Kyberturvallisuuslain vaatimuksista yksi olennaisimpia on riskienhallinta. Laki vaatii aktiivista ja ajantasaista riskienhallintaa. Blogisarjamme toisessa osassa kerromme, kuinka riskit otetaan huomioon ja millaisia hallintatoimenpiteitä lain vaatimuksen täyttämiseksi kannattaa tehdä.
Mitä riskeille tulee tehdä tunnistamisen jälkeen?
Kun riskit on tunnistettu kyberturvallisuuslain vaatimalla tavalla, on aika rakentaa varsinainen hallintaprosessi sellaisille riskeille, joita ei voida kokonaan poistaa liiketoiminnasta.
1. Suunnittele toimenpiteet riskien hallitsemiseksi, jos riskejä ei voi hyväksyä
Jos riski on johdon hyväksymää riskin hyväksymiskynnystä suurempi, riskille täytyy tehdä jotain. Joitain riskejä voi siirtää esimerkiksi ulkoistamalla, mutta vastuu pysyy aina omalla organisaatiolla. Useimmiten kuitenkin täytyy toteuttaa erilaisia toimenpiteitä, joilla riskiä voidaan pienentää. Keinot voivat olla teknisiä, kuten tiedon salausta tai haitallisen liikenteen tunnistusta, tai prosesseja, kuten käyttöoikeuksien hallittua myöntämistä tai koodikatselmointia. Myös koulutus ja harjoittelu voi pienentää riskejä.
Kyberturvallisuuslain 9 §:ssä on lueteltu useita tyypillisiä hallintatoimenpiteitä, kuten pääsynhallintaa, kyberturvallisuuskoulutusta tai varmuuskopiointia, jotka olisi ainakin syytä toteuttaa. Riskien torjuminen täysin voi olla mahdotonta, mutta osa riskienhallintakeinoista voi tähdätä myös poikkeaman aikaiseen tunnistamiseen tai ainakin tehokkaaseen korjaamiseen.
2. Vastuuta riskienhallintatoimenpiteet
Toimenpiteiden toteuttamiselle on syytä nimetä vastuuhenkilö ja määrittää toteutusaikataulu riskin vakavuuden mukaan. Vastuuhenkilö voi olla riskien omistaja, mutta jos hallintatoimenpiteitä toteutetaan useita, toteutusvastuuta kannattaa jakaa. Esimerkiksi, jos todetaan että riskiä voi pienentää sekä järjestämällä tietoturvatietoisuuskoulutusta että parantamalla lokivalvontaa, koulutuksen järjestämisen vastuu voidaan antaa henkilöstöhallinnolle ja lokivalvonnan kehittäminen järjestelmävastaavalle.
3. Seuraa, että riskienhallintatoimenpiteet ovat vaikuttavia
Seuraa ja mittaa säännöllisesti, oliko riskienhallintatoimenpiteistä hyötyä. Onko riski realisoitunut tai onko tapahtunut poikkeamia? Esimerkiksi, jos tietojenkalastelua tapahtuu usein edelleen, sähköpostin suodatuksessa ja tietoturvatietoisuuskoulutuksessa voi olla kehitettävää. Toisaalta, jos toimenpiteet ovat kattavia, voidaan arvioida ja dokumentoida jäännösriski ja hyväksyttää se johdolla.
Todennäköisiä ja vakavia riskejä kannattaa seurata useammin, etenkin jos niiden pienentämiseksi on tehty tuoreeltaan toimenpiteitä.
4. Tunnista ja arvioi riskejä säännöllisesti
Vaikka riskejä olisi saatu pienennettyä, uusia tulee varmasti kyberrikollisten hiottua tekniikoitaan tai kun otetaan käyttöön uusia tietojärjestelmiä. Siksi riskejä pitää tunnistaa ja arvioida uudestaan säännöllisesti, vähintään kerran vuodessa tai mieluiten useamminkin. Voit vaikka laittaa kutsun seuraavaan riskityöpajaan edellisen päätteeksi. Myös merkittävien poikkeamien yhteydessä, tai kun tietojärjestelmiä, palveluita tai organisaatiorakennetta muutetaan, on syytä tarkistaa myös riskiarvion paikkansapitävyys.
5. Järjestä riskien ilmoituskanava henkilöstölle
Uusia kyberriskejä voidaan tunnistaa muulloinkin kuin kalanteroiduissa riskienarviointitilaisuudessa. Esimerkiksi kalasteluviestin kilahtaminen sähköpostiin tai muu läheltä piti -tilanne saattaa tuoda mieleen uusia uhkakuvia. Järjestä koko henkilöstölle avoin ilmoituskanava, esimerkiksi lomake tai sähköpostisoite, jonne on helppo ilmoittaa havaitusta kyberturvallisuusriskistä tai poikkeamaepäilystä. Tiedota ilmoituskanavan olemassaolosta kaikille ja laita ohjeet helposti löydettävään paikkaan.