin - selkeänä joukkona prosesseja, jotka vähentävät vahinkoa yksilöille ja yrityksille. Kaikkien organisaation päivittäisessä toiminnassa mukana olevien tulisi ymmärtää turvallisuus osana jokapäiväistä toimintakulttuuria. Muuten turvallisuus ei toteudu tehokkaasti. Kyberriskien hallintajärjestelmä on avaintekijä turvallisuuskulttuurin muodostamisessa ja omaksumisessa.

Inhimilliset tekijät ja riskiviestintä (syventävä)

Inhimilliset tekijät voivat vaikuttaa turvallisuuden hallintaan, esimerkiksi ihmisillä on ongelmia turvatyökalujen käyttämisessä oikein; tietojen, ohjelmistojen ja järjestelmien tärkeyttä organisaatiolle ei ymmärretä; ei uskota, että voidaan olla vaarassa tai hyökkäyksen kohteena; tai ei ymmärretä, että oma käytös asettaa järjestelmän vaaraan. Tästä seuraa, että riskejä ei voida vähentää pelkällä tekniikalla. Jos organisaatiossa ajatellaan, että sitä vastaan hyökkääminen on epätodennäköistä, vaikka tilastot osoittavat kyberturvallisuushäiriöiden lisääntyvän vuosi vuodelta, ongelma on todennäköisesti organisaation kyberturvallisuuskulttuurissa. Ihmisten kouluttaminen on tärkeää, jotta varmistetaan riskienhallinnassa määriteltyjen periaatteiden ja turvapolitiikkojen omaksuminen. Ihmiset noudattavat yleensä vähiten vaivaa aiheuttavaa tapaa tehdä työtään ja kun he eivät onnistu noudattamaan vaadittua turvallisuuskäyttäytymistä, se johtuu kahdesta syystä: 1) he eivät pysty käyttäytymään kuten vaaditaan (esim. vaadittu tapa ei ole teknisesti mahdollinen tai käytössä olevat turvamenettelyt ja -käytännöt ovat liian suuria tilanteeseen nähden, vaikeasti ymmärrettävissä ja omaksuttavissa tai epäselviä) ja 2) he eivät halua käyttäytyä vaaditulla tavalla (esim. he löytävät helpomman kiertotien vähäriskiselle mutta aikaa vievälle turvapolitiikalle, tai he ovat eri mieltä ehdotetusta politiikasta). Tämän vuoksi on tärkeää määritellä vastuut ja seuraukset (process for accountability), jos turvapolitiikkaa rikotaan.

Riskiviestinnällä on myös tärkeä rooli riskienhallintajärjestelmässä ja siihen sisältyy esim. seuraavat näkökulmat:

  • Koulutus: erityisesti riskitietoisuus ja riskien päivittäinen käsittely, mukaan lukien riskien ja huolenaiheiden arviointi ja hallinta.
  • Harjoittelu ja käyttäytymisen muutokseen kannustaminen: koulutuksen tarjoamien tietojen omaksuminen sekä sisäisten käytäntöjen ja prosessien muuttaminen turvapolitiikan mukaiseksi.
  • Luottamuksen luominen: koskien sekä organisaation riskienhallintaa että avainhenkilöitä, tarkoituksena on kehittää luottamusta riskienhallintaan pitkällä aikavälillä ja ylläpitää sitä onnistuneilla toimenpiteillä.
  • Osallistaminen: erityisesti riskejä koskevaan päätöksentekoprosessiin, sidosryhmille annetaan mahdollisuus osallistua riskien ja huolenaiheiden arviointiin ja ristiriitojen ratkaisuun.

Esimerkin näyttäminen on erittäin tärkeä osa riskiviestintäprosessia. Työntekijät ovat todennäköisesti närkästyneitä ja itsekin piittaamattomia, jos näyttää siltä, ​​että ylin johto ei noudata samoja riskienhallintasääntöjä ja -periaatteita kuin työntekijät. Näkyvä johdon sitoutuminen on tärkeää riskiviestinnän kulttuurille.

Turvallisuuskulttuuri (syventävä)

Turvallisuusasioissa vastuullisuus (accountability) tulisi sitoa oppimiseen. Tällä tarkoitetaan esim. että työntekijät uskaltavat raportoida ongelmista ja huolenaiheista myös silloin kun he ajattelevat olevansa syyllisiä tai tehneensä virheen. Vastuullisuuden tulisi olla kiinteästi yhteydessä organisaation auttamiseen ilman huolta leimautumisesta ja rangaistuksesta. Välillä turvallisuuden hallinnoimisesta vastaavilla henkilöillä on rajallinen ymmärrys koskien sitä, miten turvapolitiikkojen toteuttaminen on mahdollista käytännön operatiivisessa toiminnassa. Tulisi tiedostaa, että kaikissa tilanteissa ei ole olemassa selvää oikeaa tai väärää, ja että huonosti harkitut prosessit ja käytännöt ovat todennäköisesti olleet taustasyynä tapahtuneisiin tietoturvaloukkauksiin, eikä kyseessä ole työntekijän tahallinen pahantahtoinen käytös. Taustasyyt tulisi selvittää henkilöihin kohdistuvan “syyllisten etsinnän” sijasta. Virheen tehnyt henkilö saattaa myös tarvita apua ja tukea syyllisyydentunteiden kanssa selviytymiseen. Organisaatiossa voisi olla esim. riippumaton tiimi, joka käsittelee tietoturvaloukkausilmoituksia, jotta työntekijöiden ei tarvitse käydä niitä läpi esimiestensä kanssa. Jos työntekijät ovat tietoisia miten turvallisuusloukkauksia käsitellään ja mitä niistä seuraa, se vähentää ahdistusta ja johtaa siten avoimempaan turvallisuuskulttuuriin.

Turvapolitiikan toimeenpano (syventävä)

Tehokasta kyberriskienhallintajärjestelmää tukevat selkeät ja käyttökelpoiset turvapolitiikat. Riskien arvioinnin alusta lähtien tulisi olla selvää, mihin riskien arvioinnilla pyritään ja mikä sen laajuus on. Samalla pitäisi tunnistaa arvioinnin kohteena olevan järjestelmän tavoitteet. Tavoitteiden pitäisi olla saavutettavissa ja liittyä selkeästi niitä tukeviin prosesseihin. Järjestelmän riskit on muotoiltava selkeästi siten, että ne huomioivat haavoittuvuudet, uhat, todennäköisyydet ja lopputulokset (esim. syyt ja seuraukset), jotka sisältyvät riskiin. Riskienhallintapäätöksillä pyritään lieventämään näille prosesseille tunnistettuja uhkia. Riskienhallintapäätökset tulisi sitoa turvapolitiikkoihin, joissa selkeästi ilmaistaan tarvittavat toimet ja toimenpiteet sekä selkeä aikataulu riskien vähentämiseksi. Tähän pitäisi sisältyä myös mitä odotetaan tapahtuvan riskin mahdollisen toteutumisen seurauksena.

Yhteenveto

Riskienhallintajärjestelmän rakenne

Riskienhallintajärjestelmässä korostuvat riskiviestintä, sidosryhmien sitoutuminen ja asiayhteydet. Nämä vaikuttavat jokaisessa prosessin vaiheessa. Prosessi on iteratiivinen ja pyrkii aina havaitsemaan uusia ongelmia ja muuttuvia uhkia ja ottamaan käyttöön parhaat käytännöt uusien riskien kohtaamiseen. Riskien tunnistaminen, arviointi ja evaluointi pyrkivät ymmärtämään riskejä ja niiden vaikutuksia. Evaluointi vaikuttaa päätöksiin, joita tehdään riskienhallinnassa ja nämä päätökset puolestaan vaikuttavat uusien riskien tunnistamiseen.

Palautusta lähetetään...