- COMP.SEC.100
- 3. Riskienhallinta ja riskienhallintajärjestelmä
- 3.7 Liiketoiminnan jatkuvuus
Liiketoiminnan jatkuvuus¶
Kokonaisvaltainen riskien hallinta ottaa huomioon sen, että tietoturvapoikkeamia tapahtuu. Niihin pitää reagoida ja niistä pitää toipua, jotta liiketoiminta voi jatkua. Turvapoikkeamien hallinta on aiheena omassa luvussaan, mutta riskienhallintaan kuuluu jo reagoinnin ja toipumisen suunnittelu. Poikkeamien tai suoranaisten kyberhyökkäysten jo tapahduttua riskienhallinta pyrkii ymmärtämään järjestelmään kohdistuneet vaikutukset ja korjaussuunnitelman toimivuuden. Tästä muodostuu takaisinkytkentä, jonka kautta haavoittuvuuksien hyödyntäminen voidaan estää paremmin tulevaisuudessa.
Riskienhallinnan yhteydessä, tai erikseen, laadittava hallintapolitiikka tietoturvapoikkeamien varalta voi ottaa kantaa seuraaviin asioihin. Näissä on kyse valmiuksista, joita organisaatiolta edellytetään, ei yksityiskohtaisista toimintaohjeista.
- Suunnittelu ja valmistautuminen: tiimin luominen poikkeamien käsittelyyn, ja resurssien varaaminen tiimin käyttöön.
- Havaitseminen ja raportointi: tietoturvapoikkeamien valvonta, havaitseminen ja raportointi.
- Arviointi ja päätös: tietoturvapoikkeaman vakavuuden määrittely ja sen käsittelyyn tarvittavien toimien päättäminen.
- Vastaaminen: tämä voi sisältää rikosteknisen analyysin, järjestelmän korjauksen tai eristämisen ja vahinkojen korjaamisen.
- Oppiminen: parannetaan järjestelmän suojakeinoja tulevien tietoturvapoikkeamien todennäköisyyden vähentämiseksi.
Liiketoiminnan jatkuvuuden turvaamiseksi riskien ja tietoturvapoikkeamien hallinnan tulisi ulottua myös toimitusketjuihin. Toimitusketjujen kautta riskienhallinnalle muodostuu myös yhteiskunnallinen ulottuvuus. Esimerkiksi kyberhyökkäys maksujärjestelmiin ei ole vain pankkien ongelma vaan vaikuttaa yritysten toimintaan ja ihmisten arkeen. Tässä on taustalla digitalisoituminen ja verkottuminen. Näitä uudempi ilmiö on tekoälyn kehitys, ja sekin tuo lisänsä riskienhallintaan. On suoria AI-uhkia, joissa tekoäly mahdollistaa haittaohjelmoinnin ja kyberhyökkäysten automatisoinnin entistä tehokkaammin. Välillisissä uhkissa tekoälyn tuottamat vastaukset vaikuttavat ihmisten käyttäytymiseen ja sitä kautta kokonaisiin järjestelmiin. Tämä ei ole vain yhteiskunnallinen ilmiö vaan myös organisaatiotason riski. Yrityksessä työntekijät voivat esimerkiksi omaksua AI:ltä turvattomia toimintamalleja. Sekä suorien että välillisten uhkien takia AI:tä pitää tarkastella myös riskitekijänä.