Monessa pk-yrityksessä tietoturvariskit tunnetaan kyllä yleisellä tasolla, mutta niitä ei arvioida samalla tavalla joka kerta eikä päätöksiä kirjata näkyviin. Se johtaa helposti tilanteeseen, jossa samat kysymykset palaavat pöydälle uudelleen: mitkä ovat oikeasti suurimmat riskit, mitä niille pitää tehdä ensin ja kuka vastaa etenemisestä?
Tässä artikkelissa käymme läpi, miten ISO 27001 riskien arviointi ja riskien hallinta tehdään käytännössä askel askeleelta. Saat selkeän etenemismallin, esimerkin riskipisteytyksestä, suositellut vastuut sekä konkreettiset aikarajat, joilla saat riskienhallinnan osaksi arkea eikä vain auditointia varten.
Edellytykset
- Nimetty vastuuhenkilö riskienhallinnalle, esimerkiksi IT-päällikkö, tietoturvavastaava tai laatuvastaava
- Päätös soveltamisalasta, eli mitä liiketoiminnan osia, järjestelmiä ja tietoja arviointi koskee
- Lista keskeisistä omaisuuksista: järjestelmät, tiedot, laitteet, toimittajat ja kriittiset prosessit
- Yhteinen pisteytysmalli todennäköisyydelle ja vaikutukselle, esimerkiksi asteikolla 1–5
- Vähintään 2–3 tunnin työpaja avainhenkilöiden kanssa ensimmäistä arviointia varten
Mitä ISO 27001 riskien arviointi käytännössä tarkoittaa?
ISO 27001 perustuu ajatukseen, että tietoturvaa ei johdeta mutu-tuntumalla vaan järjestelmällisesti. Käytännössä tämä tarkoittaa, että yritys tunnistaa riskit, arvioi niiden vakavuuden, päättää käsittelytavan ja seuraa, toteutuivatko sovitut toimenpiteet.
Moni ajattelee, että riskien arviointi on yksi Excel kerran vuodessa. Todellisuudessa kyse on jatkuvasta mallista, jossa samat periaatteet toistuvat esimerkiksi uusien järjestelmien käyttöönotossa, henkilöstömuutoksissa ja toimittajavaihdoksissa.
Hyvä riskien arviointi vastaa vähintään näihin kysymyksiin:
- Mitä haluamme suojata?
- Mitä voi tapahtua pieleen?
- Kuinka todennäköistä se on asteikolla 1–5?
- Mikä olisi liiketoimintavaikutus asteikolla 1–5?
- Mitä kontrollia eli suojaavaa käytäntöä jo käytämme?
- Mitä tehdään seuraavaksi, kuka tekee ja mihin mennessä?
Esimerkiksi asiakastietoja käsittelevässä SaaS-yrityksessä yksi riski voi olla entisen työntekijän aktiiviseksi jäänyt käyttäjätunnus. Vaikutus voi olla 4/5 ja todennäköisyys 3/5, jolloin riskitaso on 12/25. Jos yritys päättää, että kaikki yli 10 pisteen riskit käsitellään 30 päivän sisällä, toimenpide on helppo priorisoida.
Huomio
ISO 27001 ei määrää yhtä ainoaa riskipisteytysmallia. Standardi vaatii, että käytätte johdonmukaista tapaa arvioida riskejä ja pystytte perustelemaan, miksi juuri tämä malli toimii teidän organisaatiossanne.
Riskien arviointi ei ala uhista vaan kohteista
Yleinen virhe on aloittaa listaamalla pelkkiä uhkia, kuten phishing, haittaohjelmat tai palvelunestohyökkäykset. Se on liian abstraktia. Parempi tapa on aloittaa siitä, mitä yrityksellä on ja mikä on liiketoiminnalle kriittistä.
Käytännössä kannattaa tunnistaa ensin tärkeimmät kohteet eli omaisuudet. Omaisuus voi tarkoittaa tietoa, järjestelmää, laitetta, prosessia tai jopa avainhenkilön osaamista.
Aloita esimerkiksi näistä 3–5 ryhmästä:
- Asiakas- ja henkilötiedot
- Pilvipalvelut ja liiketoimintakriittiset sovellukset
- Työasemat, mobiililaitteet ja ylläpitotunnukset
- Toimittajat ja alihankkijat
- Keskeiset liiketoimintaprosessit, kuten myynti, toimitus tai asiakastuki
Kun kohteet on tunnistettu, riskien arviointi muuttuu konkreettiseksi. Et enää arvioi epämääräistä “kyberuhkaa”, vaan esimerkiksi sitä, mitä tapahtuu, jos taloushallinnon järjestelmä ei ole käytettävissä 8 tuntiin tai jos asiakasdataa päätyy väärälle henkilölle.
Yksinkertainen pisteytysmalli riittää useimmille pk-yrityksille
Pk-yrityksen ei kannata rakentaa liian raskasta mallia. Useimmiten riittää, että arvioitte jokaiselle riskille kaksi asiaa: todennäköisyys ja vaikutus. Molemmat voidaan pisteyttää asteikolla 1–5.
Tärkeintä ei ole täydellinen matemaattinen tarkkuus vaan se, että eri ihmiset arvioivat riskit samalla logiikalla. Siksi pisteille kannattaa sopia sanalliset kuvaukset.
| Piste | Todennäköisyys | Vaikutus liiketoimintaan |
|---|---|---|
| 1 | Erittäin epätodennäköinen, alle kerran 5 vuodessa | Vähäinen häiriö, ei merkittävää asiakas- tai talousvaikutusta |
| 2 | Mahdollinen, noin kerran 2–5 vuodessa | Rajattu häiriö, korjattavissa työpäivän aikana |
| 3 | Kohtalainen, voi tapahtua vuosittain | Selvä häiriö, aiheuttaa lisätyötä tai rajattua asiakasvaikutusta |
| 4 | Todennäköinen, useita havaintoja vuodessa | Merkittävä häiriö, palvelukatko, sopimus- tai mainevaikutus |
| 5 | Erittäin todennäköinen tai jo toistuva | Vakava vaikutus, pitkä katko, tietovuoto tai huomattava taloudellinen vahinko |
Riskitaso lasketaan kertomalla pisteet keskenään. Sen jälkeen kannattaa sopia käsittelyrajat etukäteen.
| Riskitaso | Tulkinta | Toimenpide |
|---|---|---|
| 1–5 | Matala | Seuranta normaalissa vuosikatselmuksessa |
| 6–9 | Kohtalainen | Toimenpide suunnitellaan 90 päivän sisällä |
| 10–15 | Korkea | Toimenpide päätetään 30 päivän sisällä |
| 16–25 | Kriittinen | Välitön käsittely, omistaja nimetään 24 tunnin sisällä |
Vinkki
Jos riskityöpaja jumittuu pisteiden viilaamiseen, rajaa keskustelu 15 minuuttiin per riski. Tavoite on priorisoida, ei rakentaa täydellistä teoriaa.
Määritä arvioinnin rajaus ja osallistujat
Aloita päättämällä, mitä liiketoiminnan osaa arviointi koskee. Pk-yrityksessä hyvä ensimmäinen rajaus on esimerkiksi asiakasdatan käsittely, keskeiset pilvipalvelut ja ylläpitotunnukset. Kutsu työpajaan 3–6 henkilöä: liiketoiminnan omistaja, IT, HR tai talous sekä tarvittaessa tietosuojasta vastaava henkilö.
Listaa omaisuudet, uhkat ja nykyiset kontrollit
Kirjaa jokaisesta kriittisestä kohteesta vähintään yksi riski. Käytä yksinkertaista rakennetta: omaisuus, uhka, haavoittuvuus, nykyinen kontrolli. Esimerkiksi: asiakasrekisteri, luvaton käyttö, vanhentunut käyttöoikeusprosessi, nykyinen kontrolli on kaksivaiheinen tunnistautuminen mutta poistoprosessi puuttuu.
Pisteytä riskit samalla mallilla
Arvioikaa jokaiselle riskille todennäköisyys ja vaikutus asteikolla 1–5. Kirjatkaa pisteiden perustelu yhdellä lauseella, jotta arviointi on myöhemmin toistettavissa. Jos kaksi riskiä saa saman pistemäärän, priorisoikaa ensin se, jolla on suurempi vaikutus asiakkaisiin, lakisääteisiin velvoitteisiin tai palvelun jatkuvuuteen.
Päätä riskin käsittelytapa ja omistaja
Jokaiselle korkealle riskille pitää tehdä päätös: pienennetäänkö riskiä, vältetäänkö se, siirretäänkö sitä esimerkiksi sopimuksella tai vakuutuksella, vai hyväksytäänkö se perustellusti. Nimeä jokaiselle toimenpiteelle omistaja ja määräaika, kuten “HR ja IT poistavat lähtijän käyttöoikeudet 24 tunnin sisällä työsuhteen päättymisestä”.
Seuraa toteutusta ja arvioi jäännösriski
Kun toimenpide on tehty, arvioi riski uudelleen. Tätä kutsutaan jäännösriskiksi, eli riskitasoksi kontrollien jälkeen. Käy korkeat riskit läpi vähintään kuukausittain ja koko riskirekisteri vähintään 2 kertaa vuodessa tai aina merkittävän muutoksen yhteydessä.
Millaisia riskien käsittelytoimia kannattaa valita?
Riskien arviointi on hyödytön, jos se ei johda käytännön muutoksiin. Siksi jokaiselle merkittävälle riskille pitää valita toimenpide, joka on realistinen toteuttaa ja jonka vaikutusta voidaan seurata.
Hyviä riskienhallinnan toimenpiteitä ovat esimerkiksi:
- Käyttöoikeuksien poistaminen 24 tunnin sisällä työsuhteen päättymisestä
- Ylläpitotunnusten erottaminen tavallisista käyttäjätunnuksista
- Varmuuskopioiden palautustestin tekeminen 2 kertaa vuodessa
- Toimittajien tietoturvavaatimusten lisääminen sopimuksiin ennen hankintaa
- Monivaiheisen tunnistautumisen käyttöönotto kaikille etäkäytöille 30 päivän aikana
- Tietoturvapoikkeamien käsittelyprosessin harjoittelu 1 kerran vuodessa
Alla esimerkki siitä, miten yksi riski voidaan kirjata käytännössä.
| Riski | Nykyinen taso | Toimenpide | Omistaja | Takaraja | Jäännösriski tavoite |
|---|---|---|---|---|---|
| Lähteneen työntekijän tunnus jää aktiiviseksi | 12/25 | Poistoprosessi HR-IT työnkulkuun, tarkistuslista ja kuukausiraportti | IT-päällikkö | 14 päivää | 4/25 |
| Varmuuskopioita ei ole testattu | 15/25 | Palautustesti tuotantokriittisille tiedoille | Järjestelmäomistaja | 30 päivää | 6/25 |
| Toimittajan tietoturvavaatimukset puuttuvat | 10/25 | Sopimusliite uusille ja uusittaville sopimuksille | Hankintavastaava | 60 päivää | 5/25 |
Jos mietit, mikä on hyvä määrä riskejä ensimmäiseen arviointiin, aloita mieluummin rajatusti. Usein 10–20 riskiä riittää ensimmäiseen kierrokseen. Tärkeintä on saada näkyviin ne 3–5 keskeistä riskiä, joihin johto voi oikeasti reagoida.
Yleisimmät virheet, jotka hidastavat ISO 27001 -työtä
Riskien arviointi kaatuu harvoin siihen, ettei uhkia olisi. Se kaatuu useammin siihen, että malli on liian raskas tai vastuut jäävät epäselviksi.
Tunnistatko näistä jonkin omasta organisaatiostasi?
- Riskit kirjataan liian yleisellä tasolla, kuten “kyberhyökkäys”, ilman kohdetta tai vaikutusta
- Pisteytysmalli puuttuu tai eri henkilöt käyttävät sitä eri tavalla
- Toimenpiteille ei nimetä omistajaa eikä määräaikaa
- Riskirekisteri päivitetään vain ennen auditointia
- Kontrollit kopioidaan mallipohjasta ilman yhteyttä omaan riskiarviointiin
Varoitus
Yleinen virhe on hyväksyä korkea riski hiljaisesti, koska sen korjaaminen tuntuu työläältä. Jos riski päätetään hyväksyä, päätös pitää dokumentoida, perustella ja hyväksyttää oikealla vastuuhenkilöllä.
Käytännössä hyvä tarkistuslista jokaiselle riskille on tämä:
- Onko riski kuvattu yhdellä selkeällä lauseella?
- Näkyykö, mitä omaisuutta tai prosessia riski koskee?
- Onko pisteytykselle perustelu?
- Onko toimenpiteellä omistaja?
- Onko määräaika realistinen, esimerkiksi 14, 30 tai 90 päivää?
- Tiedetäänkö, milloin riski arvioidaan uudelleen?
Miten riskienhallinta pidetään elävänä arjessa?
Paras ISO 27001 -malli on sellainen, jota käytetään myös ilman auditointia. Siksi riskienhallinta kannattaa sitoa olemassa oleviin johtamisen rytmeihin eikä rakentaa erilliseksi projektiksi.
Toimiva käytäntö pk-yrityksessä voi olla esimerkiksi tämä:
| Rytmi | Mitä tehdään | Kesto | Osallistujat |
|---|---|---|---|
| Kuukausittain | Korkeiden riskien tilannekatsaus | 30 min | IT, liiketoiminnan omistaja |
| Kvartaaleittain | Uusien riskien ja muutosten arviointi | 60 min | Johto, IT, prosessinomistajat |
| 2 kertaa vuodessa | Koko riskirekisterin päivitys | 2–3 h | Avainhenkilöt |
| Vuosittain | Johdon katselmus ja prioriteettien vahvistus | 60–90 min | Johto |
Jos yrityksellä on jo käytössä ISO 9001 tai muu johtamisjärjestelmä, riskienhallinnan rytmi kannattaa yhdistää samoihin katselmuksiin. Näin työ ei elä omassa siilossaan. Softapankki Oy:n ja QMClouds Oy:n ratkaisuissa sama ajatus näkyy myös Laatupankki-tuoteperheessä: johtamisjärjestelmä toimii parhaiten, kun vastuut, tehtävät ja seuranta ovat samassa arjen työkalussa.
Tietoturvapankki auttaa tässä erityisesti silloin, kun riskien arviointi halutaan tehdä johdonmukaisesti ilman raskasta manuaalista ylläpitoa. Kun riskit, kontrollit, vastuut ja seuranta ovat yhdessä paikassa, auditointivalmius paranee samalla kun arjen tekeminen selkeytyy.
Yhteenveto
- ISO 27001 riskien arviointi toimii parhaiten, kun aloitat kriittisistä omaisuuksista etkä yleisistä uhista.
- Pk-yritykselle riittää usein selkeä 1–5 pisteytysmalli todennäköisyydelle ja vaikutukselle.
- Jokaiselle korkealle riskille pitää nimetä omistaja, toimenpide ja määräaika, kuten 30 päivää tai 24 tuntia.
- Riskirekisteri kannattaa päivittää säännöllisesti, ei vain ennen auditointia.
- Tavoite ei ole täydellinen Excel vaan päätöksentekoa tukeva, toistettava riskienhallinnan malli.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.