Näin toteutat riskianalyysin
Tyhjältä paperilta toimintaa ohjaavaan riskirekisteriin. Seitsemän vaihetta, perustuen ISO 31000:een ja ISO 27005:een, kirjoitettu käytäntöön.
By Kim Borg, Founder, RiskNote · Last updated
Siksi useimmat riskianalyysit pysähtyvät ennen kuin ne alkavat
Kaikki tietävät, että riskianalyysi pitäisi olla. Ongelma on harvoin tahdon puute. Kyse on siitä, että askel ”meidän pitäisi tehdä sellainen” -toteamuksesta valmiiseen analyysiin tuntuu liian suurelta.
Se alkaa tyhjältä paperilta. Mitä arvioidaan? Mitkä kategoriat? Miten asetetaan todennäköisyys ja seuraus? Yhtäkkiä on kulunut kolme kuukautta, ja paperi on yhä tyhjä.
Tämä opas vie sinut alusta valmiiseen riskianalyysiin. Perustuen ISO 31000:een ja ISO 27005:een, mutta kirjoitettu käytäntöön, ei oppikirjaan. Lataa Excel-malli, jos haluat seurata omalla rekisterilläsi lukiessasi.
Vaihe 1 — Aloita suojattavista arvoista
Ennen kuin tunnistat yhtäkään riskiä, sinun on tiedettävä, mitä oikeasti suojaat. Tässä useimmat riskianalyysit menevät pieleen: aletaan listaamaan uhkia ymmärtämättä ensin, mikä on suojaamisen arvoista.
Suojattavat arvot ovat se, mitä liiketoiminta ei voi menettää. Tee lyhyt inventaario: mitä tapahtuu, jos tämä katoaa, häiriintyy tai vuotaa? Siitä tulee priorisoitu listasi.
Tieto
Asiakastiedot, liikesalaisuudet, henkilötiedot.
Saatavuus
Kriittiset järjestelmät, prosessit, toimitukset.
Taloudelliset resurssit
Liikevaihto, omaisuus, kassavirta.
Brändi ja luottamus
Maine, asiakassuhteet, markkina-asema.
Ihmiset
Työntekijät, asiakkaat, kolmansia osapuolia.
Sääntöjen noudattaminen
Lisenssit, luvat, oikeudellinen asema.
Vaihe 2 — Määrittele laajuus
Yleinen sudenkuoppa: yritetään analysoida koko liiketoiminta kerralla. Tulos on pinnallinen ja käyttökelvoton. Määrittele sen sijaan selvästi, mitä sisältyy, aikaperspektiivi ja ketkä sidosryhmät ovat mukana.
Mitä laajuuteen kuuluu?
Koko organisaatio, tietty prosessi, järjestelmä, toimitusketju? Rajattu analyysi syvyydellä on aina arvokkaampi kuin laaja ilman sisältöä.
Mikä aikahorisontti?
Seuraavat 12 kuukautta, projektijakso vai strateginen kolmen vuoden horisontti? Aikaikkuna ohjaa, miten todennäköisyys arvioidaan.
Ketkä sidosryhmät ovat mukana?
Johto, työntekijät, asiakkaat, valvojat? Eri sidosryhmillä on eri toleranssirajat.
Rajattu riskianalyysi syvyydellä voittaa aina laajan ilman sisältöä. Voit aina tehdä lisää.
Vaihe 3 — Tunnista uhat ja riskit
Nyt täytät paperin. Erota käsitteet: uhka on se, mitä voi tapahtua (kiristysohjelma, toimittajan pettäminen). Haavoittuvuus on heikkous, joka tekee uhan mahdolliseksi (turvattomat varmuuskopiot, ainoa toimittaja). Riski on uhan, haavoittuvuuden ja seurauksen yhdistelmä suojattavalle arvolle.
Työskentele systemaattisesti. Muutama koeteltu näkökulma:
Suojattavan arvon mukaan
Mikä voisi vahingoittaa asiakastietoja? Mikä katkaisisi saatavuuden? Mikä uhkaa brändiä?
Uhkakategorian mukaan
Kyber, fyysinen, henkilöstö, toimittaja, sääntely, talous. Varmistaa laajan kattavuuden.
Skenaarion mukaan
Mitä tapahtuu, jos palvelin kaatuu? Jos avainhenkilö lähtee? Jos alihankkija menee konkurssiin?
Ota oikeat ihmiset mukaan. IT ei tiedä kaikkea prosesseista, liiketoiminta ei tiedä kaikkea uhista. Poikkitoiminnallinen työpaja voittaa aina yksinäisen analyytikon.
Vaihe 4 — Arvioi todennäköisyys ja seuraus
Tässä riskit muuttuvat sanoista priorisointitiedoksi. Käytä liiketoimintaasi sopivaa asteikkoa. 5×5-matriisi toimii useimmissa tapauksissa parhaiten.
Määrittele asteikot ennen arviointia. Mitä ”vakava seuraus” oikeastaan tarkoittaa euroissa, käyttökatkoksessa tai asiakasmenetyksessä? Ilman määritelmiä arvioista tulee mielivaltaisia eivätkä ne ole vertailukelpoisia ajan myötä.
Todennäköisyys (1–5) — kuinka todennäköistä aikahorisontissa
1. Epätodennäköinen
Vaikea nähdä, miten tapahtuisi.
2. Vähemmän todennäköinen
Voi tapahtua, mutta ei odotettu.
3. Mahdollinen
Voi hyvinkin tapahtua.
4. Todennäköinen
Odotetaan tapahtuvan.
5. Erittäin todennäköinen
Tapahtuu säännöllisesti tai on välitön.
Seuraus (1–5) — kuinka vakava jos riski toteutuu
1. Vähäpätöinen
Tuskin huomattavissa.
2. Rajallinen
Hallittavissa oleva häiriö.
3. Merkittävä
Huomattava vaikutus, mutta hallittavissa.
4. Vakava
Olennainen vahinko liiketoiminnalle.
5. Katastrofaalinen
Uhkaa liiketoiminnan jatkuvuutta.
Vaihe 5 — Priorisoi toimenpiteet, ei vain punaisia ruutuja
Yleinen väärinkäsitys: riskianalyysin lopputulos on punaruutuinen matriisi. Ei ole. Lopputulos on priorisoitu toimenpidelista. Valitse jokaiselle tunnistetulle riskille käsittelystrategia.
Käsittelystrategiat
Pienennä
Laske todennäköisyyttä tai seurausta toimenpiteillä.
Siirrä
Vakuutus, sopimuslausekkeet, ulkoistus.
Hyväksy
Tietoinen riski toleranssin sisällä, dokumentoitu.
Vältä
Poista toiminto, joka luo riskin.
Jokaisella toimenpiteellä on oltava
Selkeä omistaja
Nimetty henkilö, jolla on mandaatti viedä toimenpide eteenpäin.
Määräaika
Konkreettinen päivämäärä. Ei ”pian” tai ”syksyllä”.
Mitattava tulos
Miten tiedät, että toimenpide toimi?
Linkki riskiin
Mihin riskiin se vastaa ja miten toimenpide vaikuttaa L:ään ja K:een?
Priorisoi toimenpiteet vaikutuksen suhteessa panostukseen, ei vain riskin tason mukaan. Keskitasoinen riski helpolla ratkaisulla voi olla tärkeämpi käsitellä ensin kuin korkea riski, joka vaatii kolmen vuoden investointia.
Vaihe 6 — Pidä analyysi elossa
Mappiin jätetty riskianalyysi on kuollut seuraavana päivänä. Todellisuus muuttuu: uusia uhkia syntyy, liiketoiminta kehittyy, toimenpiteet toteutetaan, sääntely kiristyy.
Toimiva riskianalyysi on elävä prosessi:
Säännöllinen tarkistus
Vähintään vuosittain, useammin kriittisillä alueilla.
Laukaisupohjaiset päivitykset
Tapauksissa, muutoksissa, uusissa järjestelmissä, uusissa toimittajissa, uusissa säännöissä.
Jatkuva seuranta
Toimenpiteiden vaikutuksen ja tilan osalta, ei vain riskilistan.
Selkeä omistaja
Joku, joka oikeasti omistaa sen pitämisen ajan tasalla.
NIS2:n, ISO 27001:n tai vastaavien alaisten organisaatioiden osalta elävä riskianalyysi ei ole vain hyvä idea. Se on vaatimus.
Vaihe 7 — Yhdistä viitekehyksiin ja sääntelyyn
Jos liiketoimintaasi koskee tiettyjä vaatimuksia, varmista että riskianalyysi täyttää ne. Yleisimmät pohjoismaisessa yhteydessä:
ISO 31000
Yleinen riskienhallinta, periaatteet ja viitekehys. Lue ISO 31000 -opas.
ISO 27005
Tietoturvariskit erityisesti.
ISO 27001
Vaatii dokumentoidun riskiarvioinnin ja käsittelysuunnitelman. Katso ISO 27001 -opas.
NIS2
Riskienhallintatoimet keskeisille ja tärkeille yksiköille. Lue NIS2:sta.
GDPR (DPIA)
Vaikutustenarviointi henkilötietojen käsittelyssä. Katso GDPR-riskianalyysi.
MSBFS 2020:6
Ruotsin valtion viranomaisten systemaattinen tietoturvatyö.
DORA
Finanssialan operatiivinen kestokyky.
Sama pohjimmainen riskianalyysi voi usein kattaa useita viitekehyksiä. Kyse on enimmäkseen siitä, miten se dokumentoidaan ja raportoidaan.
Yhteenveto — seitsemän vaihetta
1. Aloita suojattavista arvoista
Tiedä mitä oikeasti suojaat.
2. Määrittele laajuus
Syvyys voittaa leveyden.
3. Tunnista uhat ja riskit
Systemaattisesti, poikkitoiminnallisesti.
4. Arvioi todennäköisyys ja seuraus
Määritellyillä asteikoilla.
5. Priorisoi toimenpiteet
Ei punaisia ruutuja, vaan vaikutus per panostus.
6. Pidä analyysi elossa
Säännöllisesti ja laukaisupohjaisesti.
7. Yhdistä viitekehyksiin
Missä tarvitaan.
Usein kysyttyä riskianalyysistä
Kuinka kauan riskianalyysi kestää?
Pk-yritykselle puolikas työpäivä riittää ensimmäiseen kierrokseen: 2–4 tuntia tunnistamiseen ja arviointiin plus 1–2 tuntia toimenpidesuunnitelmaan. Suuremmat organisaatiot tai työpajoja vaativat alueet: varaa 2–5 työpäivää yhteensä.
Mikä on ero riskianalyysin ja riskiarvioinnin välillä?
Riskianalyysi on koko prosessi: tunnistaa, analysoida, arvioida, käsitellä, seurata. Riskiarviointi on yleensä osajoukko, varsinainen todennäköisyyden ja seurauksen arviointi. Käytännössä termejä käytetään synonyymeinä, mutta ISO 31000 erottaa ne.
Pitääkö meidän käyttää 5×5-matriisia?
Ei. ISO 31000 on agnostinen matriisikoon suhteen. 5×5 on käytäntöä, koska 3×3 on liian karkea (vain 9 yhdistelmää) ja 7×7 liian monimutkainen. Jotkut organisaatiot käyttävät sen sijaan laadullisia kategorioita. Tärkeää on, että asteikko on johdonmukainen ja määritelty etukäteen.
Pitääkö kaikki analyysit tehdä työpajassa?
Ei, mutta yhden hengen analyyseistä tulee lähes aina kapeampia. Poikkitoiminnallinen 3–6 hengen ryhmä tunnistaa riskit, jotka yksinäinen analyytikko jättää huomaamatta. Työpajan ei tarvitse kestää koko päivää. 90 minuuttia kierrosta kohti riittää, jos se on valmisteltu.
Kuinka usein riskianalyysi pitäisi päivittää?
Operatiiviset riskit neljännesvuosittain, strategiset vuosittain. Projektiriskit päivittyvät sprintin tai ohjausryhmän kokouksen mukaan. Tapauksissa, suurissa muutoksissa (uusi toimittaja, järjestelmän vaihto, sääntelymuutos) aina uusi kierros. NIS2 ja ISO 27001 vaativat dokumentoitua säännöllistä tarkistusta.
Kenen pitäisi omistaa riskianalyysi?
Johto omistaa prosessin ja riskitoleranssin. Nimetty riskivastaava (usein CISO, CFO tai COO pienemmissä yrityksissä) vastaa analyysin pitämisestä elossa. Jokaisella yksittäisellä riskillä tulee olla nimetty omistaja, jolla on mandaatti viedä toimenpiteitä eteenpäin.
More guides
Tyhjältä paperilta riskirekisteriin 20 minuutissa
Tätä varten RiskNote on rakennettu. Kuvaile liiketoiminta, tekoäly ehdottaa relevantit riskit, ja sinulla on strukturoitu rekisteri 5×5-matriisilla kahvitauon ajassa. Sen jälkeen hienosäädät sen liiketoiminnan kanssa.