Tietoturvapäällikkönä sinulla on vahva intressi saada koko organisaation laajuinen riskienhallintatyö toimimaan. Se tukee sekä omia tavoitteitasi tietoturvatyössä, mutta myös koko organisaation toiminnan jatkuvuutta ja resilienssiä. Riskipaja on hyvä keino saada yrityksesi riskienhallintatyö käyntiin.
Kattavaan riskienhallintatyöhön liittyy tietysti kaikenlaista. On riskienhallinnan prosessia, riskienhallintapolitiikkaa, riskirekisteriä ja riskityön ohjaamista.
Mutta ei ajatella asiaa heti liian laajasti. Ensisijainen tavoite on saada riskienhallintatyö liikkeelle!
Aloita omasta esihenkilöstäsi ja pyydä lupa järjestää riskipaja. Käytä vaikka seuraavaa apuna:
“Haluaisin auttaa varmistamaan, että meidän yrityksen liiketoiminta jatkuu turvallisesti ja tehokkaasti jatkossakin. Haluaisin järjestää riskipajan, jossa tunnistetaan millaiset ICT-riskit uhkaavat meidän yrityksen toiminnan jatkuvuutta ja asiakkaiden tietoja. Voisin toimia ensimmäisellä kerralla koordinaattorina ja organisoida tämän riskipajan. Otetaan mukaan seuraavat asiantuntijat a,b,c. Lopputuloksena tuotan katsauksen ICT-riskeihin ja konkreettisia kehitysehdotuksia, miten näiltä riskeiltä voisi välttyä.”
Jos et saanut lupaa, niin… ota riski, ja järjestä kokous silti!
Etene seuraavasti:
1) Aikatauluta ensimmäinen riskipaja. Lähetä osallistujille kutsu 1,5h työpajaan. Kerro mikä on riskipajan tarkoitus ja mitä siellä tullaan tekemään. Pyydä osallistujia etukäteen miettimään, millaisia tavoitteita organisaatiolla ja organisaation ICT-yksiköllä on, ja millaiset asiat uhkaavat näitä tavoitteita.
2) Kertaa itsellesi riskienhallinnan perusasiat jostakin alan julkaisusta, kuten oppikirjasta, videosta tai muista vapaasti saatavilla olevista materiaaleista. Huomioi, että nämä julkaisut ovat usein erittäin laajoja ja kattavia. Niiden syövereihin uppoaa helposti ja sinut saattaa vallata ajatus, että asiat eivät ole täysin hallussa. Eikä tarvitsekaan olla, ei vielä tässä vaiheessa!
3) Valmistele itsellesi pieni tukimateriaali. Tee yhden dian esitys toimintaympäristöstä ja tavoitteista, jota voi sitten hyödyntää pajassa keskustelun tukena. Valmistele myös dia, jota voi käyttää apuna arvioimaan uhkien toteutumisen todennäköisyyttä ja vaikutuksia.
4) Organisoi pajan kulkua. Kertaa riskipajan alussa mitä ollaan tekemässä. Kysy millaisia tavoitteita osallistujat tunnistivat ja mikä tavoitteita uhkaa. Auta saamaan keskustelu liikkeelle. Kirjaa keskustelussa ilmenneitä asioita talteen. Keskeistä on tunnistaa, millaiset asiat uhkaavat ICT-yksikön ja organisaation tavoitteita. Keskustelkaa myös siitä, millainen vaikutus tunnistetuilla uhkilla on ja kuinka todennäköisesti ne tapahtuvat. Ja mitä asioille voisi tehdä, jotta uhka ei toteutuisi. Yhtäkkiä huomaat, että teillähän on kirjattuna jo ensimmäinen riski. Hienoa!
5) Muodostakaa pajassa 3-5 ylätason riskikuvausta, jotka sisältävät edellä mainittuja asioita. Huomioi edellä mainitsemani sana “ylätason”. Pajassa käy nimittäin helposti niin, että yksittäisen tietojärjestelmän yksittäiset riskit vievät helposti huomion. Organisaatiosi johtoa kuitenkin kiinnostaa enemmän laajemman kuvan riskit.
6) Pajan jälkeen viimeistele kirjaamanne asiat ja toimita ne eteenpäin. Hienointa olisi, jos voisit esitellä raportin suoraan organisaationne johdolle.
7) Sovi lopuksi tärkein asia eli miten riskienhallintatyötä jatketaan yhdessä eteenpäin. Mihin riskit kirjataan? Miten ja missä niiden edistymistä seurataan? Ja ehkä tärkeintä, milloin ja missä järjestetään seuraava riskipaja?
Vastaa