”Tietoturvan johtamisen tulee olla riskil\u00e4ht\u00f6ist\u00e4.” ”Tietosuojaa tulee tarkastella riskil\u00e4ht\u00f6isesti.” ”Sis\u00e4isen tarkastuksen tulisi kohdistaa resurssejaan riskil\u00e4ht\u00f6isesti.” T\u00e4ss\u00e4 muutama omalle kohdallemme osunut konkreettinen esimerkki siit\u00e4, miten riskil\u00e4ht\u00f6isyys tuntuu hiipineen osaksi kaikkea tekemist\u00e4. Teema toistuu niin standardeissa, hyviss\u00e4 k\u00e4yt\u00e4nn\u00f6iss\u00e4 kuin lains\u00e4\u00e4d\u00e4nn\u00f6ss\u00e4kin.<\/p>\n
Se, mit\u00e4 kukaan ei tunnu kertovan, on mit\u00e4 riskil\u00e4ht\u00f6isyys oikeastaan tarkoittaa ja edellytt\u00e4\u00e4? Millaista toiminnan tulisi olla, jotta pystytt\u00e4isiin osoittamaan riskil\u00e4ht\u00f6inen toimintatapa? Riitt\u00e4\u00e4k\u00f6, ett\u00e4 riskit on tunnistettu ja dokumentoitu? Ett\u00e4 ne voidaan tarvittaessa n\u00e4ytt\u00e4\u00e4 auditoijalle? Tai ett\u00e4 joku tunnistetuista riskeist\u00e4 on aidosti johtanut johonkin p\u00e4\u00e4t\u00f6kseen toiminnan suhteen?<\/p>\n
Meill\u00e4h\u00e4n mielipiteit\u00e4 riitt\u00e4\u00e4 ja siksi esit\u00e4mmekin t\u00e4ss\u00e4 aatoksiamme siit\u00e4, miten riskil\u00f6ht\u00f6isyys tiivistyy mielest\u00e4mme kolmeen teemaan, joiden tulisi n\u00e4ky\u00e4 organisaation tavassa toimia. T\u00e4m\u00e4 j\u00e4sent\u00e4misen malli on syntynyt tietoturvan johtamiseen liittyvien pohdiskeluiden kautta mutta soveltunee muihinkin yhteyksiin \u2013 tai jos olette eri mielt\u00e4, laittakaa se n\u00e4kyviin tekstin kommentteihin!<\/p>\n
Itsest\u00e4\u00e4nselvyys \u2013 vai onko? K\u00e4yt\u00e4nn\u00f6ss\u00e4 pelkk\u00e4 riskilista ei nimitt\u00e4in riit\u00e4, vaan kaiken perusta on ymm\u00e4rt\u00e4\u00e4, mik\u00e4 on liiketoiminnalle tai turvallisuustavoitteelle kriittisint\u00e4. T\u00e4m\u00e4 vaatii eri tahojen yhteisty\u00f6t\u00e4 ja vuoropuhelua.<\/p>\n
Riskien johdonmukainen dokumentointi on t\u00e4rke\u00e4\u00e4 viestinn\u00e4n ja riskienhallinnan tason arvioinnin toistettavuuden kannalta. Dokumentaatio ei kuitenkaan ole itseisarvo. Riskien k\u00e4sittelyss\u00e4 merkitt\u00e4v\u00e4 osa ty\u00f6n hy\u00f6dyist\u00e4 muodostuu sen yhteydess\u00e4 k\u00e4ydyist\u00e4 keskusteluista, etenkin, kun niit\u00e4 k\u00e4yd\u00e4\u00e4n organisaatiorajat ylitt\u00e4v\u00e4ll\u00e4 tiimill\u00e4. Tekniikan, liiketoiminnan ja compliancen n\u00e4kemysten yhdist\u00e4minen auttaa ymm\u00e4rt\u00e4m\u00e4\u00e4n riskej\u00e4 suhteessa yrityksen liiketoimintaan.<\/p>\n
Etenkin tietoturvan kehitt\u00e4minen riskil\u00e4ht\u00f6isesti on jatkuvaa investoinneilla tasapainoilua. Ymm\u00e4rrys siit\u00e4, mit\u00e4 kontrolleja ja prosesseja on k\u00e4yt\u00f6ss\u00e4 ja mihin riskeihin ne vaikuttavat, luo pohjan uusien ratkaisuiden priorisoinnille ja vaikuttavuuden arvioinnille. Ilman t\u00e4t\u00e4 tietoa ei voida my\u00f6sk\u00e4\u00e4n arvioida riskin todellista merkitt\u00e4vyytt\u00e4.<\/p>\n
Tekem\u00e4tt\u00f6mill\u00e4 p\u00e4\u00e4t\u00f6ksill\u00e4 on usein turvallisuutta heikent\u00e4v\u00e4 vaikutus. Ne voivat kohdistua jo olemassa oleviin turvallisuuskontrolleihin, kuten ohjelmistojen p\u00e4ivitt\u00e4miseen tai riskinkantokyvyn n\u00e4k\u00f6kulmasta tarpeellisten, uusien investointien lykk\u00e4\u00e4miseen. N\u00e4iden ymm\u00e4rt\u00e4minen t\u00e4ydent\u00e4\u00e4 realistista kuvaa omasta riskitasosta.<\/p>\n
Riskienhallinta ty\u00f6ss\u00e4, kuten kaikessa mit\u00e4 ihmiset tekev\u00e4t yhdess\u00e4, muodostuu vakiintuneita k\u00e4sityksi\u00e4, omia totuuksia. Vuodesta toiseen tiettyjen riskien katselmointi on saman tiimin vastuulla. Vaikka alan kehityst\u00e4 seurattaisiin aktiivisesti, j\u00e4\u00e4 olemassa olevien totuuksien kyseenalaistaminen usein v\u00e4hiin.<\/p>\n
Tunnistetun riskin hallitsemiseksi on kehitetty prosessi, ja ongelmia ei ole ilmennyt. Tarkoittaako t\u00e4m\u00e4 sit\u00e4, ett\u00e4 toimenpide on riitt\u00e4v\u00e4, vai onko tiimill\u00e4 ollut vain hyv\u00e4 tuuri? Usein n\u00e4iss\u00e4 kallistutaan ajattelemaan ensin mainittua, mik\u00e4 etenkin tietoturvan maailmassa on hyvin vaarallinen oletus. T\u00e4st\u00e4 johtuen oman k\u00e4sityksen haastaminen on keskeinen osa riskil\u00e4ht\u00f6ist\u00e4 toimintatapaa.<\/p>\n
\nOman k\u00e4sityksen haastaminen on keskeinen osa riskil\u00e4ht\u00f6ist\u00e4 toimintatapaa<\/span><\/p>\n<\/blockquote>\n
Haastamisen voi tehd\u00e4 monella tapaa. Eniten julkisuutta saavat metodit lienev\u00e4t t\u00e4ll\u00e4 hetkell\u00e4 \u2019red teaming\u2019-harjoitukset kyberturvallisuuden puolella. Toisaalta oman tiimin riskik\u00e4sityst\u00e4 voi haastaa niinkin yksikertaisesti, kuin kutsumalla naapuritiimist\u00e4 ulkopuolinen asiantuntija mukaan. H\u00e4nen ei tarvitse olla edes juuri arvioitavan aiheen asiantuntija, sill\u00e4 monesti tiet\u00e4m\u00e4tt\u00f6myydest\u00e4 kumpuavat selvent\u00e4v\u00e4t kysymykset haastavat meit\u00e4 ”asiantuntijoita” eniten.<\/p>\n
Laajemmassa mittakaavassa perinteiset kypsyystason mittaamiseen tarkoitetut ty\u00f6kalut voivat my\u00f6s antaa kuvaa omien prosessien riitt\u00e4vyydest\u00e4. Eri n\u00e4k\u00f6kulmia on lukemattomia, eik\u00e4 arviointi todenn\u00e4k\u00f6isesti kaadu ainakaan viitekehysten puutteeseen.<\/p>\n","protected":false},"excerpt":{"rendered":"
”Tietoturvan johtamisen tulee olla riskil\u00e4ht\u00f6ist\u00e4.” ”Tietosuojaa tulee tarkastella riskil\u00e4ht\u00f6isesti.” ”Sis\u00e4isen tarkastuksen tulisi kohdistaa resurssejaan riskil\u00e4ht\u00f6isesti.” T\u00e4ss\u00e4 muutama omalle kohdallemme osunut konkreettinen esimerkki siit\u00e4, miten riskil\u00e4ht\u00f6isyys tuntuu hiipineen osaksi kaikkea tekemist\u00e4. Teema toistuu niin standardeissa, hyviss\u00e4 k\u00e4yt\u00e4nn\u00f6iss\u00e4 kuin lains\u00e4\u00e4d\u00e4nn\u00f6ss\u00e4kin. Se, mit\u00e4 kukaan ei tunnu kertovan, on mit\u00e4 riskil\u00e4ht\u00f6isyys oikeastaan tarkoittaa ja edellytt\u00e4\u00e4? Millaista toiminnan tulisi olla,… <\/p>\n