Kyberturvallisuus ja hallituksen vastuu

Alkuvuodesta 2020 tarkastelin kyberturvallisuuden trendejä 2020-luvulle ja totesin seuraavien teemojen olevan keskiössä.

  1. Monipuolisten osaajien tarve kasvaa. Kyberturvallisuuden tehtäviin pitää löytää ihmisiä, joilla on teknisen osaamisen lisäksi riittävä liiketoiminnallinen osaaminen. Tehtävät myös eriytyvät ja yksi asiantuntija ei pysty kattamaan kaikkea.
  2. Salasanoihin perustuva autentikointi ei enää riitä. Tarvitaan vahvempia ja helppokäyttöisempiä ratkaisuita.
  3. Toimialaspesifisten riskien tunnistamisen merkitys korostuu. Kun päähuomio on kääntynyt piristeisen toimisto-IT:n ulkopuolelle, toimialakohtaisten tekijöiden rooli korostuu.
  4. Kyberstrategian ja tarkastelun tulee kattaa koko arvoketju. Riskit voivat toteutua oman organisaation ulkopuolella, muussa kohtaa arvoketjua.
  5. Riskit ovat enemmän systeemisiä. Tämä tulee näkymään myös eri regulaattoreiden toimenpiteissä.
  6. Data luo arvoa ja hyvä tiedon hallinta sekä sen osoittaminen on tärkeää. Ristiveto datan hyödyntämisen ja tietosuojan välillä jatkuu.
  7. Käyttäjäkokemus ja kustannukset ovat yhä tärkeämmässä roolissa. Turvallisuusratkaisuiden tulee olla läpinäkyviä tai helppokäyttöisiä sekä kustannustehokkaita. Turvallisuuden tulee olla mahdollistaja – ei estäjä.
  8. Pilvipohjaiset ratkaisut muuttavat koko turvallisuusajattelun ja – mallit. Enää ei voi suojata paikkaa, tulee keskittyä tiedonsuojaamiseen paikasta riippumatta. Identiteetti tulee tällöin keskeiseksi käsitteeksi.
  9. Mittaaminen on edelleen hankalaa. Edelleen on validia kysyä, mitataanko oikeita asioita ja tukevatko mittarit päätöksentekoa.

Ainakaan toistaiseksi 2020-luku ei ole osoittanut näiden olevan vääriä teemoja. Mikä sitten on hallituksen vastuu? Suomessa on juuri ollut voimakkaan huomion keskipisteenä tapaus, jossa hallitus erotti yrityksen toimitusjohtajan, ja jossa koko toteutetun yrityskaupan oikeutus on joutunut kyseenalaiseksi kyberturvallisuuteen liittyvien ongelmien takia. Tässä kyseisessä tapauksessa arkaluontoisia tietoja on vuotanut huonojen tietoturvakäytäntöjen takia. Toinen potentiaalinen ongelma, josta voi aiheutua merkittäviä, mutta luonteeltaan vähän erilaisia ongelmia on tietojen käytön estäminen.

Tyypillisesti salaamalla nämä yrityksen toiminnan kannalta kriittiset tiedot ja pyytämällä lunnaita näiden tietojen vapauttamisesta. Suomessa tyypillistä tuntuu edelleen olevan uhkien vähättely sekä toisaalta perusteeton ja ylisuuri luottamus siihen, että oman organisaation asiat ovat kunnossa.

Pitäisin perusteltuna, että kyberturvallisuus olisi useissa yrityksissä yksi näistä teemoista joko osana strategian toteuttamista tai osana riskienhallintaa

Hallituksen tärkein tehtävä on toimitusjohtajan valinta (tai erottaminen). Heti tämän jälkeen tulee se, että hallitus valitsee ne kysymykset, joiden käsittelyä hallituksessa se pitää seuraavien 12–18 kuukauden aikana yrityksen menestymisen kannalta tärkeimpänä. Pitäisin perusteltuna, että kyberturvallisuus olisi useissa yrityksissä yksi näistä teemoista joko osana strategian toteuttamista tai osana riskienhallintaa. Monesti osana molempia.

Aivan erityisesti hallituksen tulee haastaa toimivaa johtoa siitä, että ovatko kyberturvallisuuteen liittyvät riskit ja mahdollisuudet oikeasti ja kattavasti analysoitu. Ja ovatko tarvittavat toimenpiteet suunniteltu ja toteutettu asianmukaisesti sekä onko niitä seurattu. Lisäksi yritysjärjestelyissä tulisi aivan uudella tavalla ja syvyydellä käydä läpi myös IT- ja Cyber DD -asioita. Ja myytävien kohteiden osalta varmistaa, että nämä asiat ovat kunnossa.

5 kysymystä kyberturvallisuudesta hallituksen jäsenille

Jokaisen hallituksen jäsenen ei tarvitse olla kyberturvallisuuden ammattilainen tai ymmärtää kaikkia siihen liittyviä asioita. Hallitusammattilaisena pärjää kyberturvallisuuden osalta jo pitkälle, kun ymmärtää asian todennäköisesti olevan tärkeä oman yrityksen kannalta ja osaa kysyä oikeat kysymykset. Esitä ainakin seuraavat kysymykset:

  • Miten kyberturvallisuuteen liittyvät riskit ja mahdollisuudet on huomioitu strategiassamme?
  • Mitkä ovat oleellisimmat kyberturvallisuuteen liittyvät riskit ja mihin ne kohdistuvat ja vaikuttavat organisaatiossamme?
  • Olemmeko riittävän hyvin suojautuneita ja varautuneita siihen, että 100 % suojausta ei ole? Millä perusteella? Miten toimisimme tietomurtotapauksessa?
  • Miten organisaatiossamme on vastuutettu tietosuoja, tietoturva ja kyberturvallisuus?
  • Miten kyberturvallisuuteen investoidaan ja miten näitä investointeja seurataan? Millaisia mittareita on käytössä?

Mitä ovat tietosuoja, tietoturva ja kyberturvallisuus?

Keskusteluissa sekoittuvat usein toisiinsa tietosuoja, tietoturva ja kyberturvallisuus. Tietosuoja liittyy luonnollisten henkilöiden tietojen tai heihin yhdistettävissä olevien tietojen suojaamiseen. Tyypillisiä suojattavia tietoja ovat muun muassa, nimi, sotu, osoite, terveydentilaan, ostokäyttäytymiseen, sijaintiin ja muihin vastaaviin asioihin liittyvät tiedot.

Kyberturvallisuus on osittain trendisana ja synonyymi tietoturvallisuudelle. Oikeammin kyberturvallisuus on kuitenkin asioiden turvaamista sähköisessä ja automatisoidussa sekä verkottuneessa maailmassa.

Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja saatavuuden turvaamista siitä riippumatta onko tieto sähköisessä muodossa vai ei. Tietoturvallisuus on keskeinen keino toteuttaa kahta edellistä, eli tietosuojaa ja kyberturvallisuutta.

 

KPMG on myös tänä keväänä päivittänyt Kyberturvallisuus hallituksen agendalla -osan DIF-tietopankkiin (vaatii kirjautumisen).

Tilaa ilmoitukset
Ilmoita kun
guest
0 Kommenttia
vanhimmat
uusimmat suosituin
Inline Feedbacks
View all comments