Heräte : validoitu riskien arvioinnin prosessimalli organisaation menestyksen tukemiseksi

Abstract

Riskien arviointi on osa organisaation kilpailukykyä, jolloin ketterät sekä dynaamiset toimintatavat ovat ratkaisevassa asemassa. Epävarmuus ja toimintaympäristön nopeat muutokset tuovat mukanaan myös mahdollisuuksia. Laadukas riskien arviointi on keino erottua kilpailijoista, varmistaa osaltaan organisaation luotettavuus ja trendien tunnistamisen kautta löytää uusia mahdollisuuksia tulevaisuuden innovaatioille. Yhä monimutkaistuva maailma luo organisaatiolle tarpeen tehdä tehokkaita toimenpiteitä entistä nopeammin. Organisaatioiden tulee pystyä reagoimaan nopeasti muuttuvan toimintaympäristön asettamiin haasteisiin. Tutkimuksen tavoitteena oli muodostaa tieteellisen tutkimuksen, riskien arviointiin soveltuvien menetelmien, kuten standardien ja tutkimuksen aikana suoritettujen tietoturvajohtajien haastatteluiden perusteella ketterä ja dynaaminen riskien arvioinnin prosessimalli. Muodostetun prosessimallin on tarkoitus auttaa organisaatioita yhtenäistämään riskien arvioinnin prosessia organisaation eri tasoilla ja tuottamaan yhdenmukaista ja vertailukelpoista materiaalia riskien hallitsemiseksi ja tulevan riskien arvioinnin taustamateriaaliksi. Tutkimus toteutettiin kaksivaiheisena laadullisena tutkimuksena, jonka empiirinen materiaali kerättiin yhteensä kuudesta suomalaisesta finanssialan organisaatioista. Muodostettu riskien arvioinnin malli validoitiin esittelemällä se kolmelle turvallisuuden ammattilaisille. Malli tarjoaa mahdollisuuden mahdollisimman monipuoliseen tiedon keräämiseen. Mallin taustalla on ajatus uhkien sekä muiden herätteiden kattavasta tunnistamisesta, riskien arvioinnin nopeuttamisesta, yksinkertaistamisesta ja yhdenmukaistamisesta organisaation strategian mukaisesti. Tieto ja tilannekuva ovat aina jossain määrin puutteellisia. On tärkeää, että riskien arvioinnin prosessi on joustava ja dynaaminen. Malli pyrkii esittämään riskien arvioinnin prosessina, jossa olemassa olevaa tietoa käytetään mahdollisimman tehokkaasti hyväksi ja sitä pyritään aktiivisesti täydentämään prosessin edetessä. Mallin tavoite on pyrkiä mahdollisimman kattavaan tietoon ja tilannekuvaan. Tutkimuksen näkökulma on informaatioteknologian ja tietoturvajohtajan näkökulma, mutta mallin muodostamisessa on pyritty käytettävyyteen myös muilla toimialoilla.

Risk assessment is part of the competitiveness of the organization. This makes agile and dynamic approaches crucial. The uncertainty and rapid changes in the operating environment also bring opportunities to the organizations. High- quality risk assessment is a way of differentiation from competitors, to ensure the reliability of the organization and through the identification of trends to find new opportunities for future innovations. Increasingly complex world is creating a need for the organizations to take effective measures faster and faster. Organizations must be able to respond quickly to the challenges posed by rapidly changing business environment. The aim of this study was to establish an agile and dynamic process model for risk assessment based on scientific research, risk management standards and interviews of information security officers. Formed process model is intended to help organizations to harmonize risk assessment process at different levels of organization and to provide consistent and comparable material to control the risks and for the background material for future risk assessment of the organization. The study was conducted as a two phase qualitative study, in which the empirical material was collected from a total of six Finnish financial sector organizations. The generated model of risk assessment was validated by presenting it to three security professionals. The generated model offers the opportunity to collect as versatile data as possible. In the background of this model is the idea of identification of threats as well as other possible triggers. The process of this model is aiming to comprehensive identification of these triggers and speeding up, simplification and harmonization of risk assessment in accordance with the organization's strategy. Information and situational awareness are always to some extent incomplete and, therefore, it is important that the risk assessment process is a flexible and dynamic. Model aims to present a risk assessment as a process in which existing data is used as efficiently as possible and it will actively seek complementarity as process progresses. This model’s objective is to ensure the widest possible knowledge and situational awareness. The approach if this study is an information technology and information security officer point of view, but the formulated risk assessment model is intended to have usability also outside of this context.