Tietoturvariskien hallinta jää monessa pk-yrityksessä kahden ääripään väliin: joko riskejä käsitellään liian yleisellä tasolla, tai työ paisuu raskaaksi Excel-harjoitukseksi, joka ei ohjaa arjen päätöksiä. Lopputulos on sama: johto ei saa selkeää kuvaa suurimmista uhista, eikä henkilöstö tiedä, mitä pitäisi tehdä ensin.
Tässä artikkelissa käymme läpi, miten tietoturvariskien hallinta kannattaa rakentaa ISO 27001 -viitekehyksen avulla niin, että siitä on oikeaa hyötyä liiketoiminnalle. Saat käytännön mallin siihen, mitä riskejä kannattaa arvioida, miten ne pisteytetään, miten toimenpiteet priorisoidaan ja miten kokonaisuus pidetään elävänä ilman kohtuutonta hallinnollista työtä.
Mitä ISO 27001 tarkoittaa riskienhallinnan näkökulmasta?
ISO 27001 on kansainvälinen standardi tietoturvan hallintajärjestelmälle, eli järjestelmälliselle tavalle johtaa tietoturvaa. Riskienhallinnan näkökulmasta standardin ydinajatus on yksinkertainen: tunnista organisaatiosi tiedolle, järjestelmille ja palveluille olennaiset riskit, päätä miten niitä käsitellään ja varmista, että päätökset näkyvät käytännön toiminnassa.
Tämä kuulostaa suoraviivaiselta, mutta käytännössä moni kompastuu siihen, että riskienhallinta irrotetaan liiketoiminnasta. Jos arvioit riskejä vain yleisellä tasolla, kuten “kyberhyökkäys” tai “inhimillinen virhe”, et vielä tiedä, mitä pitää suojata, kuka vastaa ja millä aikataululla. Siksi ISO 27001 ohjaa sitomaan riskit omaan toimintaympäristöön.
Hyvä lähtökohta on rajata arviointi ainakin näihin kohteisiin:
- keskeiset liiketoimintaprosessit
- tärkeimmät tietovarannot, kuten asiakasdata ja henkilöstötiedot
- kriittiset järjestelmät ja pilvipalvelut
- ulkoiset palveluntarjoajat
- henkilöstön toimintatavat ja käyttöoikeudet
Huomio
ISO 27001 ei edellytä yhtä tiettyä riskilaskentamallia. Olennaista on, että käytätte johdonmukaista tapaa tunnistaa, arvioida ja käsitellä riskit — ja että pystytte perustelemaan valitut ratkaisut.
Hyvä riskienhallinta alkaa rajauksesta, ei kontrollilistasta
Yksi yleisimmistä virheistä on aloittaa suoraan kontrollien, eli suojaavien toimenpiteiden, listauksesta. Silloin organisaatio saattaa ottaa käyttöön paljonkin käytäntöjä ilman, että on selvää, mitä riskiä niillä oikeastaan pienennetään. Ensin pitää määrittää soveltamisala, eli mitä osaa liiketoiminnasta, palveluista ja tiedoista hallintajärjestelmä koskee.
Käytännössä pk-yritykselle toimiva rajaus voi olla esimerkiksi yksi liiketoimintayksikkö, SaaS-palvelu tai koko asiakasdatan käsittelyketju. Tärkeintä on, että rajaus on realistinen ja että sen sisällä olevat riskit voidaan oikeasti arvioida. Liian laaja aloitus hidastaa työtä, liian kapea taas jättää olennaisia riippuvuuksia ulkopuolelle.
Kun rajaat kokonaisuuden, vastaa ainakin näihin kysymyksiin:
- Mitkä palvelut tai prosessit ovat liiketoiminnan kannalta kriittisimpiä?
- Mitä tietoa käsitellään, ja mikä olisi vahingon vaikutus, jos tieto vuotaa, muuttuu tai katoaa?
- Mitkä järjestelmät, henkilöt ja kumppanit liittyvät tähän kokonaisuuteen?
- Mitkä lakisääteiset tai sopimusvaatimukset vaikuttavat tietoturvaan?
Esimerkki: jos yrityksesi toimittaa ohjelmistopalvelua yritysasiakkaille, arvioinnin ytimeen kannattaa ottaa ainakin tuotantoympäristö, asiakasdata, pääkäyttäjätunnukset, varmistukset ja alihankkijat. Näin saat nopeasti näkyviin 3–5 keskeistä riskiä, joihin kannattaa tarttua ensin.
Riskien tunnistaminen: keskity todennäköisiin ja merkittäviin tilanteisiin
Riskien tunnistamisessa tavoite ei ole tehdä täydellistä uhkakirjastoa. Tavoite on löytää ne tilanteet, jotka voivat oikeasti häiritä liiketoimintaa, aiheuttaa tietovuodon, keskeyttää palvelun tai rikkoa sopimusvelvoitteita. Hyvä riskilista on lyhyt, ymmärrettävä ja sidottu omaan arkeen.
Toimiva tapa on tarkastella riskejä kolmen kysymyksen kautta:
- Mitä arvokasta meillä on suojattavana?
- Miten se voisi vaarantua?
- Mitä siitä seuraisi liiketoiminnalle?
Tyypillisiä pk-yrityksen tietoturvariskejä ovat esimerkiksi:
- työntekijän tai alihankkijan liian laajat käyttöoikeudet
- monivaiheisen tunnistautumisen puuttuminen ylläpitotunnuksista
- varmistusten palautuksen testaamattomuus
- kriittisen SaaS-toimittajan häiriö tai sopimuspuute
- tietojenkalastelu, joka johtaa tunnusten väärinkäyttöön
- puutteellinen poistumisprosessi, jolloin tunnuksia ei suljeta ajoissa
Tässä vaiheessa kannattaa nimetä jokaiselle riskille omistaja. Riskin omistaja ei tarkoita henkilöä, joka yksin korjaa kaiken, vaan henkilöä, joka varmistaa, että riski arvioidaan, käsitellään ja seurataan. Pk-yrityksessä tämä voi olla esimerkiksi IT-päällikkö, palveluomistaja tai toimitusjohtaja.
Vinkki
Pidä ensimmäinen riskityöpaja 60–90 minuutin mittaisena ja rajaa tavoitteeksi enintään 10 merkittävää riskiä. Näin keskustelu pysyy päätöksentekokelpoisena eikä huku yksityiskohtiin.
Riskien arviointi: tee pisteytyksestä yksinkertainen ja vertailukelpoinen
Kun riskit on tunnistettu, ne pitää arvioida samalla logiikalla. Käytännössä tämä tarkoittaa yleensä kahta tekijää: kuinka todennäköinen riski on ja kuinka suuri vaikutus sillä olisi. Liian monimutkainen pisteytys hidastaa työtä, joten pk-yritykselle riittää usein asteikko 1–3 tai 1–5.
Alla on yksinkertainen malli, jota voi käyttää ISO 27001 -riskienhallinnan pohjana:
| Tekijä | 1 = matala | 2 = keskitaso | 3 = korkea |
|---|---|---|---|
| Todennäköisyys | Epätodennäköinen, alle kerran 3 vuodessa | Mahdollinen, noin kerran 1–3 vuodessa | Todennäköinen, voi tapahtua vuosittain |
| Vaikutus | Rajallinen häiriö, alle 4 h katkosta tai vähäinen kustannus | Selvä häiriö, 1 työpäivän vaikutus tai asiakasvaikutus | Vakava häiriö, yli 1 päivän katkos, sopimus- tai mainehaitta |
Voit laskea riskitason kertomalla luvut keskenään. Esimerkiksi todennäköisyys 3 ja vaikutus 3 tuottaa riskitason 9, joka on korkea. Tärkeintä ei ole matematiikka vaan se, että samanlaisia tilanteita arvioidaan samalla tavalla.
Seuraava taulukko auttaa priorisoinnissa:
| Riskitaso | Tulkinta | Toimenpide |
|---|---|---|
| 1–2 | Matala | Seuranta osana normaalia toimintaa |
| 3–4 | Kohtalainen | Suunnittele parannus 1–3 kuukauden sisällä |
| 6–9 | Korkea | Käynnistä toimenpiteet heti, vastuuhenkilö nimetään ja etenemistä seurataan kuukausittain |
Esimerkki: jos ylläpitotunnuksissa ei ole monivaiheista tunnistautumista ja niitä käytetään etäyhteyksillä, todennäköisyys voi olla 3 ja vaikutus 3. Tällöin kyse ei ole “kehitysideasta”, vaan kiireellisestä riskistä, joka kannattaa käsitellä ensimmäisten joukossa.
Riskien käsittely: valitse toimenpiteet, jotka oikeasti pienentävät riskiä
Riskin arviointi ei vielä paranna tietoturvaa. Seuraava vaihe on päättää, mitä riskille tehdään. Riskien käsittely tarkoittaa käytännössä neljää vaihtoehtoa: riskiä pienennetään, vältetään, siirretään tai hyväksytään. Pk-yrityksissä yleisin ja järkevin vaihtoehto on pienentäminen.
Toimenpiteiden pitää olla konkreettisia, mitattavia ja aikataulutettuja. Huono kirjaus on “parannetaan käyttöoikeushallintaa”. Hyvä kirjaus kertoo, mitä tehdään, kuka tekee ja mihin mennessä.
Esimerkkejä hyvistä toimenpiteistä:
- poista lähtevien työntekijöiden tunnukset 24 tunnin sisällä työsuhteen päättymisestä
- ota monivaiheinen tunnistautuminen käyttöön kaikille ylläpito- ja etäkäyttötunnuksille 30 päivän aikana
- testaa varmistusten palautus kvartaaleittain ja dokumentoi tulos
- käy läpi kriittisten toimittajien sopimukset 2 kuukauden sisällä ja varmista tietoturvavelvoitteet
- tarkista käyttäjäoikeudet 4 kertaa vuodessa järjestelmäomistajien kanssa
ISO 27001:n liitteessä A on joukko kontrolleja, eli hallintakeinoja, joista voit valita sopivat keinot riskien käsittelyyn. Ajatus ei ole ottaa kaikkea käyttöön varmuuden vuoksi, vaan perustella, miksi juuri tietyt kontrollit ovat tarpeen omassa ympäristössäsi.
Varoitus
Yleinen virhe on kopioida kontrollit suoraan mallipohjasta ilman omaa riskiarviointia. Tällöin syntyy helposti paljon dokumentaatiota, mutta vähän todellista riskin pienentymistä.
Määritä 3–5 liiketoimintakriittistä kohdetta
Listaa palvelut, tiedot ja järjestelmät, joiden häiriö vaikuttaisi eniten asiakkaisiin, liikevaihtoon tai sopimusvelvoitteisiin. Jos et tiedä, mistä aloittaa, kysy johdolta ja palveluomistajilta: mikä pysäyttäisi liiketoiminnan jo tänään?
Tunnista suurimmat riskit työpajassa
Kokoa mukaan vähintään liiketoiminnan omistaja, IT-vastuuhenkilö ja tarvittaessa tietosuojaa tai laatua tunteva henkilö. Kirjatkaa jokaiselle kriittiselle kohteelle 1–3 realistista riskiskenaariota sen sijaan, että yrittäisitte listata kaiken mahdollisen.
Pisteytä riskit yhdellä yhteisellä mallilla
Arvioikaa jokaisen riskin todennäköisyys ja vaikutus samalla asteikolla, esimerkiksi 1–3. Sopikaa samalla, mikä pistemäärä tarkoittaa kiireellistä käsittelyä, jotta päätökset eivät jää tulkinnanvaraisiksi.
Määritä toimenpiteet, omistajat ja määräajat
Kirjaa jokaiselle korkealle ja kohtalaiselle riskille vähintään yksi konkreettinen toimenpide, vastuuhenkilö ja tavoitepäivä. Hyvä nyrkkisääntö on, että korkean riskin ensimmäinen korjaava toimi käynnistyy 30 päivän sisällä.
Seuraa toteutusta kuukausittain
Pidä riskilista elävänä johtamisen työkaluna, ei vuosittaisena dokumenttina. Käy vähintään kerran kuukaudessa läpi, mitkä toimenpiteet ovat valmiit, mitkä myöhässä ja onko uusia riskejä noussut esimerkiksi muutosten, auditointien tai poikkeamien kautta.
Miten riskienhallinta pidetään elävänä arjessa?
Paras riskirekisteri vanhenee nopeasti, jos sitä päivitetään vain auditointia varten. Siksi riskienhallinta kannattaa kytkeä olemassa oleviin johtamisen rytmeihin: kuukausipalavereihin, muutostenhallintaan, toimittajakatsauksiin ja poikkeamien käsittelyyn. Näin riskit eivät jää erilliseksi projektiksi.
Käytännössä toimiva malli pk-yritykselle voi näyttää tältä:
| Toistuvuus | Mitä tehdään | Kesto |
|---|---|---|
| Kuukausittain | Käydään läpi korkeat riskit ja avoimet toimenpiteet | 15–30 min |
| Kvartaaleittain | Tarkistetaan käyttöoikeudet, varmistustestit ja keskeiset toimittajariskit | 1–2 h |
| Puolivuosittain | Päivitetään riskien arviointi merkittävien muutosten jälkeen | 2–3 h |
| Vuosittain | Johdon katselmus: trendit, poikkeamat, investointitarpeet | 1–2 h |
Seurannassa kannattaa käyttää muutamaa selkeää mittaria. Liian monta mittaria hämärtää tilannekuvaa. Aloita esimerkiksi näillä:
- kuinka monta korkeaa riskiä on avoinna
- kuinka moni sovittu toimenpide valmistui ajallaan
- kuinka nopeasti käyttöoikeudet poistetaan työsuhteen päättyessä
- kuinka moni varmistusten palautustesti onnistui suunnitellusti
- kuinka monta tietoturvapoikkeamaa havaittiin kuukaudessa
Jos käytätte työkalua, kuten Tietoturvapankki-palvelua, riskienhallinnan dokumentointi, vastuut ja seuranta on helpompi pitää yhdessä paikassa. Tämä vähentää manuaalista työtä ja auttaa näyttämään auditoinnissa, että riskienhallinta ei ole vain paperilla.
Mitä hyötyä hyvästä riskienhallinnasta on pk-yritykselle?
Moni ajattelee, että ISO 27001 -riskienhallinta tehdään sertifiointia tai asiakasvaatimuksia varten. Ne voivat olla hyviä ajureita, mutta suurin hyöty tulee yleensä arjen päätöksenteosta. Kun tiedätte, mitkä riskit ovat oikeasti merkittäviä, investoinnit voidaan kohdistaa paremmin ja kiireellisimmät puutteet korjata ensin.
Käytännön hyötyjä ovat esimerkiksi:
- vähemmän yllättäviä käyttökatkoja ja käyttöoikeusvirheitä
- parempi valmius vastata asiakkaiden tietoturvakyselyihin
- selkeämpi vastuunjako johdon, IT:n ja palveluomistajien välillä
- helpompi perustella tietoturvainvestointeja liiketoimintariskien kautta
- vahvempi pohja sertifioinnille ja jatkuvalle parantamiselle
Jos organisaatiossasi on jo käytössä ISO 9001 tai muu johtamisjärjestelmä, riskienhallinnan käytännöt on usein mahdollista sovittaa samaan johtamismalliin. Tämä vähentää päällekkäistä työtä. Softapankki Oy:n ja QMClouds Oy:n kehittämät ratkaisut, kuten Tietoturvapankki ja Laatupankki — Konsernin laadunhallinnan tuotemerkki, perustuvat juuri siihen ajatukseen, että johtamisjärjestelmästä tehdään käytännöllinen, ei raskas.
Yhteenveto
- ISO 27001 auttaa rakentamaan tietoturvariskien hallinnan järjestelmällisesti, mutta mallin pitää olla sidottu omaan liiketoimintaan.
- Aloita rajauksesta ja tunnista ensin 3–5 keskeistä riskiä, älä yritä kuvata kaikkea kerralla.
- Käytä yksinkertaista pisteytystä, esimerkiksi todennäköisyys x vaikutus asteikolla 1–3, jotta riskit ovat vertailukelpoisia.
- Kirjaa jokaiselle merkittävälle riskille konkreettinen toimenpide, vastuuhenkilö ja määräaika, kuten tunnusten poisto 24 tunnin sisällä.
- Pidä riskienhallinta elävänä kuukausi- ja kvartaalirytmissä, jotta se tukee johtamista eikä jää auditointidokumentiksi.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.