Blogit

Tietoturvariski on aina myös liiketoiminnan riski

Kyberrikollisuus on PWC:n tuoreen tutkimuksen mukaan yleisin yrityksiin kohdistuvista taloudellisista väärinkäytöksistä Pohjoismaissa. 37 % pohjoismaisista yrityksistä kertoi tutkimuksessa joutuneensa kyberhyökkäyksen uhriksi. “Tietoturvan pitää olla yrityksessä jokapäiväinen asia ja jokaisen vastuulla”, sanoo kyberturvallisuuden asiantuntija Anne Hintzell PWC:ltä.

“Kun tehdään tietoturvan kehittämiseen liittyviä päätöksiä, pitää näkökulman olla liiketoiminnan näkökulma. Mielenrauhaa ei kannata hakea yksittäisten teknisten ratkaisujen avulla. Ei nimittäin ole erikseen liiketoiminnan riskejä ja tietoturvariskejä. Jos yrityksen digitaalisissa palveluissa tai IT-järjestelmissä on käyttökatkoja, se on liiketoiminnan ongelma“, sanoo Anne Hintzell. Hän työskentelee kyberturvallisuuden asiantuntijana PwC:n riskienhallinnan yksikössä.

Yritysjohdon on ratkaistava, ovatko keinot suojautua kyberhyökkäyksiltä oikeassa suhteessa yrityksen arvioimaan uhkaan ja suojattavien kohteiden arvoon. Tietoturva-asiantuntijoiden vastuulla on kertoa johdolle kyberhyökkäysten vaikutuksista liiketoimintaan. Johdon taas tulee päättää hyväksyttävä riskitaso. Kuinka pitkä käyttökatko liiketoimintakriittisessä järjestelmässä voidaan hyväksyä? Entä jos yritys ei vaikka pysty lähettämään laskuja kahteen päivään?

Yritysjohto ei kuitenkaan välttämättä tiedä, mihin kaikkeen kyberhyökkäys voi vaikuttaa.

“Kokemukseni perusteella liiketoimintajohto ei välttämättä tiedä organisaation kyberturvan tilaa ja riskejä, tai sisäisiä ja ulkoisia uhkia. Puhumattakaan siitä, että tunnistettuja uhkia vastaan olisi varauduttu suunnitelmallisesti”, sanoo Hintzell.

“Monille yrityksille on edelleen vaikeaa kehittää tietoturvaa pitkäjänteisesti sekä arvioida ja tunnistaa riskejä jatkuvasti kertaluonteisen harjoituksen sijaan. Myös tietoturvan mittaaminen ja siihen laitettujen investointien vaikuttavuuden arviointi on haastavaa.”

Pitäisikö jokaisessa organisaatiossa sitten olla tietoturvajohtaja?

“Ei ole niin, että tietyn kokoisessa yrityksessä pitäisi olla tietoturvajohtaja, mutta tietoturvan on oltava ylimmän johdon asialistalla. Tietoturvasta vastaavan johtajan rooli on tärkeä siksi, että johto saa riittävästi ajantasaista tietoa tietoturvasta. Tietoturva-ammattilaisen profiili on muuttunut niin, että tehtävässä vaaditaan entistä enemmän myös kykyä viestintään ­– yhtään väheksymättä teknistä tietoturvaosaamista.”

Oleellista Hintzellin mukaan on, että yritysjohto saa tietoturvaan liittyvää riskitilannetietoa ymmärrettävässä muodossa. Kun kaikkia riskejä ei voida torjua, on tehtävä tietoinen päätös niistä riskeistä, jotka voidaan hyväksyä. On ratkaistava, minkä tasoisen riskin yritys on valmis ottamaan, jotta se pystyy toimimaan ja varmistamaan perusliiketoimintansa.

“Luotettavuus ja tietoturvasta huolehtiminen kannattaa nähdä myös liiketoimintaetuna ja lisäarvona palveluiden tuotannossa.”

Kaikki lähtee kuitenkin ihmisistä, yrityksen työntekijöistä. Tietoturvaosaamista voi vahvistaa kannustavan ja aktiivisen yrityskulttuurin avulla. “Tietoturvan pitää olla yrityksessä jokapäiväinen asia ja jokaisen vastuulla,” sanoo Anne Hintzell.

“Asioihin pitää myös puuttua. Jos työkaveri jättää neuvotteluhuoneeseen läppärinsä aukinaisena tai käytävällä näkyy ihmisiä, joilla ei ole kulkulupia, pitäisi kaikilla työntekijöillä olla vastuuntuntoa ja valmius huomauttaa asiasta”, sanoo Hintzell.

Tietoturvan huomioimisesta voi myös palkita antamalla positiivista huomiota teoille, jotka ovat tietoturvan kannalta hyviä. Henkilöstöä kannattaa kannustaa ilmoittamaan matalalla kynnyksellä kaikista kyberturvallisuuteen ja väärinkäytöksiin liittyvistä epäilyttävistä havainnoista.

“Uusista teknologioista haetaan joskus pistemäistä ratkaisua johonkin tietoturvaan liittyvään haasteeseen. Valitettavasti tästä ei ole apua, kun työntekijä haksahtaa vaikka tietojenkalasteluviestiin. Vaikka tekniset ratkaisut olisivat kuinka edistyneitä, ne eivät auta, jos yrityksen tietoturvan perusta ei ole kunnossa”, korostaa Anne Hintzell.

Lue myös: Suomalaisten pk-yritysten on valmistauduttava kyberuhkiin

Avainsanat:

Tietoturva

Lue lisää uudesta työstä

Artikkeli
Merikaapeli
11/2024 DNA Yrityksille

Miten DNA huolehtii yhteyksiensä toimivuudesta kriittisen merikaapelin vaurioituessa?

Artikkeli
11/2024 DNA Yrityksille

Tekoäly on sitä mitä teemme siitä – ja samaan aikaan sekä uhka että mahdollisuus

Artikkeli
11/2024 DNA Yrityksille

Onko yritysverkollesi paras vaihtoehto SD-WAN vai MPLS? Vai molemmat? 

Artikkeli
11/2024 DNA Yrityksille

Asiantuntijat mukanasi IT-ratkaisujen suunnittelusta jatkuvuudenhallintaan – kehitystä tukien ja skaalautuen

Miltä näyttää teknologian vuosi 2024?

Uljaan uuden huomisen onnennumero on 14 – nimittäin niin monta nousevaa teknologiatrendiä esitellään DNA:n vuoden 2024 teknologiatrendiraportissa! Lue valppaasti, sillä monet näistä trendeistä tulevat jättämään jälkensä historiaan.

 

Pysy digitalisaation vauhdissa.

Tilaa DNA Yrityksille -uutiskirje sähköpostiisi!

Hyödynnetäänkö teillä jo uuden työn mahdollisuuksia? Ota yhteyttä – katsotaan yhdessä parhaat ratkaisut yrityksellesi.