Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa

Abstract

Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, tietoturvapolitiikka sekä erilaiset riskienhallinnan mallit, kuten PMBOK, ISO31000 ja IRM. Näiden lisäksi tieto- ja kyberturvallisuuden prosesseja pyritään helpottamaan erilaisilla työkaluilla, kuten ISO27001, VAHTI ja Katakri. Riskienhallinnan mallit pitävät sisällään riskien arvioinnin, mutta käsittelevät arviointiprosessia hyvin pintapuolisesti. Riskien arvioinnin perustuminen arvioijan omien kokemusten ja ajatusten päälle pidetään jossain määrin ongelmallisena. Tutkimus toteutettiin toimeksiantona ja sen tarkoitus oli tarjota tukea riskien arvioinnin prosessin kehittämiseen. Tutkimuksessa pyrittiin paikantamaan toimeksiantajan riskien arviointiprosessin ongelmakohdat ja rakentamaan riskien arvioinnin malli niin, että sen voi yleistää käytettäväksi myös muihin organisaatioihin. Tutkimuksen tulokset osoittavat, että myös todennäköisyyksien ennustamiseen on mahdollista rakentaa sen uskottavuutta tukeva malli, joka ajan kuluessa tarjoaa vankan pohjan riskien arviointiprosessiin. Tutkimus toteutettiin kvalitatiivisena tapaustutkimuksena ja pääasiallinen empiirisen datan keräämiseen käytetty metodi oli kvalitatiivinen semi-strukturoitu haastattelu. Riskien arvioinnin mallista muodostui iteratiivinen malli, joka nojaa olemassa olevaan riskienhallinnan malliin. Mallin tavoitteena oli syventää riskienhallinnan henkilökunnan tietoa organisaation riskeihin liittyen ja sitä kautta intuition vaikutuksen vähentäminen riskien arvioinnissa.

Risk management and risk assessment can be viewed from several different angles and they have multiple guiding factors. The organization’s strategy, culture and information security policy, as well as risk management models like PMBOK, ISO31000 and IRM can all be seen as guiding factors. In addition to these, there are multiple toolboxes designed to make it easier to implement these models in everyday actions. Tools like these include ISO27001, VAHTI and Katakri. The models of risk management include risk assessment, but they handle it very superficially. Basing risk assessment on the intuition of the assessor can be seen as a problem. The study was conducted as an assignment and the aim of the study was to provide support for developing the risk assessment process inside the principal organization. The study sought to pinpoint the problems of the risk assessment process in the organization and to build a model that can be generalized outside the organization as well. The results of the study show that it is possible to build a model to support the estimation of the risk probabilities. In time, by using the model the organization is able to build a strong database considering its risks and to use the database as a justification for assigned probabilities. The study was conducted as a qualitative case study and the main data collection method was a qualitative semi-structured interview. The model for risk assessment formed to be an iterative model that bases itself on the existing model. The aim of the model was to provide a better foundation for the risk management professionals to do their work and estimate the risks’ probabilities. Through this foundation it is possible to weaken the effect of intuition in the process or at least provide a good justification for the level of probability of the risks.