Tulostusversio

4/2011

Tietoturva: Näin arvioit tietoturvariskit

Teksti: Lassi Väisänen

Tietoturvapolitiikan perustana on riskien johdonmukainen analysointi.

Tietoturvariskien arviointi on osa kokonaisvaltaista riskienhallinnan ja arvioinnin prosessia. Riskienhallinnan tulisi olla johdonmukaista siten, että se perustuu organisaation virallisiin tai epävirallisiin periaatteisiin. Se on kuin hyvän keiton maustamista: siinä tulee olla tarvittavat ainekset – oikeassa suhteessa.

Kenelle tietoturva kuuluu?

Tietoturvariskien hallinnassa - kuten riskienhallinnassa yleensäkin - lähestymistavan on oltava kokonaisvaltainen. Oleellinen kysymys on, kehitetäänkö tietyn osa-alueen, kuten IT:n, riskienhallintaa, vai ulotetaanko tietoturvariskien arviointi organisaation kaikille osa-alueille.

Aina tarvitaan organisaation johdon sekä muiden sisäisten toimijoiden välinen yhteinen näkemys siitä, mitä tietoturvalla tarkoitetaan ja mitä se kattaa.

Organisaatioista vielä suuri joukko kokee tietoturvariskien hallinnan erilliseksi pakkopullaksi, joka vastuutetaan kokonaisuudessaan yhdelle yksikölle tai työntekijälle.

Joissakin yrityksissä se käsitetään sentään hieman laajemmin, mutta sitä ei varsinaisesti johda kukaan.

Ihannetapauksessa tietoturvariskien hallinta nivotaan osaksi koko organisaation toimintaa. Näin se osaltaan parantaa liiketoiminnan kannattavuutta ja jatkuvuutta pitkällä aikavälillä.

Tavoitteet selviksi

Riskienarvioinnin tulee aina perustua organisaation asettamiin tavoitteisiin. Tavoitteiden ja määritysten avulla voidaan arvioida sitä, miten riskit toteutuessaan tulevat vaikuttamaan organisaation toimintaan mahdollisine taloudellisine, toiminnallisine tai muine seurauksineen.

Ydinkysymyksenä on, mitkä ovat organisaation olemassaolon tarkoitukseen ja toiminnan jatkuvuuteen liittyvät tavoitteet ja miten ne muuttuvat, kun toiminnan painopiste muuttuu.

Organisaatio on sitoutunut erilaisiin lakeihin, normeihin ja sisäisiin ohjeisiin ja politiikkoihin. Nekään eivät ole pysyviä eivätkä välttämättä täydellisesti sidoksissa toiminnan muutoksiin.

Eri tietotyypeissä erilaiset riskit

Organisaatioissa syntyy erilaista tietoa, jonka suojaamisesta pitää huolehtia. Organisaation sisällä on päätettävä, millaisten tietojen tietoturvariskejä ryhdytään arvioimaan.

Tieto voidaan jakaa esimerkiksi kolmeen osa-alueeseen; prosessoinnissa syntyvään tietoon, hiljaiseen tietoon ja muuhun tietoon.

Erilaiset seurannan ja suunnittelun sovellukset tuottavat sähköisessä muodossa paljon sellaista arkaluonteista tietoa, joka on myös ulkopuolisten ymmärrettävässä muodossa. Tämä asettaa tietoturvalle ja siihen liittyvien riskien tunnustamiselle ja hallinnalle omat vaatimuksensa. Toisaalta tietoturvatoimintaa on kehitetty paljolti juuri tämäntyyppisen tiedon suojaamiseksi.

Hiljainen tieto on organisaation ja yksilöiden osaamista. Sen hallinta ja valvonta on tietoturvamielessä vaikeaa.

Tiedon muulla muodolla tarkoitetaan kaikkea sitä tietoa, jota käsitellään esimerkiksi keskusteluissa ja raporteissa.

Tietoturvariskien arvioinnissa on huomioitava se, miten tietojärjestelmien hallinnointi, toiminnallisuus tai laatu voivat aiheuttaa tietoturvariskejä ja edelleen miten ne voivat vaikuttaa muun muassa organisaation liiketoiminnallisiin tavoitteisiin.

Riskeille painopistealueet

Tarvittaessa tietoturvariskeille voi määritellä pääpainopistealueet. Apuna voi käyttää vaikkapa kaaviota, josta käyvät ilmi organisaation tietojärjestelmien keskinäiset suhteet sekä rajapinnat ulkoisiin tietojärjestelmiin.

Tietojärjestelmät voidaan asettaa tärkeysjärjestykseen esimerkiksi niiden fyysisen sijainnin tai sisällön mukaan tai sen perusteella, mikä merkitys niillä on tietoturvariskien tai toiminnan kannalta. Viimeksi mainitulla tarkoitetaan esimerkiksi tilannetta, jossa tietojärjestelmä ei ole jostakin syystä käytettävissä.

Riskikeskittymiä voi tarkastella myös käyttäjänhallinnan kannalta: Otetaanko riskienarvioinnissa huomioon kaikki organisaation järjestelmät kulunvalvonnasta tuotannollisiin järjestelmiin sekä hallinnon sovelluksista intra- ja ekstranetiin tai asiakkaiden järjestelmiin?

Avuksi viitekehys

Riskienarviointi on tehokkaampaa, kun riskejä analysoidaan systemaattisesti erilaisten viitekehysten näkökulmasta. Useat ohjeet ja standardit kehottavat lähestymään riskejä tavoitteiden kautta. Tänä vuonna suomennettu standardi SFS-ISO 31000 Riskienhallinta – periaatteet ja ohjeet esimerkiksi opastaa riskien arvioinnissa ja raportoinnissa.

Kansainvälinen standardisoimisjärjestö ISO valmistelee myös riskienhallinnan soveltamisopasta.

Riskienarvioinnin menetelmiä on monia eri tarpeisiin ja tilanteisiin. Menetelmiä ja kriteerejä voi tarkastella esimerkiksi säätelyn, tiedonkäsittelyn ja toimijoiden kannalta. Säätely sisältää organisaation toimintaa koskevat lait, ohjeet ja politiikat. Tiedonkäsittely kattaa kaikki kolme tiedon lajia. Toimijoita ovat organisaatio itse sekä sen yhteistyökumppanit ja asiakkaat. Tietoturvariskit voidaan määritellä näistä näkökulmista ja näin konkretisoida niitä eri tahojen kannalta.

Kuka arvioi ja kuinka usein?

Riskienhallintaa pitäisi johtaa prosessina, joka kuuluu organisaatiossa usean eri toimijan vastuulle. Näin riskienarvoinnissa huomioidaan eri toimijoiden näkökulmat.

Riskienarvioinnin työkalut ja menetelmät tulisi tarjota keskitetysti, mutta ne suunnitellaan ja niistä sovitaan osa-aluekohtaisesti yhdessä.

Sovittujen pelisääntöjen mukaisesti tehdyistä arvioista voidaan koostaa riskinäkymiä. Näin esimerkiksi tietoturvariskejä pystytään arvioimaan ja arvottamaan sekä ohjeiden toteuttamisen että poikkeamien vaikutusten näkökulmista.

Riskejä tulisi arvioida säännöllisesti, mutta tarkasteluajankohdat voivat vaihdella toimintokohtaisesti.

---

[KIRJOITTAJA]

Lassi Väisänen on riskienhallinnan konsultti ja Suomen Riskienhallintayhdistyksen toiminnanjohtaja.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.