Kyberriskienhallinta¶

Tässä luvussa selitetään kyberriskien arvioinnin perusperiaatteet ja niiden rooli riskienhallintajärjestelmässä (risk governance). Luvussa käydään läpi, miksi turvallisuuteen tarvitaan tehokkaan riskien arvioinnin (risk assessment) ja -hallinnan (risk management) periaatteita. Samalla tarkastellaan näkökulmia kyberriskien arviointiin - alkaen yksittäisistä suojattavista kohteista (asset) koko järjestelmän tavoitteisiin.

Turvallisuuden mittaamisesta (security metrics) käydään jatkuvaa keskustelua riskienhallinnan yhteydessä. Tärkeimpiä kysymyksiä ovat: mitä järjestelmän ominaisuuksia mitataan riskiä varten, miten mitataan riski, ja miksi riskiä ylipäätään mitataan? Kysymykset liittyvät riskienhallintajärjestelmään kokonaisuutena. Tehokas riskienhallintajärjestelmä on tärkeää kyberturvallisuuden ylläpitämiseksi ja riskienhallintajärjestelmään vaikuttavat myös sosiaaliset ja kulttuuriset tekijät, jotka on otettava huomioon riskienhallintajärjestelmää kehitettäessä. Lähes kaikissa järjestelmissä ihmisillä on osansa riskienhallinnassa ja tämä on otettava huomioon alusta alkaen. Hyvin määritellystä ja toteutetusta riskienhallintajärjestelmästä huolimatta on aina mahdollista, että riski toteutuu. Silloin tarvitaan tietoturvapoikkeamien hallintaa (incident response), jolla on yhteys riskienhallintaprosessiin.