Yleistä tietoturvariskeistä

Nykyisin organisaatioilla on hallussaan yhä enemmän toiminnan kannalta kriittistä tietoa. Samalla kun tiedon määrä ja merkitys on kasvanut myös siihen liittyvät uhkatekijät ovat kasvaneet. Uhkien määrä ja laatu on kasvanut viimeisen 20 vuoden aikana merkittävästi. Organisaation tietoihin kohdistuu sekä sisäisiä että ulkoisia uhkia, joita organisaatioiden tulee hallita ja estää.

Tänä päivänä monelle organisaatiolle sen hallussa oleva tieto on organisaation suurin pääoma. Siitä huolimatta tietojen hallinta ja suojaus ei välttämättä ole kunnossa. Organisaation toiminnan kannalta on tärkeätä, että

• Tiedot ovat oikeita, luotettavia ja ajantasaisia
• Tiedot ovat aina oikeutettujen henkilöiden saatavilla
• Tiedot eivät joudu ulkopuolisten tietoon/haltuun

Tietoturvariskien hallinta on oltava hallittua ja jatkuvaa, muuten tietoturvauhkien hallinta ei pysy uusien, koko ajan lisääntyvien uhkien tasolla. Samoin jos tieturvariskien hallinta ei ole suunnitelmallista voivat tästä aiheutuvat kustannukset kasvaa merkittäviksi. Tunnistamalla ja arvioimalla tietoturvauhat, niiden vaikuttavuus ja merkittävyys organisaation toiminnalle, pystytään vastaamaan keskeisiin uhkiin järkevien kustannuksin.

(juttu jatkuu videon jälkeen)

Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana

Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.

Lataa kalvosarja (pdf)

HSEQ-järjestelmä videona

www.propilvipalvelut.fi/pro-palveluiden-esittely

Tietoturvallisuuden arvioinnin eri osa-alueet:

Tietoturvariskien arviointiin ei riitä, että tietoturvauhat arvioidaan vain erimerkiksi tietojärjestelmien tai tietoverkkojen osalta. Tietoturvauhat voivat kohdistua organisaatioon monesta suunnasta. Lisäksi uhkat voivat olla sisäisiä tai ulkoisia.

Hallinnollinen tietoturvallisuus

Organisaation johdon tietoisuus tietoturvariskeistä on tietoturvariskien hallinnan perusta. Johdon käytössä olevat välineitä ovat hallittu tietoturvatyö, osaamisen hyödyntäminen ja riskienhallinnan muiden lähtökohtien luominen. Hallinnolliseen turvallisuuteen kuuluvat myös organisaation suhteet asiakkaisiin ja sidosryhmiin. Myös hankinnat liittyvät kaikkiin tietoturvallisuuden osa-alueisiin.

Henkilöstöturvallisuus

Organisaation henkilöstöturvallisuus on henkilöstöön liittyvien riskien hallintaa. Henkilöstön käytännön toimissa tietoriskit joko hallitaan tai ne toteutuvat. Tietoisuus uhkista ja osaaminen luovat pohjan onnistuneelle riskienhallinnalle.

Fyysinen turvallisuus

Fyysinen turvallisuus sisältää organisaation tuotanto- ja toimitilojen fyysiseen suojaamiseen liittyvät asiat, joilla pyritään estämään organisaation tarvitsemien tietojen tuhoutuminen, vahingoittuminen tai joutuminen vääriin käsiin.

Tietoliikenneturvallisuus

Tietoliikenneturvallisuuteen sisältyvät mm. tietoliikennelaitteiston kokoonpano, luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, viestinnän salaus ja varmistaminen, tietoturvallisuuden kannalta merkityksellisten tapahtumien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen.

Laitteistoturvallisuus

Laitteistoturvallisuus käsittää tietojenkäsittely- ja tietoliikennelaitteiden käytettävyyden, toiminnan, kokoonpanon, kunnossapidon ja laadunvarmistuksen.

Ohjelmistoturvallisuus

Organisaation ohjelmistoturvallisuuteen kuuluvat käyttöjärjestelmät, ohjelmistot sekä sovellus- ja tietoliikenneohjelmat. Tähän alueeseen kuuluvat myös ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt, ohjelmistojen laadunvarmistus sekä turvallisuustoimet.

Tietoaineistoturvallisuus

Tietoaineistoturvallisuus käsittää asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden. Keinoina ovat mm. tietoaineistojen luokitus ja luettelointi ja tietovälineiden asianmukainen hallinta, käsittely, säilytys ja hävittäminen.

Käyttöturvallisuus

Käyttöturvallisuus kattaa tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, yllä pito-, kehittämis- ja huoltotoimintoihin liittyvän turvallisuuden. Riskianalyysin tulee kattaa myös organisaation ulkoistamat palvelut. Etätyön riskianalyysissä arvioidaan etätyöhön kohdistuvia uhkia, näiden todennäköisyyksiä ja vaikutuksia sekä valitaan toimenpiteet, joilla riski saadaan halutulle tasolle.

Riskien arviointi

Kun organisaation on tunnistanut erilaiset tietoturvauhkat, jotka voitavat siihen kohdistua, tulee organisaation arvioida jokaisen uhkan osalta todennäköisyys uhkan toteutumiselle sekä mitä organisaatiolle seuraa, jos uhka toteutuu.

Arvioimalla riskit pystytään keskittämään turvaamistoimet ja resurssit keskeisimpiin riskeihin, näin riskien hallinta ei muodostu ylivoimaiseksi kustannuksiltaan tai resursoinniltaan.

Riskien todennäköisyyden arviointi

Riskien todennäköisyyttä voidaan arvioida erilaisilla mitta-asteikoilla. Yleistä on tehdä arvio mitta-asteikolla 1–3 seuraavasti:

1. Alhainen. Riskin toteutuminen on erittäin epätodennäköistä (ei ole tapahtunut)
2. Keskimääräinen. Riskin toteutumisen mahdollista (on tapahtunut joskus meillä tai tapahtunut muualla useammin kuin kerran)
3. Korkea. Riskin toteutuminen on todennäköistä (on odotettavissa, että tapahtuu, tapahtunut meillä useamman kerran ja/tai ollut ”läheltä piti” tilanteita)

Riskien vaikutusten arviointi

Riskien vaikutusten voidaan arvioida erilaisilla mitta-asteikoilla. Yleistä on tehdä arvio mitta-asteikolla 1-5 seuraavasti:

1. Vähäinen. Riskin vaikutukset ovat vähäiset. Pieniä häiriöitä toiminnalle, kaikki tai lähes kaikki tavoitteet saavutetaan
2. Vakava. Riskin vaikutukset ovat merkittäviä. Toiminnan huomattava vaikeutuminen, suuri osa tavoitteista jää saavuttamatta
3. Erittäin vakava. Riskin vaikutukset ovat erittäin merkittävä. Toiminnan lamaantuminen, tavoitteiden saavuttamisessa epäonnistutaan täysin.

Riskien suuruuden arviointi

Kun riskien todennäköisyys ja vaikuttavuus on arvioitu, saadaan selville organisaation tietoturvariskien vakavuus. Yleensä tietoturvariskit jaetaan 5 riskikategoriaan:

• Merkityksetön riski
• Vähäinen riski
• Kohtalainen riski
• Merkittävä riski
• Sietämätön riski

Jokaiselle riskikategorialle määritellään tietoturvatoimenpiteet, jotka kyseiseen riskiin kohdistetaan.

Riskien hallinta ja seuranta

Kun jokaiselle riskille on arvioitu suuruus, aloitetaan riskien hallinta ja seuranta. Riskienhallinta vaiheessa määritellään toimet, joilla riskejä hallitaan, määritellään kuka organisaatiossa vastaa toimista ja ainakin alustava aikataulu sovitaan.

Riskejä voidaan pienentää teknisillä toimenpiteillä, organisaation toimintaa kehittämällä tai yksilöiden toimintamahdollisuuksia parantamalla.

Organisaation tulee seurata sovittuja toimenpiteitä vähintään kerran vuodessa, mieluummin useammin. Seurannalla varmistetaan, että tunnistetut vakavat tietoturvauhat saadaan poistettua ja mahdolliset/todennäköiset uudet tietoturvauhat on hallinnassa.

Kuinka organisaatio voi edetä tietosuojariskien kanssa

Tietoturvauhkat, jotka kohdistuvat organisaatioihin ovat tänä päivänä nopeasti kasvava todellinen uhka organisaatioiden menestykselle. Organisaation hallussa olevat tiedot muodostavat nykyisin organisaation keskeisen omaisuuden. Tietojen vuotaminen, tuhoutuminen tai muuttuminen voivat aiheuttaa organisaatiolle vakavia ongelmia, joista toipuminen voi kestää huomattava pitkän ajan.

Normaalille organisaatiolle tietoturvauhkien hallinta muodostaa ison haasteen normaalin toimintansa rinnalle. Tietoturvariskien kanssa toimiminen vaatii erityisosaamista ja jatkuvaa ajanhermolla pysymistä. Tietoturvaosaamista ei välttämättä organisaation kannata hankkia itselleen, vaan tehokkainta voi olla tehdä asiat yhdessä osaavan tieturvakonsultin ja valmiin riskienhallintaohjelmiston kanssa.

Tietosuojariskien arvioinnin prosessi

Tietosuojariskien arviointi:

1. Riskikartoitus:
   • Tässä vaiheessa kirjataan kaikki organisaation tunnistetut tietosuojariskit
   • Riskejä ei tässä vaiheessa arvioida
   • Tietosuojariskit kerätään kaikista tietoturvan osa-alueista
2. Riskianalyysi
   • Jokaiselle riskille määritellään toteutumisen todennäköisyys ja toteutumisen vaikuttavuus
   • Jokaiselle riskille määritellään vakavuuden mukainen toimenpide-ehdotus
3. Riskienhallinta
   • Valituille toimenpide-ehdotuksille, jotka vaativat toimia määritellään vastuutaho/-henkilö ja alustava aikataulu tekemiselle.
4. Riskienhallinnan seuranta
   • Seuranta palaverit, joissa käydään sovittujen tehtävien tilanne läpi

Muutamia vaatimuksia, joilla varmistetaan tietoturvariskien arvioinnin onnistuminen:

1.  Johdon tuki tietosuojatyölle
2. Organisaation tietojen luokittelu
   • Jos tietoja ei ole luokiteltu, ei tietosuojariskien vakavuutta voida kunnolla arvioida
   • Julkinen – sisäinen – luottamuksellinen – salainen
3. Organisaation sisäinen projektiryhmä on nimetty ja annettu riittävä resurssit käyttöön
   • Jokaisesta organisaation toiminnosta edustaja esim, myynti, talous, hr, asiakaspalvelu jne
   • Tämä varmistaa, ettei eri toimintojen tietosuojaan liittyvät riskit jää käsittelemättä.