Kyberturvallisuus on johdon asia

Tiedon hyödyntäminen organisaatioissa on muuttunut radikaalisti viime vuosien aikana. Modernit organisaatiot ovat aiempaa enemmän riippuvaisia teknologiaratkaisuista ja digitaalisessa muodossa tallennetusta tiedosta. Uusinta teknologiaa hyödyntämällä on mahdollista saavuttaa kilpailuetua ja sen avulla prosesseja voidaan viedä läpi automatisoidusti, aiempaa nopeammin.

 

Kyberturvallisuudesta on tullut organisaation suojaamisen lisäksi myös liiketoimintamahdollisuus, ja sen paikka tänä päivänä on hallituksen ja ylimmän johdon agendalla — ei vain IT-osastolla. Myös sijoittajat, viranomaiset, asiakkaat ja lainsäätäjät haastavat yritysjohtoa osoittamaan aktiivisesti huolellisuutta sekä hyvää kyberturvallisuus- ja tietosuoja-asioiden hallintaa.

Digiajan IT-johtaja tekee bisnestä

Digitalisaatio on ehkä useimmin esiintyvä termi megatrendeistä ja toiminnan tehostamisesta puhuttaessa. Sen myötä palvelut ovat saatavilla vuorokauden ympäri, kaikkialta ja millaisella päätelaitteella tahansa. On jopa väitetty, että digitalisaation myötä tulevaisuudessa kaikki yritykset ovat ohjelmistoyrityksiä.

Digitalisaatio on tuonut merkittäviä muutoksia organisaatioiden IT-johdon toimenkuvaan, ja muutosvauhti vain kiihtyy. Samalla vaatimukset tietohallintojohtoa kohtaan ovat kasvaneet. KPMG:n ja Harvey Nashin CIO Survey 2016:n1 mukaan tietohallintopäättäjiltä odotetaan liiketoiminnallista luovuutta ja strategista osaamista.

Oikeanlaista osaamista on hankittava niin oman organisaation sisälle kuin myös oikeiden yhteistyökumppaneiden kautta. Jos IT-johto ei pysty vastaamaan digitalisaation haasteeseen, liiketoimintaa mahdollistava IT siirtyy liiketoimintayksiköiden vastuulle ja perinteisen IT-yksikön rooliksi jää vain toimistoverkon IT-järjestelmien ylläpitäminen.

Kokonaisuuden hallinnan ja kehittämisen ohella fokuksen tulisi pysyä uuden teknologian tarjoamissa hyödyissä ja liiketoimintamahdollisuuksissa. Näissä kyberturvallisuudella on iso rooli.

Kyberturvallisuudesta puhuttava käytännönläheisesti

Tietoturva- ja kyberuhilta suojautumisesta on tullut digitaalisen liiketoiminnan elinehto. Turvallisuuden varmistaminen ohjaa entistä enemmän hankintoja ja kehitystä. Käyttökokemus ja mielikuva palveluiden turvallisuudesta2 ohjaavat asiakkaiden toimintaa. Digitaalisuuden mukanaan tuomien riskien ja niihin sisältyvien mahdollisuuksien luonteen ja vaikutuksen oikea ymmärtäminen ohjaa hyödyntämään uuden teknologian mahdollisuuksia liiketoiminnassa.

Johdon kiinnostus voi lopahtaa, jos keskustelu painottuu liikaa teknologiaan ja riskeihin.

Liiallinen kyberturvallisuudesta puhuminen vailla riittävää konkretiaa saattaa vieraannuttaa yritysjohdon aiheesta. Tutkimuksen mukaan merkkejä tästä on jo näkynyt3 Yhdysvalloissa, jossa teknologiapainotteisten kyberturvahankkeiden on aiempaa vaikeampi saada rahoitusta. Johdon kiinnostus voi lopahtaa, jos keskustelu painottuu liikaa teknologiaan ja riskeihin – erityisesti, jos riskejä ei ole onnistuneesti sidottu oman organisaation toimintaan. Yritysten on syytä keskittyä juuri niiden keskeisiin liiketoimintaprosesseihin vaikuttaviin, todennäköisiin riskeihin ja mahdollisuuksiin. Esimerkiksi tietoturvahyökkäysten tai virushälytysten määrän seuraaminen ei ole strategisesti merkityksellistä. Sen sijaan tietoturvainvestointien kannattavuutta ja tehokkuutta on seurattava.

Tietoturvariskeihin varautuminen perustuu usein suppeaan ymmärrykseen suojausratkaisuiden ja -tarpeiden todellisesta tilasta. Yritykset ottavat usein käyttöön ratkaisuja vailla riittävää käsitystä suunnitellun toimenpiteen tarpeellisuudesta ja kustannustehokkuudesta. Hyvin hoidetussa tietoturvassa piilee kuitenkin riskienhallinnan lisäksi mahdollisuus järkeistää yrityksen toimintaa, lisätä asiakkaiden luottamusta ja tehostaa myyntiä.

Kyberriskien hallinnasta kilpailuetua

Riskit on ymmärrettävä, jotta niitä voidaan hallita asianmukaisesti. Kyberriskit ovat eri organisaatioissa erilaisia ja ne voivat olla myös organisaatio- ja järjestelmäkohtaisia. On aivan eri asia, pyritäänkö suojaamaan esimerkiksi potilastietojen luottamuksellisuutta vai voimalaitoksen ohjausjärjestelmien käytettävyyttä. Oleellista on myös ymmärtää se, puhutaanko omien järjestelmien suojaamisesta vai ulospäin myytävien palveluiden tai tuotteiden suojaamisesta, koska sekä riskien lähteet että niiden vaikutukset voivat näissä olla hyvin erilaisia. Kyberturvallisuuteen liittyvistä trendeistä ja uhkista on saatavilla ajantasaista tietoa4, jota on mahdollista käyttää apuna omassa riskienhallintatyössä.

Keskeisten riskien tunnistaminen mahdollistaa sen määrittämisen, kuinka riskejä halutaan luokitella ja käsitellä. Tehokas riskienhallinta vapauttaa organisaatiolle sekä aikaa että mahdollisuuksia tutkia ja laajentaa liiketoimintamahdollisuuksiaan ja rakentaa luottamusta markkinoilla. Hyvin tunnistetut riskit ja niiden pohjalta toteutetut tietoturvaratkaisut ja toiminnan suunnittelu voivat pienentää merkittävästi maineriskin ja taloudellisen vahingon laajuutta poikkeustilanteissa ja toisaalta helpottaa tuotteen myyntiä.

Ovatko osaaminen ja resurssit riittäviä?

KPMG:n kansainvälisen CEO Outlook -tutkimuksen5 mukaan yritysjohdosta peräti 72 prosenttia arvioi, ettei heidän yrityksensä ole riittävän varautunut kyberhyökkäyksiin. Tietoturva onkin noussut yritysjohtoa huolettavien asioiden joukossa korkealle. Jos jokin tietoturvariski toteutuu, markkinoiden ja asiakkaiden reaktio riippuu siitä, kuinka organisaatio kykenee vastaamaan ja mitoittamaan toimenpiteensä tilanteessa.

Varautumisessa Yhdysvallat näyttää olevan merkittävä poikkeus, sillä lähes yhdeksän kymmenestä tutkimukseen vastanneesta toimitusjohtajasta kertoi yrityksensä olevan hyvin varautunut kyberuhkiin. Sen sijaan Euroopassa ja Aasiassa kolmannes vastaajista kertoi, ettei kyberosaaminen ole heidän yrityksessä riittävällä tasolla.

Vakavista tietomurroista kärsineet yritykset ovat luulleet, että heidän varautumisensa on kunnossa.

Havainnointi vaatii jatkuvaa aktiivista toimintaa ja osaavaa henkilöstöä. Monet vakavista tietomurroista tai palvelunestohyökkäyksistä kärsineet yritykset ovat luulleet, että heidän varautumisensa on kunnossa.

Organisaatiot eivät usein pysty tekemään asiantuntevia päätöksiä kyberturvan suhteen näkemyksen puutteesta johtuen. Yritykset näyttävät hapuilevan muun muassa tietoturvainvestointien kannattavuuden ja takaisinmaksuajan arvioinnissa. Johdolla pitäisikin olla parempi käsitys kyberhyökkäysten kustannuksista ja tietoturvapanostusten vaikutuksista niihin.

Useiden kansainvälisten suuryritysten hallituksissa on kyberammattilaisia ja digitalisaation erityisasiantuntijoita. Suomessa puolestaan Keskuskauppakamarin ja Kauppakamarien alkuvuonna 2015 toteuttama PK-hallitusbarometri6 osoitti, ettei digitalisaatio-osaaminen ole vielä noussut keskeiseen rooliin yritysten hallituksissa: enemmistö vastaajista ei pitänyt uuden teknologian osaamista erittäin tärkeänä tai tärkeänä hallituksen jäsenen osaamisalueena.

Kyberturva on asenne, ei osasto

Tietoturvan taso riippuu organisaation heikoimmasta lenkistä. Kyberturva koskettaa kaikkia organisaation työntekijöitä. On tärkeää varmistaa, että organisaation jokaisella tasolla on työtehtävien kannalta oleellinen ja riittävä tietämys kyberturvallisuuteen liittyvistä uhkista ja mahdollisuuksista. Kyberturva on asenne, ei osasto. Yritysjohto voi vaikuttaa yleiseen asenteeseen omalla esimerkillään.