Riskien arvon määrittely ja hallinta

Riskien arvon määrittely ja hallinta

Vain tunnistettuja sekä arvioituja riskejä voidaan valvoa, hallita ja minimoida niiden aiheuttamat haitat. Siksi edellä esiteltiin hyvinkin yksityiskohtaisesti, miten riski muodostuu. Lyhyenä kertauksena vielä kerran. Sinulla täytyy olla omaisuus, johon kohdistuu uhka ja omaisuuden tulee olla haavoittuva, jotta muodostuu riski. Todennäköisyyden jokainen joutuu arvioimaan itse.



Kyberturvallisuudessa arvon merkitys määritellään hieman eri tavoin kuin mitattaessa sellaisen esineen arvoa, joka voidaan arvioida rahassa. Tieto on subjektiivista, aineetonta omaisuutta, se voi olla fyysisesti useassa paikassa samaan aikaan, mutta tiedetään, että jos se menetetään, tai sille tapahtuu jotain, voi menetys olla mittava. Sille on kuitenkin haasteellista määrittää todellista tarkkaa arvoa. Tämän takia kyberturvallisuudessa arvoa lähestytään riskien tunnistamisen ja hallinnan kautta. Monella meistä on kyky tunnistaa, että “jotain on menossa pieleen” - riski on siis toteutumassa. Se ei valitettavasti riitä siihen, että tietäisi mitä, miten ja milloin pitäisi tehdä jotain asian estämiseksi.

Palataan vielä riskien vaikutuksen arviointiin: mistä tiedät milloin on kannattavaa hankkia esimerkiksi 100 euron hintainen ylijännitesuoja? Jos uusi muuntaja tietokoneeseesi maksaa 40 euroa, niin silloinhan se ei laskennallisesti ole kannattavaa. Toisin sanoen järkevä suojaus ei yleensä ole arvokkaampi kuin suojattava kohde. Yhtälö sen sijaan muodostuu kannattavaksi, jos kytket saman jännitesuojan taakse myös kodin viihdekeskuksen, minkä arvo voi olla useampikin tuhat euroa.

“Mutta minullahan on kotivakuutus!” Olet siis ulkoistanut riskin - ihan fiksua, näin meistä useimmat tekevät. Muista kuitenkin tarkistaa vakuutusehdot ja ennen kaikkea omavastuun suuruus. Mieti myös millaisen arvon annat käyttökatkoksen pituudelle, vaikka vakuutus kattaisikin edellä mainitun riskin. Ansionmenetys työvälineiden vahingoittuessa tulee myös määritellä.

Saatat myös haluta antaa arvoa ylimääräiselle työlle, ajanhukalle sekä mielipahalle. Suojattavan kohteen arvon määrittely voi olla myös hyvin henkilökohtaista. Sinulla saattaa olla kolmekymmentä vuotta vanha nauhuri, jonka avulla voit katsoa perheesi ja omia lapsuusaikaisia videoitasi. Sen kaupallinen arvo saattaa olla “nolla”, mutta tunnearvo hyvinkin suuri, jos se on ainoa laite edellämainittujen videoiden katsomiseen.

Kun siis määrittelet erilaisten riskien arvon sinun omasta näkökulmastasi, pystyt valitsemaan myös tarkoituksenmukaisen suojauksen omaisuudellesi.

Riskit tulee myös priorisoida eli asettaa tärkeysjärjestykseen, koska kaikilta uhkilta et todennäköisesti pysty suojautumaan samanaikaisesti. Aktiivinen sosiaalisen median sovellusten käyttö ja tiedonhaku kenties tuntemattomille sivustoille muodostavat suuremman riskin kuin mitä salamanisku talviaikaan. Jos rahaa on rajallinen määrä, kannattanee ensin investoida hyvään tietoturvallisuusohjelmistoon ja hankkia ylijännitesuoja keväämmällä. Mutta se ylijännitesuoja pitää muistaa hankkia ennen kevätmyrskyjä!

Olet nyt tällä kyberturvallisuuden kurkistuskurssilla niin pitkällä, että pystyt arvioimaan riskejä, jotka uhkaavat juuri sinua kyberympäristössä. Se on ensisijaisen tärkeää, jotta pystyt myös suunnittelemaan, miten suojautua uhkilta kyberympäristössä sekä miten pystyt seuraamaan sitä, ovatko suojaukset riittävällä tasolla. Esimerkiksi pelkkä tietoturvaohjelmiston hankkiminen ei riitä, vaan sinun täytyy myös uusia lisenssi säännöllisesti tai varmistaa, että tietoturvaohjelmisto on ajantasalla ja toimii halutulla tavalla. Jotkin suuret kaupalliset toimijat voivat uhkapelata riskin todennäköisyydellä, ja näin investoida mahdollisia suojauksiin tarvittavia varoja esimerkiksi kasvun maksimointiin. Yksittäiselle arjessa taivaltavalle kansalaiselle emme tätä suosittele, painotamme uhkien seurauksia niiden todennäköisyyden sijaan omassa riskien arvioinnissa.

Sen sijaan erästä toista yritysmaailman toimintamallia suosittelemme käyttämään. Se tunnetaan liiketoiminnan jatkuvuuden suunnitteluna. Kaikista suojatoimenpiteistä huolimatta jäljelle jää aina “jäännösriski”. Se voi olla esimerkiksi jotain sellaista, miltä ei ollut kannattavaa tai mahdollista suojautua, tai sitten kyse voi olla sattumasta. Ikävähkö esimerkki voisi olla tulipalo, jossa menetät sekä tietokoneesi että ulkoisen kovalevyn mitä käytit varmuuskopiointiin. Tässä tapauksessa osa “liiketoiminnan” jatkuvuuden suunnittelua voisi olla vaikkapa tietojen tallentaminen kolmanteen paikkaan, esimerkiksi pilvipalveluun.

“Happy trails” & “Shields up”

Kurssin teoriaosuudessa on käsitelty niin laitteisiin (hardware) kuin ohjelmistoihin (software) liittyviä teknisiä suojautumiskeinoja. Sinulla on nyt perusteet tunnistaa riskit ja tietolähteitä, joiden avulla voit alkaa suunnitella omaa kyberpuolustustasi.

Muistutamme vielä, että ihminen on yleensä aina kyberpuolustuksen heikoin lenkki. Esimerkiksi, jos käytät tietokonettasi aina järjestelmänvalvojan oikeuksilla, vaikka et ole asentamassa mitään, helpotat aivan turhaan hakkerin työtä.

Jo tämän kurssin alkuvaiheissa sinua muistuteltiin siitä, että Internet on erinomainen apu oppimisen, tiedonhaun ja työskentelyn tukena. Hyödyt ovat useimmiten riskien ottamisen arvoisia. Kannustamme sinua kuitenkin terveeseen epäluuloon. Se, mikä kuulostaa liian hyvältä ollakseen totta ei useimmiten ole totta. Sovelluskehittäjä ei todennäköisesti ajatellut pelkästään sinun parastasi - vaan testasi ohjelmaa kunnes aika ja rahat loppuivat, ja tuote piti saada markkinoille. Muista, että mitään et saa ilmaiseksi, myöskään Internetissä.

Niinpä Happy trails eli poimi parhaat palat Internetin ihmemaasta ja samalla Shields up eli pidä huolta kyberturvallisuudesta!

Peda.net käyttää vain välttämättömiä evästeitä istunnon ylläpitämiseen ja anonyymiin tekniseen tilastointiin. Peda.net ei koskaan käytä evästeitä markkinointiin tai kerää yksilöityjä tilastoja. Lisää tietoa evästeistä