Riskienhallinnan (hyvin) lyhyt oppimäärä

Kaikessa riskinhallinnassa on yleisesti neljä mekanismia, joita voidaan tarpeen tullen yhdistellä. Nämä on niin valkohattujen [=eettisten hakkerien] kuin pienyritysten hyvä ymmärtää.

1. Riskin aiheuttava seikka korjataan, eli riski poistetaan. Tämä tapahtuu esimerkiksi korjaamalla löydetty haavoittuvuus tai vaikkapa kokonaan poistamalla palvelu, josta se löytyi.
   
   
2. Riskin todennäköisyyttä pienennetään jollain mekanismilla. Esimerkiksi pääsyä palveluun voidaan rajata yrityksen IP-verkkoalueeseen, jolloin palvelun hyväksikäytön riski pienenee, mutta ei poistu kokonaan.
   
   
3. Riskin vaikutusta pienennetään jollain mekanismilla, esimerkiksi lisäämällä valvontaa ja reagointikykyä riskin realisoitumiseen. Riskin vaikutusten minimoinnin erikoistapauksena on riskin siirtäminen. Esimerkiksi vakuutuksen avulla osa riskistä siirretään vakuutusyhtiölle ja täten pienennetään riskin vaikutuksia, koska riskin realisoituessa yritys saa rahaa korjaustoimiin vakuutuksesta.
   
   
4. Riski – tai jäännösriski muista toimista – voidaan hyväksyä. Tämä tarkoittaa sitä, että kun organisaation päättävä taho on saanut tiedon ongelmasta, sen vaikutuksista ja korjaavien toimien kustannuksista, päätetään ettei asialle tarvitsee tehdä mitään.

Yleensä korjaus koostuu kohtien 2 ja 3 yhdistelmästä kunnes jäljelle jäävä jäännösriski on sellaisella tasolla, jonka päättävä taho voi hyväksyä.

Esimerkki 1

• Verkkopalvelusta löytyy tietoturva-aukko, joka mahdollistaa laskujen summien muokkaamisen.
• Riski on, että tätä aukkoa hyväksikäytetään ja yritys saadaan maksamaan väärä summa rahaa.
• Luodaan uusi prosessi, jossa kaikki yli tietyn rajan ylittävät laskut tarkistetaan käsin.
• Tämä siis pienentää vaikutusta vain rajan alittaviin määriin.
• Prosessi saadaan käyttöön heti.
• Tämän lisäksi tietoturva-aukko annetaan ICT-kumppanille korjattavaksi. Korjausta ei tarvitse tehdä ylitöinä, koska yrityksen päätöksentekijät hyväksyvät pienentyneen riskin, kunnes korjaus saadaan valmiiksi normaalin työajan puitteissa. Kun korjaus on tehty, riski on poistettu tämän tietoturva-aukon osalta.
• Tässä kohtaa yritys tekee uuden riskiarvion siitä, tarvitseeko käsipelillä tehtävää tarkistusta jatkaa vai hyväksytäänkö se riski, että olisi joku muu mekanismi, jolla laskuja voitaisiin manipuloida.

Esimerkki 2

• Valkohattu ilmoittaa viime vuoden kesäkampanja-sivustolla olevan päivittämätön sisällönhallintajärjestelmä, joka mahdollistaa esimerkiksi haittaohjelmien jakamisen tai valeuutisten tekemisen yrityksen omistamasta osoitteesta.
• Väärin käytettynä tästä aiheutuu maineriski, mutta kesäkampanjasivustolla on myös mahdollisesti ollut arvontaan liittyvä henkilörekisteri, jonka vuotamisesta voisi aiheutua hieman suurempi riski taloudellisista sanktioista.
• Lisävahingon riski poistetaan yksinkertaisesti ottamalla sivusto pois netistä.
• Riski tietovuodosta pienenee palvelimen tietoja tutkimalla, jotta voidaan päätellä, onko ulkopuolisilla tahoilla ollut pääsyä henkilörekisteriin. Näitä tietoja on voitu muokata, joten riskiä ei pystytä kokonaan poistamaan, mutta se voidaan saada melko pieneksi tutkinnan varmuuden perusteella.
• Päätöksentekijät hyväksyvät tämän jäännösriskin ja tietoteknistä tutkintaa ei tarvitse jatkaa.