Vain tunnistettuja sekä arvioituja riskejä voidaan valvoa, hallita ja minimoida niiden aiheuttamat haitat. Siksi edellä esiteltiin hyvinkin yksityiskohtaisesti, miten riski muodostuu. Lyhyenä kertauksena vielä kerran. Sinulla täytyy olla omaisuus, johon kohdistuu uhka ja omaisuuden tulee olla haavoittuva, jotta muodostuu riski. Todennäköisyyden jokainen joutuu arvioimaan itse.



Kyberturvallisuudessa arvon merkitys määritellään hieman eri tavoin kuin mitattaessa sellaisen esineen arvoa, joka voidaan arvioida rahassa. Tieto on subjektiivista, aineetonta omaisuutta, se voi olla fyysisesti useassa paikassa samaan aikaan, mutta tiedetään, että jos se menetetään, tai sille tapahtuu jotain, voi menetys olla mittava. Sille on kuitenkin haasteellista määrittää todellista tarkkaa arvoa. Tämän takia kyberturvallisuudessa arvoa lähestytään riskien tunnistamisen ja hallinnan kautta. Monella meistä on kyky tunnistaa, että “jotain on menossa pieleen” - riski on siis toteutumassa. Se ei valitettavasti riitä siihen, että tietäisi mitä, miten ja milloin pitäisi tehdä jotain asian estämiseksi.

Palataan vielä riskien vaikutuksen arviointiin: mistä tiedät milloin on kannattavaa hankkia esimerkiksi 100 euron hintainen ylijännitesuoja? Jos uusi muuntaja tietokoneeseesi maksaa 40 euroa, niin silloinhan se ei laskennallisesti ole kannattavaa. Toisin sanoen järkevä suojaus ei yleensä ole arvokkaampi kuin suojattava kohde. Yhtälö sen sijaan muodostuu kannattavaksi, jos kytket saman jännitesuojan taakse myös kodin viihdekeskuksen, minkä arvo voi olla useampikin tuhat euroa.

“Mutta minullahan on kotivakuutus!” Olet siis ulkoistanut riskin - ihan fiksua, näin meistä useimmat tekevät. Muista kuitenkin tarkistaa vakuutusehdot ja ennen kaikkea omavastuun suuruus. Mieti myös millaisen arvon annat käyttökatkoksen pituudelle, vaikka vakuutus kattaisikin edellä mainitun riskin. Ansionmenetys työvälineiden vahingoittuessa tulee myös määritellä.

Saatat myös haluta antaa arvoa ylimääräiselle työlle, ajanhukalle sekä mielipahalle. Suojattavan kohteen arvon määrittely voi olla myös hyvin henkilökohtaista. Sinulla saattaa olla kolmekymmentä vuotta vanha nauhuri, jonka avulla voit katsoa perheesi ja omia lapsuusaikaisia videoitasi. Sen kaupallinen arvo saattaa olla “nolla”, mutta tunnearvo hyvinkin suuri, jos se on ainoa laite edellämainittujen videoiden katsomiseen.

Kun siis määrittelet erilaisten riskien arvon sinun omasta näkökulmastasi, pystyt valitsemaan myös tarkoituksenmukaisen suojauksen omaisuudellesi.

Riskit tulee myös priorisoida eli asettaa tärkeysjärjestykseen, koska kaikilta uhkilta et todennäköisesti pysty suojautumaan samanaikaisesti. Aktiivinen sosiaalisen median sovellusten käyttö ja tiedonhaku kenties tuntemattomille sivustoille muodostavat suuremman riskin kuin mitä salamanisku talviaikaan. Jos rahaa on rajallinen määrä, kannattanee ensin investoida hyvään tietoturvallisuusohjelmistoon ja hankkia ylijännitesuoja keväämmällä. Mutta se ylijännitesuoja pitää muistaa hankkia ennen kevätmyrskyjä!

Olet nyt tällä kyberturvallisuuden kurkistuskurssilla niin pitkällä, että pystyt arvioimaan riskejä, jotka uhkaavat juuri sinua kyberympäristössä. Se on ensisijaisen tärkeää, jotta pystyt myös suunnittelemaan, miten suojautua uhkilta kyberympäristössä sekä miten pystyt seuraamaan sitä, ovatko suojaukset riittävällä tasolla. Esimerkiksi pelkkä tietoturvaohjelmiston hankkiminen ei riitä, vaan sinun täytyy myös uusia lisenssi säännöllisesti tai varmistaa, että tietoturvaohjelmisto on ajantasalla ja toimii halutulla tavalla. Jotkin suuret kaupalliset toimijat voivat uhkapelata riskin todennäköisyydellä, ja näin investoida mahdollisia suojauksiin tarvittavia varoja esimerkiksi kasvun maksimointiin. Yksittäiselle arjessa taivaltavalle kansalaiselle emme tätä suosittele, painotamme uhkien seurauksia niiden todennäköisyyden sijaan omassa riskien arvioinnissa.

Sen sijaan erästä toista yritysmaailman toimintamallia suosittelemme käyttämään. Se tunnetaan liiketoiminnan jatkuvuuden suunnitteluna. Kaikista suojatoimenpiteistä huolimatta jäljelle jää aina “jäännösriski”. Se voi olla esimerkiksi jotain sellaista, miltä ei ollut kannattavaa tai mahdollista suojautua, tai sitten kyse voi olla sattumasta. Ikävähkö esimerkki voisi olla tulipalo, jossa menetät sekä tietokoneesi että ulkoisen kovalevyn mitä käytit varmuuskopiointiin. Tässä tapauksessa osa “liiketoiminnan” jatkuvuuden suunnittelua voisi olla vaikkapa tietojen tallentaminen kolmanteen paikkaan, esimerkiksi pilvipalveluun.