Ensimm\u00e4inen ja yksinkertaisin ty\u00f6kalu on Bow-Tie. Metodi lienee kehitetty alun perin \u00f6ljyteollisuuden tarpeisiin konkreettisten vahinkoriskien kuvaamiseen mutta ty\u00f6ss\u00e4mme olemme soveltaneet sit\u00e4 vapaasti j\u00e4sent\u00e4m\u00e4\u00e4n niin turvallisuus-, projekti- kuin strategisiakin riskej\u00e4. Menetelm\u00e4ss\u00e4 kuvataan riski selke\u00e4sti nelj\u00e4n elementin<\/p>\n
– aiheuttaja<\/p>\n
– tapahtuma<\/p>\n
– seuraukset<\/p>\n
– kontrollit<\/p>\n
kautta kuvana, joka muistuttaa rusettia (bowtie). Kuvaamiseen on muuten olemassa oma tietoj\u00e4rjestelm\u00e4ns\u00e4kin, mutta itse tykk\u00e4\u00e4mme k\u00e4ytt\u00e4\u00e4 post-it lappuja ja fl\u00e4ppitaulua.<\/p>\n Ty\u00f6paja kannattaa aloittaa vapaalla keskustelulla, jossa on tarkoituksena tunnistaa ja heitell\u00e4 ilmaan ajatuksia etuk\u00e4teen k\u00e4sitelt\u00e4v\u00e4ksi p\u00e4\u00e4tettyyn aihealueeseen liittyen. Ajatukset kirjataan lapuille ja k\u00e4yd\u00e4\u00e4n keskustelu siit\u00e4, miten ne suhteutuvat k\u00e4sitelt\u00e4v\u00e4n\u00e4 olevaan aihealueeseen. Usein on k\u00e4ynyt niin, ett\u00e4 ryhm\u00e4n yksi j\u00e4sen on mielt\u00e4nyt riskiksi asian, joka onkin toisen tunnistaman riskitapahtuman aiheuttaja ja n\u00e4ist\u00e4 taas seuraa kolmannen tunnistama vaikutus liiketoiminnalle. Ilman analyysia kaikki n\u00e4m\u00e4 kolme tekij\u00e4\u00e4 todenn\u00e4k\u00f6isesti p\u00e4\u00e4tyisiv\u00e4t riskirekisteriin yksitt\u00e4isin\u00e4 riskein\u00e4, joille olisi hyvin vaikea tehd\u00e4 jatkoanalyysia. Bow-tie harjoituksen seurauksena ne pystyt\u00e4\u00e4n kuitenkin kirjaamaan loogisena riskitarinana.<\/p>\n Toinen hieman pidemm\u00e4lle viety riskinmallintamistapa, jota sovelletaan tietoturvariskienhallinnan maailmassa, kuvaa riskin tarinana. \u00a0Menetelm\u00e4n on toinen meist\u00e4 omaksunut tietoturvakonsulttina ty\u00f6skentelev\u00e4lt\u00e4 mahtavalta kollegaltaan. Tarina aloitetaan yksil\u00f6im\u00e4ll\u00e4 suojattavat kohteet, joihin kohdistuvia riskej\u00e4 halutaan tunnistaa, esimerkiksi yrityksen maine, tulevan vuosinelj\u00e4nneksen tulos tai t\u00e4rke\u00e4 tietovaranto. Sitten siirryt\u00e4\u00e4n kartoittamaan uhkatekij\u00e4t, eli kerrotaan kuka tai mik\u00e4 voi uhata kohdetta. T\u00e4m\u00e4n j\u00e4lkeen tunnistetaan toiminnan haavoittuvuuksia ja maalataan sanallisesti (tai miksei kuvallisestikin) niiden hy\u00f6dynt\u00e4misest\u00e4 seuraavat uhkaskenaariot. Skenaariot voivat oikeissa olosuhteissa konkretisoituvat tapahtumiksi, joiden seurauksena jokin suojattavista kohteista vahingoittuu.<\/p>\n Tarinallistaminen on oikeastaan tyyppiesimerkki siit\u00e4, miten strategista riskienhallintaa toteutetaan k\u00e4yt\u00e4nn\u00f6n riskien tunnistamisty\u00f6ss\u00e4: tietoturvariskien tarina alkaa suojattavista kohteista, jotka voidaan helposti m\u00e4\u00e4ritt\u00e4\u00e4 my\u00f6s organisaation strategisiksi tavoitteiksi \u2013 ja tunnistaa asioita, jotka voivat uhata n\u00e4iden tavoitteiden saavuttamista. Jos organisaation tavoitteet on m\u00e4\u00e4ritelty tarpeeksi visuaalisesti ja ytimekk\u00e4\u00e4sti, voidaan riskity\u00f6pajassa k\u00e4ytt\u00e4\u00e4 pohjamateriaalina suoraan strategiaty\u00f6n materiaaleja. Jos tavoitteet on viel\u00e4 kuvattu samaan tapaan sek\u00e4 strategisella, taktisella ja jopa operatiivisella tasolla (t\u00e4ll\u00f6in puhutaan monesti jo toimintasuunnitelmasta tai vastaavasta materiaalista), materiaali toimii l\u00e4ht\u00f6kohtana riskienhallintakolmion jokaisella tasolla j\u00e4rjestett\u00e4viss\u00e4 ty\u00f6pajoissa.<\/p>\n Kolmas menetelm\u00e4 on 5XMIKSI. Ideana on ty\u00f6skennell\u00e4 pareittain tai pieness\u00e4 ryhm\u00e4ss\u00e4 niin, ett\u00e4 liikkeelle l\u00e4hdet\u00e4\u00e4n tunnistetusta riskist\u00e4. Ryhm\u00e4n j\u00e4senet esitt\u00e4v\u00e4t v\u00e4hint\u00e4\u00e4n viisi kertaa kysymyksen MIKSI ja kirjaavat vastauksen yl\u00f6s. Esimerkiksi: tavoite on toiminnan tehostaminen. \u00a0Alatavoite on tiedon jakamiseen ja viestint\u00e4\u00e4n k\u00e4ytetyn ajank\u00e4yt\u00f6n tehostaminen, ja yksi keino tavoitteen saavuttamiseksi on nykyaikaisen kollaboraatioty\u00f6kalun k\u00e4ytt\u00f6\u00f6notto koko organisaatiossa. Riskiksi on m\u00e4\u00e4ritelty se, etteiv\u00e4t kaikki ota j\u00e4rjestelm\u00e4\u00e4 omakseen, vaan jatkavat tiedon tallentamista omissa tiedostoissan ja jakamista s\u00e4hk\u00f6posteissa jne.<\/p>\n \u2192 ja t\u00e4t\u00e4 jatketaan v\u00e4hint\u00e4\u00e4n viisi kertaa.<\/span><\/p>\n Menetelm\u00e4 itsess\u00e4\u00e4n on hyvin yksinkertainen ja kokemuksemme mukaan my\u00f6s saattaa aiheuttaa aluksi hieman hilpeytt\u00e4 ty\u00f6pajan osallistujissa. Mutta sitke\u00e4sti l\u00e4pi vietyn\u00e4 se palkitsee, sill\u00e4 j\u00e4ljelle ei j\u00e4\u00e4 v\u00e4hemp\u00e4\u00e4 kuin riskin todellinen aiheuttaja (usein aiheuttajat). Ja vain aiheuttajiin on mahdollista kohdistaa tehokkaat, ennakoivat riskienhallintatoimenpiteet.<\/p>\n Yll\u00e4 esitetyt ty\u00f6tavat ohjaavat keskustelemaan siit\u00e4, mist\u00e4 kaikista elementeist\u00e4 riski oikeasti muodostuu, mitk\u00e4 ovat aiheuttajat ja mitk\u00e4 seuraukset. Samalla riskikuvasta muodostuu yhten\u00e4inen ja saman tasoinen k\u00e4sitys kaikille osallistujille. Juuri t\u00e4m\u00e4 on monesti ty\u00f6pajojen aikaa vievin, mutta toisaalta antoisin vaihe. Kuvien piirt\u00e4minen ja kysymysten ja vastausten yl\u00f6s kirjaaminen auttaa my\u00f6s konkretisoimaan hallintatoimenpiteiden suunnittelua ja keskustelua siit\u00e4, mihin hallintatoimenpiteet kohdistetaan.\u00a0<\/span><\/p>\n T\u00e4ss\u00e4 kirjoituksessa p\u00e4\u00e4stiin nyt vasta puoleen v\u00e4liin riskianalyysia, sill\u00e4 riskin kvantifiointiin liittyv\u00e4 keskustelu ei luontevasti tule osana n\u00e4iden ty\u00f6menetelmien keskustelua. Palataan t\u00e4h\u00e4n jossain my\u00f6hemm\u00e4ss\u00e4 kirjoituksessa, tai useammassakin\u2026<\/p>\n Ps. jos olet riskity\u00f6pajojen osalta kiinnostunut erityisesti tietoturvan\u00e4k\u00f6kulmasta, niin suosittelemme tutustumaan CORAS-menetelm\u00e4\u00e4n tai Intelin TARA-metodiin<\/p>\n <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Riskity\u00f6paja \u2013 ehk\u00e4 suosikkijuttumme riskienhallintaty\u00f6ss\u00e4. T\u00e4ss\u00e4 kirjoituksessa esittelemme kolme ty\u00f6kalua riskien tunnistamiseksi ja j\u00e4sent\u00e4miseksi ty\u00f6pajoissa. Suosittelemme l\u00e4mpim\u00e4sti kokeilemaan monenlaisia ryhm\u00e4ty\u00f6menetelmi\u00e4 (jopa niit\u00e4, joita ei alun perin ole tarkoitettu riskienhallintaty\u00f6n tueksi \u2013 vaihtelu ja hienoinen leikillisyyskin virkist\u00e4v\u00e4t aina), ryhm\u00e4n koon ja tavoitteen mukaan soveltaen ja muokaten. T\u00e4ss\u00e4 l\u00e4pik\u00e4yt\u00e4vill\u00e4 menetelmill\u00e4 olemme saaneet hyvi\u00e4 tuloksia aikaan etenkin silloin,… <\/p>\n![\"\"](\"https:\/\/riskiblogi.fi\/wp-content\/uploads\/2017\/09\/BowTie-300x118.png\")
Tarinallistaminen:<\/strong><\/span><\/h3>\n
![\"\"](\"https:\/\/riskiblogi.fi\/wp-content\/uploads\/2017\/09\/Example_-Risk-modelling-muokattu-Graph-1-1024x478.png\")
5XMIKSI:<\/strong><\/span><\/h3>\n
![\"\"](\"https:\/\/riskiblogi.fi\/wp-content\/uploads\/2017\/09\/5XMIKSI_Helvetica-300x200.png\")
\n