Miten aloittaa ISO 27001 riskiarviointi pk-yrityksessä
Monessa pk-yrityksessä tiedetään, että tietoturvariskejä pitäisi arvioida, mutta alku tuntuu hankalalta. Mistä lähteä liikkeelle, kuinka laaja työ tästä tulee ja pitääkö kaikki mahdollinen dokumentoida heti? Jos aloitus venyy, seurauksena on usein tilanne, jossa riskit tunnistetaan vasta asiakasvaatimuksen, auditoinnin tai poikkeaman jälkeen.
Tässä artikkelissa käydään läpi, miten ISO 27001 riskiarviointi kannattaa aloittaa pk-yrityksessä käytännöllisesti. Saat selkeän etenemismallin, konkreettiset ensimmäiset päätökset, esimerkin yksinkertaisesta pisteytyksestä sekä ohjeet siihen, miten työ pidetään hallittavana jo ensimmäisten 2–4 viikon aikana.
Edellytykset
- Nimeä yksi vastuuhenkilö, esimerkiksi IT-päällikkö, laatupäällikkö tai tietoturvasta vastaava henkilö
- Rajaa arvioinnille ensimmäinen soveltamisala: esimerkiksi koko yritys tai yksi palvelu, liiketoimintaprosessi tai asiakasympäristö
- Varaa aloitukseen vähintään 2 x 2 tunnin työpajaa sekä 1–2 tuntia viikossa jatkotyölle ensimmäisen kuukauden ajan
- Kerää valmiiksi perustiedot: järjestelmälista, keskeiset toimittajat, henkilöstöroolit ja aiemmat poikkeamat
Mitä ISO 27001 riskiarviointi käytännössä tarkoittaa?
Riskiarviointi tarkoittaa käytännössä sitä, että tunnistatte yrityksenne tiedon, järjestelmien ja toimintatapojen merkittävimmät uhat, arvioitte niiden vaikutuksen ja päätätte, mitä niille tehdään. ISO 27001 ei edellytä monimutkaista teoriaa, vaan toistettavaa tapaa arvioida riskit samalla logiikalla kerta toisensa jälkeen.
Pk-yritykselle tärkein oivallus on tämä: kaikkea ei tarvitse arvioida täydellisesti heti. Ensimmäisellä kierroksella riittää, että tunnistatte 3–5 keskeistä riskiä per tärkeä liiketoiminta-alue ja päätätte niille omistajat, toimenpiteet ja aikataulut.
Esimerkiksi seuraavat kohteet ovat usein hyvä ensimmäinen rajaus:
- asiakasdata ja henkilötiedot
- Microsoft 365- tai Google Workspace -ympäristö
- päätelaitteet, kuten kannettavat tietokoneet
- käyttöoikeuksien hallinta
- alihankkijat ja pilvipalvelut
- varmuuskopiot ja palautuminen
Huomio
ISO 27001 ei määrää yhtä pakollista riskilaskentamallia. Tärkeintä on, että käytätte omaan toimintaanne sopivaa, johdonmukaista mallia ja pystytte perustelemaan päätökset auditoinnissa.
Rajaa ensin: mikä otetaan mukaan ja mikä ei?
Yleisin aloitusvirhe on yrittää arvioida koko yrityksen kaikki riskit yhdellä kertaa. Lopputuloksena syntyy helposti liian laaja lista, jota kukaan ei ehdi ylläpitää. Siksi ensimmäinen käytännön päätös on soveltamisala, eli se osa toimintaa, jota arviointi koskee.
Hyvä soveltamisala on pk-yrityksessä sellainen, jonka pystytte käsittelemään realistisesti 1–3 työpajassa. Jos yrityksellä on yksi päätuote tai yksi selkeä palveluympäristö, aloita siitä. Jos taas asiakasvaatimukset koskevat koko organisaatiota, rajaa ainakin ensimmäinen arviointikierros keskeisiin prosesseihin.
Tarkista, että rajaus kattaa ainakin nämä:
- tärkeimmät tiedot ja tietovarannot
- kriittiset järjestelmät
- keskeiset henkilöstöroolit
- ulkoiset toimittajat, joista olette riippuvaisia
- lakisääteiset tai asiakasvaatimukset
Seuraava taulukko auttaa valitsemaan sopivan aloituslaajuuden:
| Vaihtoehto | Milloin sopii | Työmäärä alussa | Suositus pk-yritykselle |
|---|---|---|---|
| Koko yritys kerralla | Toiminta on yksinkertaista ja järjestelmiä vähän | Keskisuuri | Hyvä, jos henkilöstöä on alle 20 ja palveluita vähän |
| Yksi palvelu tai tuote | Asiakasvaatimukset kohdistuvat tiettyyn palveluun | Pieni | Usein paras ensimmäinen rajaus |
| Yksi prosessi, kuten käyttöoikeuksien hallinta | Halutaan nopea käynnistys | Hyvin pieni | Hyvä pilotti, mutta ei yksin riitä pitkässä juoksussa |
| Yksi asiakasympäristö | Tietoturvavaatimukset tulevat yksittäiseltä asiakkaalta | Pieni–keskisuuri | Toimiva, jos asiakaskohtaiset vaatimukset ohjaavat tekemistä |
Valitse yksinkertainen pisteytysmalli heti alussa
Kun riskit on tunnistettu, ne pitää pystyä vertailemaan keskenään. Muuten kaikki näyttää yhtä kiireelliseltä. Käytännössä tarvitsette vähintään kaksi mittaria: vaikutus ja todennäköisyys.
Pk-yritykselle riittää usein asteikko 1–3 tai 1–5. Tärkeintä ei ole matemaattinen tarkkuus, vaan että tiimi ymmärtää, mitä numerot tarkoittavat. Jos käytätte liian monimutkaista mallia, arviointi hidastuu ja tulokset vaihtelevat arvioijasta riippuen.
Tässä toimiva esimerkki asteikosta 1–3:
| Piste | Vaikutus | Todennäköisyys |
|---|---|---|
| 1 | Häiriö on vähäinen, vaikutus alle 4 tuntia tai pieni kustannus | Epätodennäköinen, tapahtuu harvemmin kuin kerran 3 vuodessa |
| 2 | Häiriö vaikuttaa asiakkaisiin tai sisäiseen työhön 1–2 päivää | Mahdollinen, voi tapahtua kerran 1–2 vuodessa |
| 3 | Vakava häiriö, asiakasvaikutus, tietovuoto tai liiketoiminnan keskeytys yli 2 päivää | Todennäköinen, voi tapahtua useita kertoja vuodessa |
Riskipiste voidaan laskea kaavalla:
- riski = vaikutus x todennäköisyys
Silloin saatte selkeän priorisoinnin:
| Riskipisteet | Tulkinta | Toimenpide |
|---|---|---|
| 1–2 | Matala | Seuranta osana normaalia työtä |
| 3–4 | Keskitaso | Suunnittele hallintatoimi ja vastuuhenkilö 30 päivän sisällä |
| 6–9 | Korkea | Käynnistä toimenpiteet heti ja seuraa etenemistä vähintään kuukausittain |
Vinkki
Jos ette pääse pisteistä yksimielisyyteen 5 minuutissa, kirjatkaa ensin perustelu sanallisesti. Usein erimielisyys johtuu siitä, että vaikutus asiakkaalle ja vaikutus sisäiseen työhön sekoittuvat keskenään.
Mitä riskejä pk-yrityksen kannattaa tunnistaa ensimmäisenä?
Ensimmäinen arviointi ei saa muuttua ideointiharjoitukseksi, jossa listataan sata mahdollista uhkaa. Parempi tapa on käydä läpi muutama vakioaihe, joista pk-yritysten olennaisimmat riskit yleensä löytyvät.
Aloita esimerkiksi näistä riskikategorioista:
- käyttöoikeudet jäävät poistamatta työsuhteen päättyessä
- monivaiheinen tunnistautuminen puuttuu kriittisistä palveluista
- varmuuskopioita ei testata säännöllisesti
- laitteita ei salata tai päivitetä ajallaan
- toimittajariippuvuus on suuri eikä korvaavaa toimintatapaa ole
- henkilöstö tunnistaa huonosti kalasteluviestit
- tietoa säilytetään hajallaan ilman omistajaa
Konkreettinen esimerkki yhdestä riskistä:
| Riski | Vaikutus | Todennäköisyys | Pisteet | Hallintatoimi | Vastuu | Takaraja |
|---|---|---|---|---|---|---|
| Lähteneen työntekijän tunnus jää aktiiviseksi SaaS-palveluun | 3 | 2 | 6 | Poistoprosessi, tarkistuslista ja tunnusten poisto 24 tunnin sisällä | IT-päällikkö | 14 päivää |
Kysy itseltäsi ja tiimiltäsi suoraan:
- Missä tilanteessa asiakas huomaisi ensimmäisenä, että tietoturva petti?
- Mikä yksittäinen virhe pysäyttäisi työnteon huomenna?
- Missä olemme yhden henkilön tai yhden toimittajan varassa?
Näillä kysymyksillä löydätte usein olennaisemmat riskit kuin yleisillä brainstorm-listoilla.
Nimeä arviointiryhmä ja päätä ensimmäinen rajaus
Ota mukaan vähintään liiketoiminnan vastuuhenkilö, IT:tä tunteva henkilö ja tarvittaessa laatu- tai tietosuojavastaava. Pidä ryhmä pienenä, yleensä 3–5 henkilöä riittää. Kirjaa samalla, koskeeko arviointi koko yritystä vai esimerkiksi yhtä palvelua tai asiakasympäristöä.
Listaa tärkeimmät tiedot, järjestelmät ja riippuvuudet
Tee ensimmäinen kartoitus yhdelle sivulle tai taulukkoon. Kirjaa vähintään tärkeät tiedot, niitä käsittelevät järjestelmät, omistajat ja ulkoiset toimittajat. Jos listaus vie yli 90 minuuttia, rajaus on todennäköisesti liian laaja.
Tunnista 10–15 ensimmäistä riskiä vakioaiheiden avulla
Käy läpi käyttöoikeudet, laitteet, pilvipalvelut, varmuuskopiot, henkilöstö, toimittajat ja poikkeamat. Tavoitteena ei ole täydellinen lista, vaan ensimmäinen hallittava kokonaisuus. Useimmille pk-yrityksille 10–15 riskiä riittää ensimmäiselle kierrokselle.
Pisteytä riskit samalla mallilla ja valitse 3–5 tärkeintä
Käytä yhtä sovittua asteikkoa, esimerkiksi vaikutus 1–3 ja todennäköisyys 1–3. Laske pisteet, järjestä riskit ja valitkaa yhdessä 3–5 korkeinta jatkotoimiin. Jos kaikki riskit näyttävät korkealta, arviointikriteerit ovat liian epätarkat.
Päätä hallintatoimet, omistajat ja seurantarytmi
Jokaiselle korkealle riskille pitää tulla konkreettinen toimenpide, vastuuhenkilö ja määräaika. Esimerkiksi monivaiheinen tunnistautuminen käyttöön 30 päivän sisällä tai poistuvat käyttöoikeudet tarkistukseen viikoittain. Sopikaa myös, että riskilista käydään läpi vähintään kvartaaleittain ja aina merkittävän muutoksen jälkeen.
Yleisimmät virheet aloituksessa
Ensimmäinen virhe on dokumentoida liikaa ennen kuin yhteinen toimintatapa on selvä. Jos käytätte viikkoja mallipohjien hiomiseen, mutta ette tee yhtään riskipäätöstä, työ ei vielä johda parempaan tietoturvaan.
Toinen yleinen virhe on jättää liiketoiminta pois arvioinnista. Pelkkä IT ei aina tiedä, mikä on asiakkaalle kriittisintä. Siksi vähintään yhden liiketoiminnan edustajan pitää olla mukana pisteytyksessä.
Vältä erityisesti näitä:
- liian laaja soveltamisala ensimmäisellä kierroksella
- epäselvä pisteytys, jota eri ihmiset tulkitsevat eri tavoin
- riskien listaaminen ilman omistajia ja määräaikoja
- hallintatoimien kopiointi suoraan mallipohjasta ilman omaa perustelua
- arvioinnin tekeminen kerran vuodessa ilman seurantaa muutosten välillä
Varoitus
Yleinen sudenkuoppa on kirjata hallintatoimeksi vain "parannetaan ohjeistusta". Jos toimenpiteestä puuttuu omistaja, määräaika ja mitattava lopputulos, se jää usein tekemättä. Kirjaa mieluummin esimerkiksi: "MFA käyttöön kaikille ylläpitotunnuksille 30 päivän sisällä".
Miten riskiarviointi viedään osaksi arkea?
Hyvä ISO 27001 riskiarviointi ei ole kerran tehty Excel, vaan osa johtamista. Käytännössä tämä tarkoittaa, että riskit kytketään muutoksiin, poikkeamiin ja johdon seurantaan. Kun uusi järjestelmä otetaan käyttöön tai toimittaja vaihtuu, riskilista päivitetään samalla.
Pk-yrityksessä toimiva rytmi on usein kevyt mutta säännöllinen. Et tarvitse raskasta hallintomallia, kunhan vastuut, aikataulut ja seuranta ovat näkyvissä.
Toimiva kuukausi- tai kvartaalirytmi voi näyttää tältä:
| Toimenpide | Tiheys | Kesto | Vastuu |
|---|---|---|---|
| Korkeiden riskien tilannekatsaus | Kuukausittain | 15–30 min | Riskien omistajat |
| Koko riskilistan läpikäynti | Kvartaaleittain | 60 min | Vastuuhenkilö + avainhenkilöt |
| Arvioinnin päivitys muutostilanteissa | Tarvittaessa | 30–60 min | Muutoksen omistaja |
| Johdon yhteenveto | 2–4 kertaa vuodessa | 15 min | Tietoturvasta vastaava |
Jos käytössä on Tietoturvapankki, riskien kirjaaminen, omistajuus ja seuranta pysyvät samassa paikassa. Se helpottaa erityisesti sitä, että arviointi ei jää yhden henkilön muistin tai irrallisten tiedostojen varaan.
Yhteenveto
- Aloita pienesti: rajaa ensimmäinen soveltamisala niin, että ehditte käsitellä sen 2–4 viikossa.
- Käytä yksinkertaista ja johdonmukaista pisteytystä, esimerkiksi vaikutus 1–3 ja todennäköisyys 1–3.
- Tunnista ensin 10–15 riskiä ja priorisoi niistä 3–5 tärkeintä konkreettisiin toimenpiteisiin.
- Jokaisella merkittävällä riskillä tulee olla omistaja, määräaika ja mitattava hallintatoimi.
- Päivitä riskiarviointia säännöllisesti ja aina, kun järjestelmissä, toimittajissa tai toiminnassa tapahtuu muutos.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.