Mitä tarkoittaa riski?

Riski on läsnä kaikkialla. Ihmiset tekevät jatkuvasti päätöksiä, jotka voivat vaikuttaa heihin yksilöinä ja laajemmin sosiaalisiin verkostoihin ja ympäristöön. Riskin määritelmä on kiistanalainen ja sitä voidaan määritellä eri tavoin. Riski on mahdollisuus, että tapahtumat tai ihmisen teot johtavat seurauksiin, jotka vaikuttavat siihen, mitä ihminen arvostaa. Puhutaan arvostettavista tai suojattavista asioista tai kohteista (engl. asset). “Asia” tai “kohde” ei tässä yhteydessä ole sidottu aineeseen eikä edes bitteihin vaan se voi olla esim. maine. Tämä määritelmä sisältää sen, että riskin toteutumisen seuraukset voivat olla myös positiivisia. Yritystoiminnassa kuitenkin riskin ajatellaan usein olevan kielteisten tapahtumien ja niiden seurausten yhdistelmä. Riskienhallinta (risk management) on seurauksiltaan merkittävien kielteisten tapahtumien järjestelmällistä määrittämistä ja niihin varautumista.

Riski-käsitteen vaihtoehtoisia määritelmiä

• mahdollisuus, että tapahtumat tai ihmisen teot johtavat seurauksiin, jotka vaikuttavat jollakin tavalla johonkin asiaan/kohteeseen, jota ihminen arvostaa
• kielteisten tapahtumien ja niiden seurausten yhdistelmä

Kyberturvallisuuden kontekstissa ihmiset ja tekniikka liittyvät kiinteästi toisiinsa. Kun toinen epäonnistuu toisen toiminnan tukemisessa, seurauksena voi olla sosiaalinen, taloudellinen ja tekninen katastrofi. Riskin toteutuminen vaikuttaa johonkin, mitä arvostetaan, ja tällöin täytyy pohtia, miten arvo määritetään. Lisäksi pitää miettiä mittarit, joita käytetään riskien mittaamiseen ja hallintaan. Riskien arviointiin (risk assessment) tarvitaan kolme asiaa:

1. vaikutukset suojattavaan kohteeseen
2. toteutumistodennäköisyys ja
3. kaava, jolla yhdistetään molemmat.

Nämä ovat useimpien riskien arviointimenetelmien perusta. Tavoitteena on jäsennelty lähestymistapa suojattavien kohteiden ja niihin kohdistuvien ei-toivottujen seurausten todennäköisyyteen samalla huomioiden, että myös hyvin pienen todennäköisyyden tapahtumat voivat toteutua ja niillä saattaa olla merkittäviä vaikutuksia.

Riskien arviointi (risk assessment)

Riskeistä arvioidaan, miten ne vaikuttavat suojattavaan kohteeseen ja miten todennäköisesti ne toteutuvat. Nämä arviot yhdistämällä saadaan riskin suuruus. Jos arviot ovat numeerisia, tavallisimmin ne kerrotaan keskenään.

Keskeinen haaste on tehdä järjestelmään liittyvistä oletuksista selkeitä ja löytää tasapaino subjektiivisten käsitysten ja objektiivisten todisteiden välillä. Seuraavassa alaluvussa on esimerkki.

Riskienhallinta (risk management)

Tarkoittaa seurauksiltaan merkittävien kielteisten tapahtumien järjestelmällistä määrittämistä ja niihin varautumista.

Riskien arviointia voidaan tarkastella erillisenä vaiheena ennen riskienhallintaa, joka siinä tapauksessa rajoittuisi kehittämään, punnitsemaan ja valitsemaan vaihtoehtoja riskien käsittelemiseksi. Yleensä, ja tässä materiaalissa riskienhallinta sisältää riskien arvioinnin, sillä näitä toimintoja tehdään myös samanaikaisesti. Lisäksi, jos jonkin riskin käsittelynä jonain aikana onkin vain sietäminen, hyväksyntä tai hylkääminen (eli jokin ajattelumalli, jossa ei tehdä mitään), niin toisena aikana arviointi voi johtaa aktiiviseen käsittelyyn, esim. jonkin torjuntamenetelmän valitsemiseen kun on saatu rahoitusta siihen.

Käsitteistöä mutkistaa se, että usein puhutaan riskianalyysista, johon sisältyy riskien löytäminen, riskiarviointi ja riskienkäsittelykeinojen tarkastelu. Riskienhallinta siis koostuu riskianalyysista ja keinojen valinnasta.

Yläkäsitteenä kaikille on riskienhallintajärjestelmä (risk governance). Se voidaan määritellä käynnissä oleviksi prosesseiksi ja periaatteiksi, joilla edistetään tietoisuutta, vastuuntuntoa ja vastuuvelvollisuutta suhteessa tiettyyn tilanteeseen liittyvistä riskeistä. Riskienhallintajärjestelmä kiinnittää huomiota yhteiseen päätöksentekoon ja ottaa huomioon myös oikeudelliset, sosiaaliset, organisatoriset ja taloudelliset olosuhteet.

Arkipäiväistä riskienhallintaa

Teemu Teekkari on yliopiston tietokoneluokassa suorittamassa kurssitehtäviä läppärillään. Kesken tehtävien hänet kuitenkin yllättää valtava kahvinhimo, ja nyt Teemu joutuu tekemään päätöksen sen suhteen, mitä tehdä läppärille kahvinhakureissun ajaksi. Hän arvioi suurimmaksi riskiksi sen, että hänen läppärinsä kähvellettäisiin. Teemu kuitenkin muistaa, että tietokoneluokkiin tarvitsee kulkukortin, joten ulkopuolisia ei huoneessa pitäisi olla, ja lisäksi hänellä on suuri luotto kanssaopiskelijoihin. Näin hän arvioi riskin todennäköisyyden pieneksi. Teemu siis päättää olla ryhtymättä muihin riskienhallintakeinoihin, kuin hyväksyä riskin, ja jättää läppärinsä niille sijoilleen näiksi muutamiksi minuuteiksi.

Teemu kuitenkin äkkää myös toisen riskin: houkutus luntata saattaa jollekin olla liian suuri. Vaikka hän arvioi tämänkin riskin toteutumisen todennäköisyyden pieneksi, ei riskienhallintatoimenpide sen mitätöimiseksi aiheuta Teemulle kovinkaan suurta vaivaa. Niinpä estääkseen vastauksiensa kopioinnin hän lukitsee näyttönsä kahvinhakureissun ajaksi.

Teemu uskalsi toimia näin tietokoneluokassa, mutta ehkäpä julkisessa kahvilassa tilanne olisi toinen, mikäli hän joutuisi jättämään kalliin läppärinsä vahtimatta vaikkapa vessassa käynnin ajaksi. Mitä itse tekisit?

Vastaa kysymyksiin.

Kysymys 1

Valitse oikea väite.

Riskin käsitteellä on täsmällinen määritelmä.

Suojattavan asian tai kohteen täytyy olla jotakin aineellista ja käsin kosketeltavaa.

Pienen todennäköisyyden tapahtumilla ei ole merkittäviä vaikutuksia.

Riski voi olla myös ihmisestä riippumaton tapahtuma.

Kysymys 2

Riittääkö seuraavan esimerkin kuvaamiseen riskien arvioinnin käsite? “Hipster Inc. päättää investoida verkkoliikenteen seurantajärjestelmään.”

Kyllä

Ei, tarvitaan riskienhallinnan käsite.

Kysymys 3

Riittääkö seuraavan esimerkin kuvaamiseen riskien arvioinnin käsite? “Hipster Inc. suunnittelee, että sosiaalisen hakkeroinnin riskiä vähennetään joko kouluttamalla henkilökuntaa tai muistuttamalla hyökkäyksen mahdollisuudesta julisteilla ja sähköposteilla. Yritys arvioi ensimmäisen vaihtoehdon tehokkaammaksi, mutta kalliimmaksi. Toisella vaihtoehdolla arvioidaan olevan mahdollisia huonoja vaikutuksia sähköpostien määrän lisääntymisen vuoksi.”

Kyllä

Ei, tarvitaan riskienhallinnan käsite.

Kysymys 4

Riittääkö seuraavan esimerkin kuvaamiseen riskien arvioinnin käsite? “Hipster Inc. arvioi, että sen uuden lohkoketjusovelluksen toteutustekniikkaan kohdistuu kohtalainen vakoilun uhka.”

Kyllä

Ei, tarvitaan riskienhallinnan käsite.

Kysymys 5

Mikä on riskienhallintajärjestelmä?

Järjestelmä, joka arvioi riskien suuruudet automaattisesti.

Kaikki yrityksen riskienhallintaan liittyvät prosessit, käytännöt ja periaatteet muodostavat yrityksen riskienhallintajärjestelmän.

Järjestelmä, joka on suunniteltu vähentämään riskejä.

Se kattaa kaikki yrityksen järjestelmät, joiden riskejä hallitaan.

Palautusta lähetetään...