Riskien-, insidenttien- ja auditointien hallinta

Riskien-, insidenttien- ja auditointien hallinta lyhyesti

Toteutamme riskien-, insidenttien- ja auditointien hallintakokonaisuuden. Kokonaisuus kilpailee vahvasti ketteryydessä ja käyttöönoton helppoudessa suurten ja ei-niin-ketterien järjestelmien kuten RSA Archerin kanssa. Tämä ratkaisu soveltuu toimialalle kuin toimialalle, eikä se vaadi isoja käyttöönottoja tai koulutuksia ja sertifiointeja. Ratkaisu sopii niin liiketoiminnan kuin IT:n tarpeisiin.

Alla olevat järjestelmän kuvaukset voidaan pitää esimerkkeinä ja käytännön suosituksina. Järjestelmä konfiguroidaan kuitenkin asiakaskohtaisesti. Samalla muokataan tarvittavat ohjeet ja koulutusmateriaalit.

Mitä Mint Security toimittaa

Tavoitteenamme on poistaa tarve erillisille sovelluksille ja liitttää yhteen loogisesti yhteenkuuluvia, mutta perinteisesti erikseen käsiteltyjä asioita. Kaikki hallintakokonaisuuden osat ovat toteutettavissa myös erikseen.

Järjestelmän käyttö poistaa raportoinnin ongelman verrattuna esimerkiksi Excelin käyttöön, kun asiat on kirjattu järjestelmään, erilaisten kokoelmaraporttien tuottaminen on automaattista. Toteutamme asiakkaalle valmit dashboardit ja lisäksi käytössä on alustan kattavat hakuominaisuudet. Tehokas ja yksinkertasiesti koottava raportointi parantaa tuottavuutta.

Ratkaisun tekninen toteutus perustuu Atlassian JIRA-järjestelmään. Useassa yrityksessä on JIRA käytössä, joten käytön ohjeistus ja käyttöönottokynnnys ovat tällöin erittäin matalia. Riskien-, insidenttien- ja auditointienhallinasta on mahdollista tehdä läpinäkyvää tai suojatumpaa, riippuen JIRAan määriteltävistä käyttöoikeuksista. Käyttöoikeus ja valtuushallinta yhdistetään yrityksen käyttäjähakemistoon, mahdollisesti jo olemassa oleviin rooleihin.

Yhteenvetona:

  • Poistamme tarpeen erillisille sovelluksille
  • Liitämme yhteen loogisesti yhteen kuuluvia mutta perinteisesti erikseen käsiteltyjä asioita
  • Poistamme erillisen dokumentaation tarpeen
  • Tehostamme raportointia
  • Lisäämme läpinäkyvyyttä ja tehokkuutta
  • Asiakkaiden tarpeet ja ratkaistavat haasteet

Riskienhallinnan ja riskirekisterin haastena on useimmiten sen tehokas jalkauttaminen organisaatioon. Useasti riskienhallinta voi olla johdon tai riskienhallintayksikön tehtävä, tehtävä jota suoritetaan 1-2 kertaa vuodessa. Riskienhallinta on tehokasta vasta kun se jalkautetaan myös organisaatioon ruohonjuuritasolle. Ruohonjuuritasolla voidaan syöttää ”mikroriskejä”, joista tietoa sitten aggregoidaan suuremmalle abstraktiotasolle saavuttaen lopulta ylimmän ERM-tason.

Tarkemmin menetelmistämme ja työkaluistamme

Järjestelmän komponentit

Alla olevassa kuvassa voidaan nähdä roolit, jotka toimivat järjestelmässä sekä jokaisen kokonaisuuden tuottamaa ja ylläpitämää tietoa. Kuvan oikeassa alareunassa oleva neljännes on optionaalinen – niille yrityksille, jotka jo tänä päivänä ohjaavat it- ja projektityötään JIRAn avulla.

Toteutus

Toteutus on aina asiakaskohtainen, joten alla kuvataan tyypillinen toteutus ja käyttöönotto:

  • Asennetaan JIRA ja tarvittavat lisäosat
  • Määritellään asiakaskohtaiset kentät ja niiden arvot
  • Konfiguroidaan riskirekisteri
  • Riskiworkshop – viedään riskit rekisteriin
  • Viedään menneitä insidenttejä järjestelmään
  • Suunnitellaan yksi auditointi
  • Muokataan ohjeita organisaatiolle sopiviksi ja koulutetaan käyttäjät

Miltä järjestelmä voi näyttää?

Alla oleva kuva on pääriskinäyttö. Tämän lisäksi järjestelmän mukana tulee esikonfiguroidut insidentti- ja auditointi sekä workshop-näytöt. Esittelemme tämän kaiken demotilaisuuksissamme.

Riskirekisteri

Kokemuksemme turvin olemme keränneet valmiita riskejä riskirekisteriin. Riskit ovat aina yrityskohtaisia, mutta riskiworkshopeissa pääsee hyvin nopeasti tulokselliseen työskentelyyn käyttämällä valmiita pohjia ja ideoita.

Riskirekisteripohjamme kattaa esimerkiksi seuraavia osa-alueita:

  • Toimitilariskit
  • Pilviriskit
  • Sovelluskehitysriskit
  • GDPR-riskit
  • Liiketoimintariskit
Atlassian JIRA

JIRA on kehittynyt asianhallintajärjestelmä, jota voi konfiguroida hyvin vapaasti vastaamaan kulloinkin tarvittavaa prosessia ja siihen liittyvää tietoa. JIRA on kustannustehokas ratkaisu ja se toimii sekä on-premises että pilvessä. JIRA on laajalle levinnyt, hyvin tuettu ja jatkuvan kehityksen alla oleva alusta.

 

JIRA Risk Register
JIRA Risk Register -komponentti toimii osana tätä järjestelmää. Tämän komponentin takana on Australialainen ProjectBalm.
Integraatiot

JIRA-alusta integroituu moneen eri järjestelmään. Alla on listattu meidän näkökulmastamme olennaisimmat integraatiot, joista erityisesti riskien-, insidenttien- ja auditointienhallintajärjestelmä hyötyy.

  • Veracode
  • HackerOne
  • Splunk
  • NCSC-FI VULNERABILITIES SUMMARY -sähköpostit
  • ZenDesk
  • ServiceNow