Tämä on konekäännetty teksti, joka saattaa sisältää virheitä!
Tietäminen siitä, että uhkia on olemassa, on hyvä asia, mutta se auttaa vähän, jos et tiedä, mitkä uhat ovat olennaisimpia sinun järjestelmällesi. Riskianalyysi auttaa sinua priorisoimaan: mitä sinun pitäisi suojata, mikä voi mennä pieleen ja mitä sinun pitäisi tehdä asialle?
Mikä on riskiarviointi?
Riskiarviointi on systemaattinen läpikäynti, jossa:
- Selvitetään, mikä voi mennä pieleen
- Arvioidaan, kuinka todennäköistä se on
- Arvioidaan, kuinka vakava seuraus on
- Ehdotetaan toimenpiteitä riskin vähentämiseksi
Sinun ei tarvitse olla turvallisuusasiantuntija tehdäksesi tämän. Kyse on systemaattisesta ajattelusta.
Vaihe vaiheelta
1. Arvonmääritys: Mitä meillä on?
Ennen kuin voit suojata jotain, sinun on tiedettävä, mitä sinulla on. Listaa järjestelmän tärkeimmät arvot:
| Arvo | Esimerkki | Miksi tärkeä? |
|---|---|---|
| Data | Käyttäjätiedot, projektitiedostot | Ei voida luoda uudelleen |
| Palvelut | Web-palvelin, sähköposti, tiedostojen tallennus | Ihmiset ovat niistä riippuvaisia |
| Laitteisto | Palvelimet, verkkolaitteet | Maksaa rahaa ja aikaa korvata |
| Maine | Käyttäjien luottamus järjestelmään | Vaikea rakentaa uudelleen |
2. Riskien tunnistaminen: Mitä voi mennä pieleen?
Mieti, mitkä tekijät voivat uhata arvojasi:
| Riski | Kuvaus |
|---|---|
| Ransomware | Tiedostot salataan ja lunnaat vaaditaan |
| Sähkökatkos | Palvelimet ja verkot kaatuvat |
| Levyn vika | Data menetetään |
| Tietojenkalastelu | Joku luovuttaa salasanansa |
| Väärinmääritys | Muutos, joka kaataa palvelun |
| Luonnonkatastrofi | Palo, vesivahinko, ukkonen |
3. Arvioi todennäköisyys ja seuraus
Jokaisen riskin kohdalla arvioi kaksi asiaa asteikolla (esim. 1-5):
- Todennäköisyys: Kuinka todennäköistä on, että tämä tapahtuu?
- Seuraus: Kuinka vakava asia on, jos se tapahtuu?
Riskinarvo = Todennäköisyys × Seuraus
| Riski | Todennäköisyys (1-5) | Seuraus (1-5) | Riskinarvo |
|---|---|---|---|
| Levyn vika | 3 | 4 | 12 |
| Kiristysohjelma | 2 | 5 | 10 |
| Tietojenkalastelu | 4 | 3 | 12 |
| Sähkökatkos | 2 | 3 | 6 |
| Väärinmääritys | 3 | 3 | 9 |
Mitä korkeampi riskinarvo, sitä enemmän prioriteettia sinun tulisi antaa toimenpiteille.
Risikomatriisi
Risikomatriisi näyttää tämän visuaalisesti väreillä:
- 🟢 Matala (1-6): Hyväksyttävä riski, mutta pidä sitä silmällä
- 🟡 Keskitaso (7-14): Toimenpiteet tulisi olla valmiina
- 🔴 Korkea (15-25): Vaatii välittömiä toimenpiteitä
4. Ehdotettavat toimenpiteet
Jokaiselle korkean tai keskitason riskin osalta ehdota toimenpiteitä:
| Riski | Toimenpide |
|---|---|
| Levyn vika | Varmuuskopiointi (3-2-1-sääntö), RAID-järjestelmä palvelimilla |
| Kiristysohjelma | Päivitykset, offline-varmuuskopiointi, koulutus |
| Tietojenkalastelu | Tietoisuuden lisääminen, MFA, sähköpostisuodatus |
| Väärinmääritys | Dokumentaatio, muutoshistoria, tilannekuva ennen muutosta |
5. Dokumentoi ja seuraa
Riskiarviointi ei ole kertaluonteinen harjoitus. Kirjaa se ylös, jaa se tiimille ja käy se säännöllisesti läpi (esim. puolen vuoden välein tai tapahtuman jälkeen).
Tehtävä 1 – Suorita pieni riskianalyysi
Valitse sinulle tuttu järjestelmä (esim. oma tietokoneesi, asentamasi virtuaalikone tai koulun verkko) ja käy läpi seuraavat vaiheet:
- Listaa 3–5 arvoa (mikä on tärkeää?)
- Etsi 3–5 riskiä (mikä voi mennä pieleen?)
- Anna jokaiselle kohdalle todennäköisyys ja seuraus (1–5)
- Ehdota toimenpiteitä korkeimman riskin omaaville
Käytä taulukkolaskentaohjelmaa tai yksinkertaista taulukkoa Markdownissa.
Yhteenveto
- Riskianalyysi auttaa sinua priorisoimaan turvallisuustoimenpiteitä
- Vaiheet ovat: arvonmääritys, riskien tunnistaminen, todennäköisyyden/vaikutuksen arviointi, toimenpiteet ja dokumentointi
- Riskinarvo = todennäköisyys × vaikutus
- Riskianalyysi ei ole kertaluonteinen harjoitus, sitä tulisi päivittää säännöllisesti
Voit ladata riskinarviointipohjan Datatilsynet -sivustolta.