Takana on taas pitkittynyt pimeä talvi, kurjistunut maailmantilanne ja kaikkialla trendaava kiire. Varsinkin kyberturvan kohdalla uhkakentän laajenemisen vauhti on ollut lähes räjähdysmäinen. Geopolittisen turbulenssin lisäksi huijaukset ja kyberrikollisuus ammattimaistuvat, tekoäly hämärtää käsitystämme siitä, mikä on todellista ja tietoturvaa koskeva lainsäädäntökin uudistuu.
Eipä ihme, jos kaikennielevä uhkaähky on todellisuutta monessa organisaatiossa. Lainsäädäntö laajentaa vastuun tietoturvasta entistä syvemmälle organisaation johtoon, yltääkö myös kyberturva-ammattilaisten ammattisairaus, eli burnout, laajemmalle organisaatioon? Ammattilaisia on jo pitkään ollut vähän ja vastuita paljon. Uhkia riittää, eivätkä ne nuku.
Itse lähtisin purkamaan jumeja samoilla keinoilla, kuin talven jäljiltä jäykistynyttä kehoani: joogasta tutuilla ajatusmalleilla.
Kirkasta näkymää
Vastuullinen liiketoiminta tähtää aina jatkuvuuteen. Uhat ja riskit ovat aina kuuluneet toiminnan luonteeseen. Niiden kanssa on aina tultu toimeen. Nyt niitä on vain samanaikaisesti paljon, monenlaisia, nopeasti muuttuvia ja luonteeltaan uudenlaisia. Uhkaähky voi nopeasti lamauttaa organisaation toiminnan, mikäli huomio karkaa kauas siitä, minkä takia organisaatio on olemassa.
Kirkasta siis itsellesi ja muille, mikä on ydinliiketoimintaanne ja mikä tekeminen tuottaa sitä arvoa, jonka vuoksi organisaatiomme on olemassa. Omaksu myös holistinen näkökulma: kyberturva koostuu monesta yksittäisestä osa-alueesta, mutta sitäkin tulisi hallita kokonaisuutena, organisaation toiminnan mukaiseen kyberturvastrategiaan perustuen.
Kasvata resilienssiä perusteiden kautta
Joogassa harjoitus lähtee rakentumaan perusteiden kautta: ”Keskity hengitykseen ja virittäydy olemaan läsnä”. Samoilla eväillä uhkaähkystä kärsivän organisaation jumitus alkaa aukeamaan: Tunnistetaan, mikä on arvokasta ja sovitetaan se uhkaympäristössä toimintakelpoiseksi. Kuten jooga, myös tietoturva on toimivaa, kun se on jatkuvaa. Kaikki alkaa perusteista.
Liiketoiminnan jatkuvuus on yritysjohdon vastuulla. Kyberhygieniaa ei saateta kuntoon kertahankinnoilla, arkkitehtuuri ei ole iänikuinen, eikä ihmispalomuureille riitä yksittäinen koulutus. Jatkuvuus vaatii jatkuvuuteen tähtäävän kyberturvakulttuurin. Kulttuuri luo resilienssiä jatkuvan kehityksen ja strategisten investointisuunnitelmien kautta.
Riskiarvioiden tulee päivittyä, ja resilienssi syntyy parhaiten hyvin suunniteltujen harjoitusten kautta. Uhka ei häviä, se muuttuu. Kulttuurin ansiosta ähky puuttuu.
Yksinkertaista
Monimutkaisuus on kyberturvan vihollinen. Monimutkaiset ja epäloogiset rajaukset hidastavat toimintaa, kätkevät tietoa ja nostavat kustannuksia. Fiksusti hankitut palvelukokonaisuudet toimivat lähtökohtaisesti optimaalisemmin sekä turvallisemmin. Ne mahdollistavat järkevän tietoturvahallinnoinnin ja yksinkertaisemmat sekä samalla vähempiriskiset toimitusketjut.
Yksinkertaisuus on myös vahva työkalu kaikkein monimutkaisimpiakin uusia teknologisia haasteita kohtaan, kuten esimerkiksi deepfake-väärennöksiin perustuviin ammattilaisrikollisten huijausyrityksiin. Tutulla äänellä ja naamalla määrättyä rahansiirtoa ei välttämättä saa parhaiten kiinni tekoälyntunnistukseen tarkoitetulla algoritmillä, vaan yksinkertaisin ja toimivin keino saada uusiakin uhkia kuriin ovat hyvin suunnitellut ja jalkautetut liiketoimintaprosessit sekä vastuullisen toiminnan mahdollistava yrityskulttuuri.
Ähkyn kanssa ei tarvitse jäädä yksin. Kun hengityksen ja läsnäolon avulla kybertoimintakunto on palautunut, voidaan lainsäädännön ohjenuoraa seuraten ja sopivien palvelukumppanien kanssa kulkea kohti mahdollisimman hyvää ja harjoittelun myötä kokonaisvaltaisempaa kykyä estää, reagoida ja palautua kyberpoikkeamista.
Uhkakentästä huolimatta kuljemme kesää kohti. Aurinkotervehdys ja loppurentoutus: Yhdessä tästäkin selvitään!
Lue myös WithSecuren Mikko Hyppösen tuore näkemys uhkakentästä.
