Riskienhallinnan yhteenvetokysymykset

Yhteenvetokysymyksillä testaat tässä ja edellisessä luvussa oppimaasi. Kysymykset arvotaan opiskelijakohtaisesti ja näistä kysymyksistä saat ainoastaan oikein/väärin-palautteen. Tehtävän 1 jokaisessa kysymyksessä on tasan yksi oikea vaihtoehto.

Tehtävässä 2 jokaiselle opiskelijalle arpoutuu ainakin yksi oikea vaihtoehto, yleensä useampi. Tehtävä 2 hyväksytään, kun pistemäärä on 12 tai enemmän ja pisteet näkyvät keltaisella pohjalla. Osittain oikealle vastaukselle Plussa kuitenkin valitettavasti antaa väärin-palautteen. Tehtävä 2 kuitenkin hyväksytään, jos pisteitä on 12 tai enemmän. Tehtävän antamasta pistemäärästä ei voi suoraan päätellä, onko yksittäinen valinta oikein vai ei. Pisteiden kertyminen alkaa vasta, kun yli puolet tehtävän valinnoista on oikein.

Kysymys 1

Kyberriskien hallintajärjestelmään kuuluu riskianalyysi, ja siihen puolestaan kuuluu sen kartoittaminen, mikä on arvokasta. Mikä seuraavista osuu parhaiten tämän tehtävän piiriin yrityksessä? Sen

henkilöstön työkyvyn ylläpitoon tehdyt investoinnit.

varat ja velat.

aineeton omaisuus.

tuotanto- ja toimistotilojen varustuksen jälleenhankinta-arvo.

Kysymys 2

Millaisia torjuntamekanismeja voi jättää riskianalyysissa käsittelemättä?

Mekanismeja, jotka eivät torju tarkasteltavaan järjestelmään kohdistuvia uhkia.

Riskianalyysiin ei kuulu torjuntamekanismien käsittely.

Sellaisia, jotka ratkaisevat saman ongelman kuin analyysissa jo käsitellyt mekanismit.

Sen tyyppisiä mekanismeja, joita kohdejärjestelmässä ei ole vielä olemassa.

Kysymys 3

Mitä seuraavista ei tarvitse ottaa huomioon riskianalyysissa?

miten vaikeaa tai kallista hyökkääjälle olisi tietynlaisten uhkien toteuttaminen.

paljonko kilpailijayrityksissä panostetaan tietoturvallisuuteen.

tietoturvaloukkausten vaikutus yrityksen maineeseen tai julkisuuskuvaan.

yrityksen tietovarannot ja niiden arvo.

Kysymys 4

Aiempaan arvioon verrattuna kokonaisriski pienenee, jos tiettyyn riskiin liittyvän

kohteen arvo todetaan entistä pienemmäksi.

uhkan todennäköisyys asetetaan laskuissa todellista pienemmäksi.

kohteen arvo merkitään laskuissa todellista suuremmaksi.

torjuntamekanismin olemassaolo jätetään laskuissa huomiotta.

Kysymys 5

Riskianalyysi tehdään lähinnä sen takia, että

tunnettaisiin turvattavassa järjestelmässä piilevät haavoittuvuudet.

tunnettaisiin kaikki järjestelmää uhkaavat tekijät.

saataisiin kartoitetuksi kaikki mikä on suojaamisen arvoista tarkasteltavassa järjestelmässä.

saataisiin käsitys, mitkä turvamekanismit kannattaisi ottaa käyttöön.

Kysymys 6

Jäännösriski on riskienhallinnan käsite, joka…

…tarkoittaa likimääräistä arviota siitä, mitä riskeistä jää jäljelle kun ne on käsitelty.

…vastaa mittausvirhettä eksaktissa tieteessä.

…määrittelee ne riskit, jotka voidaan hyväksyä turvallisesti.

…asettaa lähtökohdan riskien arvioinnille.

Kysymys 7

Miksi liiketoiminnan jatkuvuuden turvaamiseen tarvitaan laajaa näkökulmaa riskienhallintaan?

Riskejä on tärkeä pohtia laajasti, jotta havaitaan varmasti kaikki uhat.

Koska liiketoiminnan jatkuvuus on pääasiassa tietoturvapoikkeamien hallinnan varassa eikä se onnistu kertaluonteisella riskien analyysilla ja käsittelyllä.

Koska nopea reagoiminen kyberhyökkäyksiin edellyttää käytännössä 360 asteen tarkkailua.

Koska esim. toimitusketjut ovat usein kriittisiä liiketoiminnalle, vaikka ne sijaitsevat osittain yrityksen ‘ulkopuolella’.

Kysymys 8

Mikä seuraavista yhdistelmistä parhaiten kattaa sen mitä riskillä tarkoitetaan?

Uhka & haavoittuvuus

Uhka & tietoturvaloukkaus

Haavoittuvuus & hyökkäys

Haavoittuvuus & puutteellinen suojaus

Kysymys 9

Liisalle on annettu tehtäväksi toteuttaa useita suojauksia yrityksen sähköpostijärjestelmään, jotkin jopa päällekkäisiä. Tämä osoittaa, että yrityksen suhtautuminen sähköpostin tietoturvariskeihin on

lieventäminen.

hyväksyminen.

siirtäminen.

välttäminen.

Valitse oikeat väitteet. Voit valita yhden tai useamman vaihtoehdon.

Kysymys 1

Riskityyppejä (kuten monimutkaiset ja epäselvät riski) jaotellaan sen mukaan kuinka hyvin riskin todennäköisyys pystytään määrittämään ja kuinka yksimielisiä sen hoitamisesta ollaan.

Säännölliset riskit tarkoittavat sellaisia, joiden todennäköisyys tunnetaan hyvin ja jotka toteutuvat melko tasaisin väliajoin.

Riskienarviointia täydentävä huolenaiheiden arviointi koskee enimmäkseen työntekijöiden ja asiakkaiden tyytyväisyyttä ja luottamusta yritystä kohtaan.

Jos Hipster Inc. joutuu palauttamaan päätoimipisteessä sijaitsevan verkkopalvelimensa tietoja varmuuskopiolta, sen kuuluu käyttää osalähtöistä riskienhallintaa.

Jos Hipster Inc. suunnittelee Internet-palveluntarjoajansa kanssa uusiin toimipisteisiin sijoitettavien palvelimiensa turvaamista, sen kannattaa soveltaa järjestelmälähtöistä riskienhallinnan menetelmää.

Riskianalyysissa todennäköisyys liitetään ennemmin uhkan toteutumiseen kuin haavoittuvuuteen eikä todennäköisyyttä voi hyödyntää ellei ota huomioon myös mahdollista vaikutusta.

On mahdollista, että riskianalyysi löytää haavoittuvuuden, joka ei ole uhka, tai uhkan, joka ei ole haavoittuvuus.

Riskien hallinnan standardien tavoitteena on automatisoida sopivimpien turvamekanismien valinta.

Vasta suunnitteilla olevan tietojärjestelmän turvallisuusvaatimusten määrittämiseen ei sovellu sen paremmin osalähtöinen kuin järjestelmälähtöinenkään riskienhallinta, vaan pitää soveltaa kyseistä järjestelmää koskevaa turvastandardia.

Toisin kuin riskien arviointi ja hallinta, liiketoiminnan jatkuvuuden turvaaminen ei ole syklinen vaan lineaarinen prosessi.

Tietoturvapoikkeamien hallinta on läheistä sukua riskien hallinnalle.

Palautusta lähetetään...