https://blog.clarysec.com/fi/categories/risk-management/Recent content in Risk Management on ClarysecHugofiSat, 20 Dec 2025 23:56:42 +0000https://blog.clarysec.com/fi/posts/ciso-guide-audit-ready-forensic-readiness-nis2-dora-iso-27001-gdpr/Sat, 20 Dec 2025 23:56:42 +0000https://blog.clarysec.com/fi/posts/ciso-guide-audit-ready-forensic-readiness-nis2-dora-iso-27001-gdpr/Tämä kattava artikkeli tarjoaa skenaariolähtöisen oppaan tietoturvajohtajille forensisen valmiuden kyvykkyyden rakentamiseksi tavalla, joka täyttää NIS2:n, DORA:n, ISO 27001:n ja GDPR:n tiukat sääntely- ja auditointivaatimukset.https://blog.clarysec.com/fi/posts/ciso-guide-auditing-high-risk-suppliers-nis2-dora/Sat, 15 Nov 2025 10:00:00 +0000https://blog.clarysec.com/fi/posts/ciso-guide-auditing-high-risk-suppliers-nis2-dora/Keskeinen artikkelimme tietoturvajohtajille korkean riskin toimittaja-auditointien hallintaan NIS2- ja DORA-vaatimuksia varten. Opi toteuttamaan riskiperusteinen ja jatkuva auditointistrategia hyödyntämällä hyväksi todettuja viitekehyksiä, politiikkavaatimuksia ja käytännön tarkistuslistoja tiukkojen sääntelyvaatimusten täyttämiseksi.https://blog.clarysec.com/fi/posts/ciso-playbook-nis2-compliant-supply-chain-risk/Fri, 14 Nov 2025 10:00:00 +0000https://blog.clarysec.com/fi/posts/ciso-playbook-nis2-compliant-supply-chain-risk/Tämä pääartikkeli ohjaa tietoturvajohtajia ja vaatimustenmukaisuudesta vastaavia johtajia käytännönläheisesti NIS2-vaatimusten mukaisen toimitusketjun riskienhallintaohjelman rakentamisessa. Se yhdistää sääntelyyn liittyvät havainnot, toteuttamiskelpoiset hallintakeinot ja Clarysecin asiantuntijaohjeistuksen, jotta toimitusketju voidaan muuttaa kriittisestä haavoittuvuudesta häiriönsietokykyiseksi ja todennettavaksi voimavaraksi.https://blog.clarysec.com/fi/posts/data-graveyard-ciso-guide-compliant-auditable-data-disposal/Thu, 06 Nov 2025 10:00:00 +0000https://blog.clarysec.com/fi/posts/data-graveyard-ciso-guide-compliant-auditable-data-disposal/Muunna vanhentuneeseen dataan liittyvä riski strategiseksi eduksi. Tämä perusteellinen opas kattaa kaiken politiikan laatimisesta ja tallennusvälineiden puhdistamisesta tietojen hävittämisen auditointia kestävän näyttöketjun rakentamiseen hyödyntäen Clarysecin asiantuntijatason tiekarttoja ja politiikkatyökaluja.https://blog.clarysec.com/fi/posts/nist-cybersecurity-framework-overview/Mon, 11 Aug 2025 14:30:00 +0000https://blog.clarysec.com/fi/posts/nist-cybersecurity-framework-overview/<p>NIST Cybersecurity Framework (CSF) on noussut yhdeksi maailman laajimmin käyttöönotetuista kyberturvallisuuden viitekehyksistä. Se kehitettiin alun perin kriittistä infrastruktuuria varten, mutta nykyisin kaikenkokoiset organisaatiot hyödyntävät sitä kyberturvallisuusriskien hallinnan parantamiseen.</p> <h2 id="mikä-nist-cybersecurity-framework-on">Mikä NIST Cybersecurity Framework on?</h2> <p>NIST CSF on vapaaehtoinen viitekehys, joka tarjoaa organisaatioille yhteisen kielen ja järjestelmällisen menetelmän kyberturvallisuusriskien hallintaan. Se on suunniteltu joustavaksi, kustannustehokkaaksi ja eri toimialoille soveltuvaksi.</p> <h3 id="viitekehyksen-rakenne">Viitekehyksen rakenne</h3> <p>NIST CSF rakentuu viiden ydintoiminnon ympärille:</p> <h4 id="1-tunnista-id">1. Tunnista (ID)</h4> <ul> <li><strong>Omaisuudenhallinta</strong>: ymmärrys siitä, mitä on suojattava</li> <li><strong>Liiketoimintaympäristö</strong>: organisaation tehtävän ja sidosryhmien ymmärtäminen</li> <li><strong>Hallintamalli</strong>: toimintaperiaatteet, menettelyt ja prosessit kyberturvallisuusriskien hallintaan</li> <li><strong>Riskien arviointi</strong>: järjestelmiin, henkilöstöön, omaisuuseriin, tietoihin ja kyvykkyyksiin kohdistuvien kyberturvallisuusriskien ymmärtäminen</li> <li><strong>Riskienhallintastrategia</strong>: prioriteetit, rajoitteet, riskinsietokyky ja oletukset</li> </ul> <h4 id="2-suojaa-pr">2. Suojaa (PR)</h4> <ul> <li><strong>Identiteetin- ja pääsynhallinta</strong>: omaisuuseriin ja resursseihin pääsyn hallinta</li> <li><strong>Tietoisuus ja koulutus</strong>: henkilöstön kyberturvallisuusriskitietoisuuden varmistaminen</li> <li><strong>Tietojen suojaus</strong>: tietojen ja tallenteiden suojaaminen niiden riskitason mukaisesti</li> <li><strong>Tietojen suojausprosessit ja -menettelyt</strong>: tietoturvaperiaatteet ja -menettelyt</li> <li><strong>Ylläpito</strong>: järjestelmien ylläpito ja korjaaminen</li> <li><strong>Suojaava teknologia</strong>: tekniset tietoturvaratkaisut</li> </ul> <h4 id="3-havaitse-de">3. Havaitse (DE)</h4> <ul> <li><strong>Poikkeamat ja tapahtumat</strong>: poikkeavan toiminnan nopean havaitsemisen varmistaminen</li> <li><strong>Tietoturvan jatkuva seuranta</strong>: järjestelmien ja verkkojen seuranta tietoturvatapahtumien varalta</li> <li><strong>Havaitsemisprosessit</strong>: havaitsemisprosessien ylläpito ja testaus</li> </ul> <h4 id="4-reagoi-rs">4. Reagoi (RS)</h4> <ul> <li><strong>Reagoinnin suunnittelu</strong>: asianmukaisten reagointisuunnitelmien laatiminen ja toteuttaminen</li> <li><strong>Viestintä</strong>: reagointitoimien koordinointi sidosryhmien kanssa</li> <li><strong>Analyysi</strong>: sen varmistaminen, että reagointitoimet perustuvat analyysiin ja forensiikkaan</li> <li><strong>Lieventäminen</strong>: kyberturvallisuustapahtumien vaikutusten rajaaminen</li> <li><strong>Parannukset</strong>: opittujen asioiden sisällyttäminen reagointistrategioihin</li> </ul> <h4 id="5-palaudu-rc">5. Palaudu (RC)</h4> <ul> <li><strong>Palautumisen suunnittelu</strong>: asianmukaisten palautumissuunnitelmien laatiminen ja toteuttaminen</li> <li><strong>Parannukset</strong>: opittujen asioiden sisällyttäminen palautumisstrategioihin</li> <li><strong>Viestintä</strong>: palautumistoimien koordinointi sidosryhmien kanssa</li> </ul> <h2 id="toteutustasot">Toteutustasot</h2> <p>Viitekehys määrittää neljä toteutustasoa, jotka kuvaavat, missä määrin organisaation kyberturvallisuusriskien hallintakäytännöt ilmentävät viitekehyksessä määriteltyjä ominaisuuksia:</p>