Kyberturvallisuuden ylläpitäminen on jatkuvaa toimintaa, joka edellyttää riskitietoon perustuvia investointipäätöksiä. Kustannus-hyötyanalyysi toimii kehyksenä organisaation tietoturvainvestoinneille.
Kustannus-hyötyanalyysin avulla määritetään kyberturvallisuuden hallintatoimenpiteiden kustannustaso, suhteutetaan kustannukset vallitseviin riskeihin sekä priorisoidaan investoinnit liiketoiminnan tavoitteiden mukaisesti.
Kyberturvallisuuden suorat ja epäsuorat kustannukset
Tietoturvainvestoinnit nähdään usein kustannuksena, mutta ne ovat myös viesti vastuullisesta toiminnasta. Investoinnit tulee aloittaa tietoturvan perusasioiden, kuten verkon ja laitteiden, suojaamisesta, ja investointeja tulee jatkaa monitorointi- ja valvontakyvyn kehittämiseksi. Euroopassa yritykset investoivat 10–15 prosenttia IT-budjetistaan tietoturvan ylläpitämiseen.
Kyberturvallisuuden suorat kustannukset liittyvät organisaation omaisuuden ja tietojen suojaamiseen tarkoitettujen turvatoimien toteuttamiseen ja ylläpitoon, niitä ovat esimerkiksi ohjelmistot, laitteistot, testaus ja henkilöstökulut. Epäsuorat kustannukset syntyvät kyberhyökkäysten aiheuttamista menetyksistä, kuten tietomurtojen korjaamisesta ja liiketoiminnan keskeytyksistä.
Kyberturvallisuustiimin keskimääräinen koko Euroopassa on 10,5 kokopäiväistä työntekijää, ja tietoturva-asiantuntijan vuotuinen palkka vaihtelee 50 000–150 000 euron välillä. Suomessa keskimääräinen palkka on 5 372 euroa kuukaudessa. Henkilöstökustannuksiin kuuluvat myös tietoturvakoulutukset.
| Alue | Kustannus |
| Uusi palomuuri | 300–60 000 euroa ominaisuuksista riippuen |
| Päätelaitteen suojaus | 10–70 euroa vuodessa per laite |
| Tietoturvaohjelmistolisenssien hankinta | 1 000–60 000 euroa |
| Tunkeutumistestaus | 10 000–50 000 euroa |
| Haavoittuvuusarviointi | 5 000–25 000 euroa |
| Rikostekninen tutkimus | 50 000–500 000 euroa |
Tietoturvainvestointien kohdentaminen
Maailman talousfoorumi on arvioinut, että tietomurron keskimääräinen kustannus on 3,7 miljoonaa euroa. Organisaation on päätettävä, haluaako se investoida tietoturvaan proaktiivisesti ennen häiriötilanteita vai reaktiivisesti tilanteen aikana.
Proaktiivisessa lähestymistavassa tietoturvainvestoinnit tulee suunnitella vastaamaan organisaation merkittäviin liiketoimintariskeihin. Kehitysohjelmassa määritetään investointialueet, jotka tyypillisesti kohdistuvat tietoturvan johtamismalleihin, tietoturvakontrollien rakentamiseen tarvittavaan teknologiaan sekä prosessien tehostamiseen. Kehitysohjelmaan sisällytettäviä osa-alueita ovat käyttövaltuushallinta, verkkojen eriyttäminen, sovellustestaus ja haavoittuvuuksien hallinta, valvontakyvyn sekä tietoisuuden lisääminen.
| Vaihe | Kuvaus |
| Arviointi ja määrittely | – Riskien arviointi: Tunnistetaan organisaation kohtaamat kyberriskit ja arvioidaan niiden mahdolliset vaikutukset. – Tarpeiden määrittely: Määritellään tietoturvan vaatimukset ja tavoitteet, jotka perustuvat riskien arviointiin ja liiketoimintatavoitteisiin |
| Suunnittelu ja kehitys | – Tietoturva-arkkitehtuurin suunnittelu: Kehitetään tietoturva-arkkitehtuuri, joka kattaa kaikki tarvittavat suojausmekanismit ja -prosessit. – Ohjelmistojen ja laitteistojen valinta: Valitaan ja hankitaan tarvittavat tietoturvaohjelmistot ja -laitteistot |
| Toteutus ja käyttöönotto | – Tietoturvakontrollien toteutus: Asennetaan ja konfiguroidaan tietoturvakontrollit, kuten palomuurit, haittaohjelmien torjuntaohjelmistot ja pääsynhallintajärjestelmät. – Koulutus ja tietoisuuden lisääminen: Koulutetaan henkilöstöä tietoturvakäytännöistä ja -menettelyistä |
| Valvonta ja ylläpito | – Jatkuva valvonta: Seurataan järjestelmien ja verkkojen tilaa reaaliaikaisesti uhkien havaitsemiseksi. – Päivitykset ja ylläpito: Suoritetaan säännöllisiä päivityksiä ja ylläpitotoimia tietoturvan varmistamiseksi |
| Arviointi ja parantaminen | – Auditoinnit ja arvioinnit: Suoritetaan säännöllisiä tietoturva-auditointeja ja -arviointeja järjestelmien ja prosessien tehokkuuden varmistamiseksi. – Parannustoimenpiteet: Korjataan havaitut puutteet ja heikkoudet. |
Tämä kirjoitus on tiivistetty versio artikkelista, joka on julkaistu Boardview-lehden numerossa 2/2024.
Lisää asiaa samoista aiheista
Tutustu kirjoittajaan
