Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
Tehokasta tietoturvariskien hallintaa autopilot-moodin avulla

Jokainen tietoturvastandardi puhuu omalla tavallaan tietoturvariskien hallinnasta. Riskien hallinta on epäilyksettä tietoturvan ytimessä ja osa uskottavaa tietoturvan johtamista.

Mielestämme toimivan tietoturvariskien hallinnan tärkein idea on saada organisaatio keskittämään huomionsa oikeisiin asioihin. Riskien hallinnan toteuttaminen ei kuitenkaan ole helppoa, etenkään lähtiessä liikkeelle tyhjästä paperista.

Tämän takia pyrimme jatkuvasti löytämään uusia tapoja, jotta voisimme automaation kautta auttaa organisaatioita luomaan toimivaa tietoturvariskien hallintaa. Uusimpana lisäyksenä olemme tuoneet Digiturvamalliin mukaan riskienhallinnan autopilot-moodin, josta lisää tässä kirjoituksessa.

Tietoturvariskien hallinnan autopilot-moodi

Tietoturvariskien hallinta liittyy Digiturvamallissa moneen kohtaan. Riskejä voidaan mm. tunnistaa tietoturvahäiriöiden tai tulevien muutosten kautta. Lisäksi riskienhallinnassa tukena on laaja riskipankki, josta löytyy kattavasti esimerkkejä tietoturvariskeistä.

Digiturvamalli pyrkii aina automatisoimaan niitä osio riskien hallinnasta, jotka ovat automatisoitavissa. Automaation aste riippuu autopilot-moodin käytöstä.

Digiturvamalli tekee aina puolestasi riskien hallinnan seuraavat osat:

  • Tunnistaa Tietoturvariskit-listaan uusia riskejä
  • Kohdistaa aktivoimianne tehtäviä tunnistettuihin tietoturvariskeihin

Nämä toiminnot tuottavat teille automaattisesti listausta tietoturvariskeistä, joihin kohdistuvia hallintakeinoja teillä on toteutuksessa jo nykyään.

Autopilot-moodin ollessa päällä Digiturvamalli automatisoi lisäksi seuraavat kohdat:

  • Täyttää riskille arvion sen vakavuudesta ja todennäköisyydestä asiantuntija-arvioon perustuen
  • Säätää riskien tasoja riskiin kohdistuvien hallintakeinojen määrän ja statuksien mukaan
  • Tarjoaa valmiiksi arvioidun riskilistan, jota lähteä käsittelemään
Riskiin kohdistuvat tehtävät laskevat riskin tasoa

Autopilot-moodin tarkoituksena on nostaa listan ensimmäiseksi riskit, joihin teidän todennäköisesti kannattaa kiinnittää lisää huomiota.

Voitte aina korjata riskille annettua arvioita manuaalisesti ja kohdistaa riskiin hallintakeinoja, joita ei automaattisesti ole osattu riskiin kohdistaa. Autopilot-moodi ei siis rajoita omaa tekemistänne mitenkään.

Näin otat autopilot-moodin käyttöön

Tietoturvariskien hallinnan autopilot-moodi on jatkossa oletuksena käytössä kaikissa uusissa Digiturvamalli-tileissä. Nykyiset käyttäjät saavat moodin käyttöön seuraavasti:

  1. Siirry kohtaan Organisaation työpöytä
  2. Klikkaa Asetukset-linkkiä vasemmasta valikosta
  3. Laajenna kohta Riskienhallinnan asetukset
  4. Vaihda kohta Riskienhallinnan autopilot-moodi tilaan KÄYTÖSSÄ

Voit huoletta testata autopilot-moodin käyttöönottoa. Mikäli myöhemmin otat moodin pois päältä, mitään tietoa ei ole kadonnut tai ylikirjoitettu.

Tulossa: Lisäkehitystä autopilot-moodiin organisaation riskiprofiilin kautta

Haluamme huomioida riskien automaattisessa arvioinnissa myös organisaation toiminnan piirteet. Erilainen toiminta korostaa erilaisia tietoturvariskejä:

  • Paljon omaa ohjelmistokehitystä = Korostuneet teknisten haavoittuvuuksien riskit
  • Paljon henkilöstöä ja vaihtuvuutta = Korostuneet henkilöstön ja pääsynhallinnan riskit
  • Paljon fyysisiä toimipaikkoja / omaisuutta = Korostuneet fyysisen turvallisuuden riskit

Mukaan tulee siis muutamia avainvalintoja, joiden avulla voidaan eri teemojen riskien tasoja nostaa tai laskea sen perusteella, korostuvatko nämä asiat organisaation toiminnassa.

Extra: Autopilot-moodi tuo riskit myös työpöydälle

Jos olet ottanut käyttöön riskienhallinnan autopilot-moodin, näet työpöydällä myös riskimatriisin, joka esittää yhteenvedon riskienhallinnan tilasta.

Matriisin näyttää visuaalisesti poiminnon eri vakavuuden ja todennäköisyyden riskeistä sekä niiden tasoista. Linkistä pääset helposti täyteen riskilistaukseen.

Haluatko kuulla lisää?

Kuulemme mielellään toiveitanne riskienhallinnan kehittämisestä yhä pidemmälle. Voitte aina --varata kanssamme palaverin-- teille sopivaan aikaan. Lisätietoja saa aina myös riskienhallintaa käsittelevistä webinaareistamme.

Nähdään taas! 👋

Sisältö

Jaa artikkeli