Directors' Institute Finland > Teema-artikkelit > 2024 > Q4 2024 Hyvän hallitustyön kulmakivet > Mitä kyberturvallisuus maksaa?

Mitä kyberturvallisuus maksaa?

16.01.2025 | Q4 2024 Hyvän hallitustyön kulmakivet

Kyberturvallisuuden ylläpitäminen on jatkuvaa toimintaa, joka edellyttää riskitietoon perustuvia investointipäätöksiä. Kustannus-hyötyanalyysi toimii kehyksenä organisaation tietoturvainvestoinneille.

Kustannus-hyötyanalyysin avulla määritetään kyberturvallisuuden hallintatoimenpiteiden kustannustaso, suhteutetaan kustannukset vallitseviin riskeihin sekä priorisoidaan investoinnit liiketoiminnan tavoitteiden mukaisesti.

Kyberturvallisuuden suorat ja epäsuorat kustannukset

Tietoturvainvestoinnit nähdään usein kustannuksena, mutta ne ovat myös viesti vastuullisesta toiminnasta. Investoinnit tulee aloittaa tietoturvan perusasioiden, kuten verkon ja laitteiden, suojaamisesta, ja investointeja tulee jatkaa monitorointi- ja valvontakyvyn kehittämiseksi. Euroopassa yritykset investoivat 10–15 prosenttia IT-budjetistaan tietoturvan ylläpitämiseen.

Kyberturvallisuuden suorat kustannukset liittyvät organisaation omaisuuden ja tietojen suojaamiseen tarkoitettujen turvatoimien toteuttamiseen ja ylläpitoon, niitä ovat esimerkiksi ohjelmistot, laitteistot, testaus ja henkilöstökulut. Epäsuorat kustannukset syntyvät kyberhyökkäysten aiheuttamista menetyksistä, kuten tietomurtojen korjaamisesta ja liiketoiminnan keskeytyksistä.

Kyberturvallisuustiimin keskimääräinen koko Euroopassa on 10,5 kokopäiväistä työntekijää, ja tietoturva-asiantuntijan vuotuinen palkka vaihtelee 50 000–150 000 euron välillä. Suomessa keskimääräinen palkka on 5 372 euroa kuukaudessa. Henkilöstökustannuksiin kuuluvat myös tietoturvakoulutukset.

 

Alue Kustannus
Uusi palomuuri 300–60 000 euroa ominaisuuksista riippuen
Päätelaitteen suojaus 10–70 euroa vuodessa per laite
Tietoturvaohjelmistolisenssien hankinta 1 000–60 000 euroa
Tunkeutumistestaus 10 000–50 000 euroa
Haavoittuvuusarviointi 5 000–25 000 euroa
Rikostekninen tutkimus 50 000–500 000 euroa

Taulukko: Tietoturvan suoria ohjelmisto- ja laitteistokustannuksia sekä arviointi- ja testaustyökustannuksia

Tietoturvainvestointien kohdentaminen

Maailman talousfoorumi on arvioinut, että tietomurron keskimääräinen kustannus on 3,7 miljoonaa euroa. Organisaation on päätettävä, haluaako se investoida tietoturvaan proaktiivisesti ennen häiriötilanteita vai reaktiivisesti tilanteen aikana.

Proaktiivisessa lähestymistavassa tietoturvainvestoinnit tulee suunnitella vastaamaan organisaation merkittäviin liiketoimintariskeihin. Kehitysohjelmassa määritetään investointialueet, jotka tyypillisesti kohdistuvat tietoturvan johtamismalleihin, tietoturvakontrollien rakentamiseen tarvittavaan teknologiaan sekä prosessien tehostamiseen. Kehitysohjelmaan sisällytettäviä osa-alueita ovat käyttövaltuushallinta, verkkojen eriyttäminen, sovellustestaus ja haavoittuvuuksien hallinta, valvontakyvyn sekä tietoisuuden lisääminen.

 

Vaihe Kuvaus
Arviointi ja määrittely
  • Riskien arviointi: Tunnistetaan organisaation kohtaamat kyberriskit ja arvioidaan niiden mahdolliset vaikutukset.
  • Tarpeiden määrittely: Määritellään tietoturvan vaatimukset ja tavoitteet, jotka perustuvat riskien arviointiin ja liiketoimintatavoitteisiin
Suunnittelu ja kehitys
  • Tietoturva-arkkitehtuurin suunnittelu: Kehitetään tietoturva-arkkitehtuuri, joka kattaa kaikki tarvittavat suojausmekanismit ja -prosessit.
  • Ohjelmistojen ja laitteistojen valinta: Valitaan ja hankitaan tarvittavat tietoturvaohjelmistot ja -laitteistot
Toteutus ja käyttöönotto
  • Tietoturvakontrollien toteutus: Asennetaan ja konfiguroidaan tietoturvakontrollit, kuten palomuurit, haittaohjelmien torjuntaohjelmistot ja pääsynhallintajärjestelmät.
  • Koulutus ja tietoisuuden lisääminen: Koulutetaan henkilöstöä tietoturvakäytännöistä ja -menettelyistä
Valvonta ja ylläpito
  • Jatkuva valvonta: Seurataan järjestelmien ja verkkojen tilaa reaaliaikaisesti uhkien havaitsemiseksi.
  • Päivitykset ja ylläpito: Suoritetaan säännöllisiä päivityksiä ja ylläpitotoimia tietoturvan varmistamiseksi
Arviointi ja parantaminen
  • Auditoinnit ja arvioinnit: Suoritetaan säännöllisiä tietoturva-auditointeja ja -arviointeja järjestelmien ja prosessien tehokkuuden varmistamiseksi.
  • Parannustoimenpiteet: Korjataan havaitut puutteet ja heikkoudet.

Taulukko: Tietoturvan kehitysohjelman rakenne

 

Tämä kirjoitus on tiivistetty versio artikkelista, joka on julkaistu Boardview-lehden numerossa 2/2024.