- COMP.SEC.100
- 3. Riskienhallinta ja riskienhallintajärjestelmä
- 3.2 Mitä tarkoittaa riski?
Mitä tarkoittaa riski?¶
Riski (risk) on läsnä kaikkialla. Ihmiset tekevät jatkuvasti päätöksiä, jotka voivat vaikuttaa heihin yksilöinä ja laajemmin sosiaalisiin verkostoihin ja ympäristöön. Riskin määritelmä on kiistanalainen ja sitä voidaan määritellä eri tavoin. Riski on mahdollisuus, että tapahtumat tai ihmisen teot johtavat seurauksiin, jotka vaikuttavat siihen, mitä ihminen arvostaa. Puhutaan arvostettavista tai suojattavista asioista tai kohteista (asset), “asia” tai “kohde” tässä yhteydessä ei ole sidottu fyysisyyteen. Tämä määritelmä sisältää sen, että riskin toteutumisen seuraukset voivat olla myös positiivisia. Yritystoiminnassa kuitenkin riskin ajatellaan usein olevan kielteisten tapahtumien ja niiden seurausten yhdistelmä. Riskienhallinta (risk management) on seurauksiltaan merkittävien kielteisten tapahtumien järjestelmällistä määrittelyä ja niihin varautumista.
Riski-käsitteen vaihtoehtoisia määritelmiä
- mahdollisuus, että tapahtumat tai ihmisen teot johtavat seurauksiin, jotka vaikuttavat jollakin tavalla johonkin asiaan/kohteeseen, jota ihminen arvostaa
- kielteisten tapahtumien ja niiden seurausten yhdistelmä
Kyberturvallisuuden kontekstissa ihmiset ja tekniikka liittyvät kiinteästi toisiinsa. Kun toinen epäonnistuu toisen toiminnan tukemisessa, seurauksena voi olla sosiaalinen, taloudellinen ja tekninen katastrofi. Riskin toteutuminen vaikuttaa johonkin, mitä arvostetaan, ja tällöin täytyy pohtia, miten arvo määritetään. Lisäksi pitää miettiä mittarit, joita käytetään riskien mittaamiseen ja hallintaan. Riskien arviointiin (risk assessment) tarvitaan kolme asiaa:
- vaikutukset suojattavaan kohteeseen
- toteutumistodennäköisyys ja
- kaava,
jolla yhdistetään molemmat. Nämä ovat useimpien riskien arviointimenetelmien perusta. Menetelmien tarkoituksena on tarjota jäsennelty lähestymistapa suojattavien kohteiden ja niihin kohdistuvien ei-toivottujen seurausten todennäköisyyteen, samalla huomioiden, että myös hyvin pienen todennäköisyyden tapatumat voivat toteutua ja niillä saattaa olla merkittäviä vaikutuksia.
Riskien arviointi (risk assessment)
Riskejä arvioidaan numeerisella asteikolla sen mukaan, miten ne vaikuttavat suojattavaan kohteeseen ja miten todennäköisesti ne toteutuvat. Nämä numerot yhdistetään, esim. kertomalla ne keskenään, jolloin saadaan arvio riskin suuruudesta.
Riskien arvioinnin ja hallinnan keskeinen haaste on tehdä järjestelmään liittyvistä oletuksista selkeitä ja löytää tasapaino subjektiivisten riskien ja objektiivisten todisteiden välillä. Riskien arviointi kokoaa havainnot ja käsitykset, jotka voidaan perustella loogisilla päättelyillä tai vertaamalla todellisiin tuloksiin. Riskienhallinta puolestaan on prosessi, jossa kehitetään ja arvioidaan vaihtoehtoja riskien käsittelemiseksi pitäen mielessä, että riskien käsitteleminen voi tarkoittaa mitä vain sietämisestä hyväksyntään ja hylkäämiseen saakka. Katso esimerkki.
Riskienhallinta (risk management)
Tarkoittaa seurauksiltaan merkittävien kielteisten tapahtumien järjestelmällistä määrittelyä ja niihin varautumista.
Riskien arvioinnin ja -hallinnan yhteydessä puhutaan usein riskianalyysistä. Se kattaa riskien määrittelyn, arvioinnin ja tunnistamisen, sekä riskienhallintakeinot. Riskienhallintajärjestelmä (risk governance) on kattava joukko käynnissä olevia prosesseja ja periaatteita, joilla pyritään varmistamaan tietoisuus riskeistä, jotka ilmenevät tietyissä tilanteissa. Samalla pyritään herättämään vastuuntuntoa ja vastuuvelvollisuutta kaikille riskienhallintaan osallistuville. Riskienhallintajärjestelmän tulisi kiinnittää huomiota yhteiseen päätöksentekoon ja kattaa sekä riskien arviointi että riskienhallinta, ja huomioida myös ne oikeudelliset, sosiaaliset, organisatoriset ja taloudelliset olosuhteet, joissa riskiä arvioidaan.
Arkipäiväistä riskienhallintaa
Teemu Teekkari on yliopiston tietokoneluokassa suorittamassa kurssitehtäviä läppärillään. Kesken tehtävien hänet kuitenkin yllättää valtava kahvinhimo, ja nyt Teemu joutuu tehdä päätöksen sen suhteen, mitä tehdä läppärille kahvinhakureissun ajaksi. Hän arvioi suurimmaksi riskiksi sen, että hänen läppärinsä kähvellettäisiin. Teemu kuitenkin muistaa, että tietokoneluokkiin tarvitsee kulkukortin, joten ulkopuolisia ei huoneessa pitäisi olla, ja lisäksi hänellä on suuri luotto kanssaopiskelijoihin. Näin hän arvioi riskin todennäköisyyden pieneksi. Teemu siis päättää olla ryhtymättä muihin riskienhallintakeinoihin, kuin hyväksyä riskin, ja jättää läppärinsä niille sijoilleen näiksi muutamiksi minuuteiksi.
Teemu kuitenkin äkkää myös toisen riskin: houkutus luntata saattaa jollekin olla liian suuri. Vaikka hän arvioi tämänkin riskin toteutumisen todennäköisyyden pieneksi, ei riskienhallintatoimenpide sen mitätöimiseksi aiheuta Teemulle kovinkaan suurta vaivaa. Niinpä estääkseen vastauksiensa kopioinnin hän lukitsee näyttönsä kahvinhakureissun ajaksi.
Teemu uskalsi toimia näin tietokoneluokassa, mutta ehkäpä julkisessa kahvilassa tilanne olisi toinen, mikäli hän joutuisi jättämään kalliin läppärinsä vahtimatta vaikkapa vessassa käynnin ajaksi. Mitä itse tekisit?