Saamme jatkuvasti lukea ja kuulla erilaisista yrityksiä
uhanneista ja kohdanneista tietototurvariskeistä, joissa on yritetty tai
onnistuttu murtautumaan yrityksien IT –järjestelmiin hyödyntämällä jotakin
tiedossa olevaa tietoturvaheikkoutta. Pelkästään YLE Uutisten verkkosivuilla on
viime aikoina aiheesta uutisoitu esim. seuraavat tietoturvauutiset: Suomalaisilla suuryrityksillä vakaviapuutteita tietoturvassa, Tietoverkkorikoksetlisääntyvät yhä, Tietomurtoja jo yli 100 000 vuodessa.
Lähestulkoon kaikki PK-sektorin yritykset ovat nykyään tietoisia
tietoturvauhkien olemassaolosta ja ovat jollain tavalla sijoittaneet varoja ja
resursseja IT-järjestelmiensä tietoturvan kehittämiseen ja toteuttamiseen.
Suojautuminen tietomurroilta on noussut yhdeksi yritysjohdon keskeiseksi
asiaksi, joka pitää ottaa huomioon liiketoiminnan jatkuvuuden ja yrityksen
maineen turvaamisen kannalta, sillä tietomurto voi pahimmillaan johtaa sellaisiin
seurauksiin, joista yritys ei pysty toipumaan.
Mistä siis voi johtua, että toiset yritykset ovat parempia
suojautumaan tietoturvauhilta? Onko kyse rahasta, resursseista, osaamisesta, yrityksen
johdon toiminnasta, teknologiasta, tuurista vai mistä? Tähän kysymykseen ei
varmasti löydy yhtä ainoaa tai oikeaa vastausta, vaan asiaa voi lähestyä
monelta suunnalta. Luonnollisesti asiaan vaikuttavat edellä mainitut seikat, mutta
mikään näistä ei yksinään tai edes yhdessä anna mielestäni vastausta
kysymykseen.
Vastausta pitää hakea yrityksen kyvyistä ja käytännöistä, joilla
yritys yleensä määrittää nykyisen ja tulevan markkina-asemansa yrittämällä
kilpailijoitaan paremmin ymmärtää markkinoidensa ja kohderyhmiensä trendit ja
tarpeet. Näitä asioita voi parhaiten selvittää 1) kysymällä markkinoilta oikeat
kysymykset, jotta saadaan oikeaa tietoa, sekä 2) tekemällä asiat oikein eikä
pelkästään hyvin, jotta saavutetaan asetetut päämäärät.
Samaa kysymysasetelmaa voi käyttää, kun mietitään ja
rakennetaan toimivaa IT-järjestelmien tietoturvaa, joka osaa suojata yritystä
tietoturvariskeiltä ja vahingoilta. Tietoturvan kehittämisen yhteydessä perusedellytys
on se, että yrityksellä on tahtotila hoitaa asiat kuntoon, ja että yrityksen
johto on sitoutunut siihen. Kun tätä
tahtotilaa jalkautetaan, edellä mainittua mallia voidaan soveltaa seuraavasti.
1) Oikeat
kysymykset, jotta saadaan oikeaa tietoa toimenpiteitä varten:
·
mitkä ovat yrityksen riskit?
·
mitkä ovat yrityksen merkittävimmät riskit ja
niiden seuraukset?
·
mikä on kustannustehokkain tapa pienentää/
poistaa riskit?
2) Tekemällä
asiat oikein eikä pelkästään hyvin, jotta saavutetaan asetetut päämäärät. Tietoturvassa
on kyse riskien kartoittamisesta ja hallinnasta (ymmärtämisestä). Riskin
määrittämiseen ja laskemiseen on olemassa yleiskaava riski = uhka x haavoittuvuus.
Katsomalla kaavaa näkee, että riskiä voi pienentää pienentämällä uhkaa, haavoittuvuutta tai molempia. Selvä asia, mutta miten hyvin yritys voi vaikuttaa uhkiin ja haavoittuvuuksiin? Käytännössä yritys ei pysty hallitsemaan uhkia, mutta sen sijaan se pystyy hallitsemaan haavoittuvuuttaan rakentamalla mekanismeja ja käytäntöjä, joilla omaa haavoittuvuutta pienennetään. Näin ollen yritykset käytännössä pienentävät riskiään pienentämällä haavoittuvuuttaan.
Tässä astuu kuvaan kysymys: tehdäänkö nämä asiat hyvin vai tehdäänkö asiat oikein? Kysymyksen takana on laatu vai määrä -asetelma (määrä ei korvaa laatua), eli keskitytäänkö toiminnan kannalta olennaisten haavoittuvuuksien poistamiseen vai kaikkien haavoittuvuuksien poistamiseen riippumatta niiden vakavuudesta. Ensimmäisessä vaihtoehdossa tehdään mielestäni asiat oikein, toisessa vaihtoehdossa vain hyvin. Oikeassa vaihtoehdossa luodaan puitteet tietoturvalle, joka todella suojaa yrityksen toimintaa, kun taas toisessa vaihtoehdossa ollaan puolitiessä - ei niin suojattuja.
Yrityksen riskienhallintastrategia on siis merkittävässä
asemassa yrityksen toimivan tietoturvan rakentamisessa – keskitytäänkö
yrityksen olennaisimpiin haavoittuvuuksiin vai kaikkiin haavoittuvuuksiin riippumatta
niiden vakavuudesta. Ainoastaan ymmärtämällä, mitkä ovat yrityksen olennaiset
haavoittuvuudet, voidaan valita oikeat toimenpiteet, joilla voidaan pienentää
yrityksen riskiä joutua tietoturvavahingon kohteeksi. Kysytään oikeat
kysymykset ja tehdään asiat oikein.
Kirjoittaja on Jörgen Jansson (KTM), Cybricon Oy:n toimitusjohtaja sekä perustaja. Cybricon Oy on yritys, joka auttaa yrityksiä löytämään oikeat asiat tietoturvansa parantamiseksi.
