Kyberturvallisuus ei ole vain tekninen riskienhallintaan liittyvä asia.
Tiedon hyödyntäminen organisaatioissa on muuttunut radikaalisti. Organisaatiot ovat aiempaa enemmän riippuvaisia teknologiaratkaisuista ja digitaalisessa muodossa tallennetusta tiedosta. Kilpailuetua haetaan uusinta teknologiaa hyödyntämällä, ja prosesseja voidaan viedä läpi automatisoidusti, aiempaa nopeammin. Tämä on yksi keskeinen syy sille, että kyberturvallisuus kuuluu hallituksen ja ylimmän johdon agendalle eikä pelkästään IT:n.
Kyberturvallisuus ei myöskään ole yksinomaan tekninen ja riskienhallintaan liittyvä asia. Myös sijoittajat, viranomaiset, asiakkaat ja regulaattorit haastavat hallituksen jäseniä aktiivisesti osoittamaan huolellisuutta ja hyvää kyberturvallisuus- ja tietosuoja-asioiden hallintaa.
Tietoturva, tietosuoja ja kyberturvallisuus
Tietosuoja liittyy luonnollisten henkilöiden tietojen tai heihin yhdistettävissä olevien tietojen suojaamiseen. Kyberturvallisuus on osittain trendisana, jota käytetään synonyymina tietoturvallisuudelle. Oikeammin kyberturvallisuus on asioiden turvaamista sähköisessä ja automatisoidussa sekä verkottuneessa maailmassa.
Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja saatavuuden turvaamista riippumatta siitä, onko tieto sähköisessä muodossa vai ei. Tietoturvallisuus on keskeinen keino toteuttaa kahta edellistä, eli tietosuojaa ja kyberturvallisuutta.
Kyberturvallisuus on osa strategiaa ja riskienhallintaa
On vaikeaa kuvitella yritystä, jonka strategiassa ei olisi huomioitu sellaisia asioita kuin esineiden internet, massadatan hyödyntäminen, automatisaatio, robotisaatio, keinoäly, virtuaalitodellisuus ja kehittyvät älyteknologiat. Näihin kaikkiin liittyy tietosuoja-, tietoturva- ja kyberturvallisuusasioita, jotka voivat osaltaan joko merkittävästi edistää tai haitata valitun strategian toteutumista.
Hallituksella on olennainen rooli sekä yhtiön riskienhallinnan valvonnassa että sen järjestämisessä. Kyberriskit ovat eri organisaatioissa erilaisia, ja ne voivat olla myös organisaatio- ja järjestelmäkohtaisia.
Kyberturvallisuuden sekä myös tietosuojan ja tietoturvallisuuden osalta hallituksen tulee varmistaa, että nämä asiat on oleellisilta osiltaan huomioitu yrityksen strategiassa sekä riskienhallinnassa ja näihin liittyvässä raportoinnissa ja tarkastustoiminnassa.
Milloin kyberturvallisuus on ihanteellisesti huomioitu?
Tietoturvallisessa organisaatiossa asiat on selkeästi vastuutettu ja yhteistyö eri vastuualueiden väillä on aktiivista ja toimivaa. Organisaatiossa ymmärretään laajalti, että kyberturvallisuus ei ole osasto tai ryhmä ihmisiä vaan asenne. Samoin ymmärretään, että kyberturvallisuus ei ole ainoastaan tekniikkaa: se on myös prosesseja, toimintatapoja ja oikeanlaista toimintaa kussakin tehtävässä.
Organisaation eri tasoilla ymmärretään oleellisimmat kyberturvallisuuteen liittyvät riskit. Riskejä seurataan ja hallitaan osana organisaation muuta riskienhallintaa. Oganisaatiossa ymmärretään myös se, että 100-prosenttista turvallisuutta ei ole olemassa ja että erilaisiin ongelmatilanteisiin tulee olla varautunut.
Organisaatiolla on riittävä ymmärrys oman toimialan regulaatiosta ja asiakkaiden tarpeista sekä odotuksista turvallisuuden ja tietosuojan suhteen.
Organisaatio viestii avoimesti ja totuudenmukaisesti tietosuojaan ja tietoturvallisuuteen liittyvistä asioista.
Hallitus omalta osaltaan ohjaa ja valvoo toimintaa ja näyttää esimerkkiä hyvän turvallisuuskulttuurin luomisessa. Hallitukselle raportoidaan oikeita asioita ja mittarit ovat sellaisia, että niiden perusteella oikeasti on mahdollista ohjata toimintaa oikeaan suuntaan.
Tämä teema-artikkeli on lyhennelmä Mika Laaksosen artikkelista, joka on julkaistu Boardview-lehdessä 1/2018.
