1. COMP.SEC.100
  2. 3. Riskienhallinta ja riskienhallintajärjestelmä
  3. 3.5 Turvallisuuskulttuurista (syventävä)

Turvallisuuskulttuurista (syventävä)

Riskienhallinnan hallinta (syventävä)

Riskien arviointi ja vähentämistoimenpiteiden kehittäminen riskien hallitsemiseksi ovat todennäköisesti tehokkaita vain, jos käytössä on koordinoitu ja hyvin kommunikoitu hallintopolitiikka (governance policy) koskien hallittavaa järjestelmää. Riskien havaitsemiseen vaikuttaa neljä asiaa:

  • intuitiivinen arviointi, joka liittyy todennäköisyyksiin ja vahinkoihin
  • asiayhteyteen liittyvät tekijät, jotka liittyvät riskin havaittuihin ominaisuuksiin (esim. tuttuus) ja riskitilanne (esim. henkilökohtainen hallinta)
  • riskilähteeseen liittyvät merkitykset, riskiin liittyvät ihmiset ja riskinottotilanteen olosuhteet
  • riskikeskusteluun osallistuvien toimijoiden luotettavuus ja uskottavuus

Riskienhallintajärjestelmän tulisi sisältää laaja sidosryhmänäkemys, koska silloin myös riskienhallinnan toimenpiteille on laajempi hyväksyntä ja organisaation sitoutuminen valittuun malliin tehostuu. Onnistuneen riskienhallintajärjestelmän tekijöitä ovat esimerkiksi tiivis yhteys päivittäiseen toimintaan ja päätöksentekoon, ja kyberriskien pitäminen yhtä tärkeinä kuin terveyttä, työturvallisuutta, taloudellisia prosesseja ja henkilöresursseja koskevien riskien. Esimerkiksi ulkomaille matkustaessaan työntekijät noudattavat aina taloudellisia rajoituksia ja organisaation matkustusprosesseja. Kyberturvallisuutta tulisi ajatella samoin - selkeänä joukkona prosesseja, jotka vähentävät vahinkoa yksilöille ja yrityksille. Kaikkien organisaation päivittäisessä toiminnassa mukana olevien tulisi ymmärtää turvallisuus osana jokapäiväistä toimintakulttuuria. Muuten turvallisuus ei toteudu tehokkaasti. Kyberriskien hallintajärjestelmä on avaintekijä turvallisuuskulttuurin muodostamisessa ja omaksumisessa.

Inhimilliset tekijät ja riskiviestintä (syventävä)

Inhimilliset tekijät voivat vaikuttaa turvallisuuden hallintaan, sillä ihmisillä on ongelmia esimerkiksi turvatyökalujen oikein käyttämisessä; tietojen, ohjelmistojen ja järjestelmien tärkeyttä organisaatiolle ei ymmärretä; ei uskota, että voidaan olla vaarassa tai hyökkäyksen kohteena; tai ei ymmärretä, että oma käytös asettaa järjestelmän vaaraan. Tästä seuraa, että riskejä ei voida vähentää pelkällä tekniikalla. Jos organisaatiossa ajatellaan, että sitä vastaan hyökkääminen on epätodennäköistä, vaikka tilastot osoittavat kyberhäiriöiden lisääntyvän vuosi vuodelta, ongelma on todennäköisesti organisaation kyberturvakulttuurissa. Ihmisten kouluttaminen on tärkeää, jotta varmistetaan riskienhallinnassa määriteltyjen periaatteiden ja turvapolitiikkojen omaksuminen.

Ihmiset noudattavat yleensä vähiten vaivaa aiheuttavaa tapaa tehdä työtään. Kun he eivät onnistu noudattamaan vaadittua turvallisuuskäyttäytymistä, se johtuu kahdesta syystä: 1) He eivät pysty käyttäytymään kuten vaaditaan. Esimerkiksi vaadittu tapa ei ole teknisesti mahdollinen tai käytössä olevat turvamenettelyt ja -käytännöt ovat liian suuria tilanteeseen nähden, vaikeasti ymmärrettävissä ja omaksuttavissa tai epäselviä. 2) He eivät halua käyttäytyä vaaditulla tavalla. Esimerkiksi he löytävät helpomman kiertotien vähäriskiselle mutta aikaa vievälle turvapolitiikalle, tai he ovat eri mieltä ehdotetusta politiikasta. Näistä syistä on tärkeää määritellä vastuut ja seuraukset, jos turvapolitiikkaa rikotaan.

Riskiviestinnällä on myös tärkeä rooli. Siihen sisältyy esim. seuraavat näkökulmat:

  • Koulutus: erityisesti riskitietoisuus ja riskien päivittäinen käsittely, mukaan lukien riskien ja huolenaiheiden arviointi ja hallinta.
  • Harjoittelu ja käyttäytymisen muutokseen kannustaminen: koulutuksen tarjoamien tietojen omaksuminen sekä sisäisten käytäntöjen ja prosessien muuttaminen turvapolitiikan mukaiseksi.
  • Luottamuksen luominen: koskien sekä organisaation riskienhallintaa että avainhenkilöitä, tarkoituksena on kehittää luottamusta riskienhallintaan pitkällä aikavälillä ja ylläpitää sitä onnistuneilla toimenpiteillä.
  • Osallistaminen: erityisesti riskejä koskevaan päätöksentekoprosessiin, sidosryhmille annetaan mahdollisuus osallistua riskien ja huolenaiheiden arviointiin ja ristiriitojen ratkaisuun.

Esimerkin näyttäminen on erittäin tärkeä osa riskiviestintää. Työntekijät ovat todennäköisesti närkästyneitä ja itsekin piittaamattomia, jos näyttää siltä, että ylin johto ei noudata samoja riskienhallinnan sääntöjä ja periaatteita kuin työntekijät. Näkyvä johdon sitoutuminen on tärkeää riskiviestinnän kulttuurille.

Turvallisuuskulttuuri (syventävä)

Turvallisuusasioissa vastuullisuus (accountability) tulisi sitoa oppimiseen. Tällä tarkoitetaan esim. sitä, että työntekijät uskaltavat raportoida ongelmista ja huolenaiheista myös silloin, kun he ajattelevat olevansa syyllisiä tai tehneensä virheen. Vastuullisuuden tulisi olla kiinteästi yhteydessä organisaation auttamiseen ilman huolta leimautumisesta ja rangaistuksesta. Välillä turvallisuuden hallinnoimisesta vastaavilla henkilöillä on rajallinen ymmärrys koskien sitä, miten turvapolitiikkojen toteuttaminen on mahdollista käytännön operatiivisessa toiminnassa. Tulisi tiedostaa, että kaikissa tilanteissa ei ole olemassa selvää oikeaa tai väärää, ja että huonosti harkitut prosessit ja käytännöt ovat todennäköisesti olleet taustasyynä tapahtuneisiin tietoturvaloukkauksiin, eikä kyseessä ole työntekijän tahallinen tai pahantahtoinen käytös. Taustasyyt tulisi selvittää henkilöihin kohdistuvan “syyllisten etsinnän” sijasta. Virheen tehnyt henkilö saattaa myös tarvita apua ja tukea syyllisyydentunteiden kanssa selviytymiseen. Organisaatiossa voisi esimerkiksi olla riippumaton tiimi, joka käsittelee ilmoituksia tietoturvaloukkauksista, jotta työntekijöiden ei tarvitse käydä niitä läpi esimiestensä kanssa. Työntekijöiden tietoisuus siitä, miten turvaloukkauksia käsitellään ja mitä niistä seuraa, vähentää ahdistusta ja johtaa avoimempaan turvallisuuskulttuuriin.

Turvapolitiikan toimeenpano (syventävä)

Tehokasta kyberriskien hallintajärjestelmää tukevat selkeät ja käyttökelpoiset turvapolitiikat. Riskien arvioinnin alusta lähtien tulisi olla selvää, mihin riskien arvioinnilla pyritään ja mikä sen laajuus on. Samalla pitäisi tunnistaa arvioinnin kohteena olevan järjestelmän tavoitteet. Tavoitteiden pitäisi olla saavutettavissa ja liittyä selkeästi niitä tukeviin prosesseihin. Järjestelmän riskit on muotoiltava selkeästi siten, että ne huomioivat haavoittuvuudet, uhat, todennäköisyydet ja lopputulokset (esim. syyt ja seuraukset), jotka sisältyvät riskiin. Riskienhallintapäätöksillä pyritään lieventämään näille prosesseille tunnistettuja uhkia. Riskienhallintapäätökset tulisi sitoa turvapolitiikkoihin, joissa selkeästi ilmaistaan tarvittavat toimet ja toimenpiteet sekä selkeä aikataulu riskien vähentämiseksi. Tähän pitäisi sisältyä myös mitä odotetaan tapahtuvan riskin mahdollisen toteutumisen seurauksena.

Palautusta lähetetään...