Mitä yrityksen hallituksen ja johdon on tiedettävä kyberturvallisuudesta?
7.2.2018
Martti Lehto Mitä yrityksen hallituksen ja johdon on tiedettävä kyberturvallisuudesta? Me elämme muuttuvassa maailmassa, jossa digitalisaation vaikutukset koskevat laajasti sekä yksilöitä, organisaatioita, yrityksiä että yhteiskuntaa yhteisesti. Yritysten toiminta perustuu yhä laajemmin interaktiivisten älylaitteiden, tietoverkkojen ja digitaalisten palveluiden käyttöön. Arvonlisäyksestä yhä suurempi osa tuleekin digitalisaatiosta. Samalla tämä tarkoittaa sitä, että myös rikollisuus on siirtynyt kyberaikaan. Tulevaisuutta leimaavat kiristyshaittaohjelmien ja ohjelmistohaavoittuvuuksien kasvu, laitteistoihin kohdistuvat uhkat, yrityksen sisäpiiri hyökkäyskanavana ja liiketoiminnan tuhoamiseen ja henkilötietojen varastamiseen tähtäävät hyökkäykset. Kyberhyökkäysten onnistumista edesauttavat yrityksen kyberturvallisuuden puutteet. Kyberturvallisuuspolitiikan ja sen implementoinnin puute Yrityksen johdon vastuulla on toimivan kyberturvallisuusstrategian/politiikan määrittäminen yritykseen ja sen tehokas jalkauttaminen ja kehittäminen. Kybertilannekuvan puute Tutkimusten mukaan 8 % yrityksistä kykenee erittäin nopeaan kyberhyökkäysten havainnointiin, 11 % yrityksistä kykenee nopeaan kyberhyökkäysten havainnointiin ja 21 prosentilla yrityksistä on yksi yhteinen näkymä datavarantoihin. RSA:n johtaja Amit Yoranin mukaan ”Yritykset eivät kokoa oikeita tietoja, eivät hyödynnä keräämiään tietoja ja käyttävät uhkien torjumiseen vanhanaikaisia tekniikoita.” Kyberturvallisuuden ymmärryksen puute Yrityksen toimivalla johdolla ja hallituksella on vastuu toimia esimerkkeinä kyberturvallisuuden toteuttamisesta. Tutkimusten mukaan C-tason henkilöt vievät mukanaan luottamuksellisia tiedostoja kaksi kertaa useammin kuin työntekijät. 58 % johtajista on vahingossa lähettänyt tärkeää dataa väärälle henkilölle (25 % työntekijöistä). 87 % johtajista lataa yrityksen luottamuksellisia tiedostoja säännöllisesti omille henkilökohtaisille sähköpostitileilleen tai pilvijärjestelmiin. 63 % johtajista pitää samat salasanat kaikissa käyttämissään järjestelmissä ja palveluissa. Yrityksen johtamisprosessien puutteet Aina yrityksen toiminta- ja johtamisprosessit eivät ota huomioon kehittyneitä kyberhyökkäyksiä. FBI:n mukaan toimitusjohtajapetoksissa rikolliset ovat ”ansainneet” yli 2,3 miljardia dollaria viime vuosina ja tammikuusta 2015 lähtien tapausten kasvu on ollut 270 %. Organisaation prosessien tunnistamisessa ja turvaamisessa organisaation johdolla on ratkaiseva rooli. Johdon on kyettävä näkemään organisaatio kokonaisuutena, jotta prosesseihin liittyvät osatekijät ja niiden riskit voidaan tunnistaa. Kyberturvallisuusosaamisen puutteet Kun yrityksessä on toimittu ohjeiden vastaisesti, kysymys on usein osaamisen puutteesta. Yrityksen johdon tuleekin esittää seuraava kysymys: Mitä jokaisen johtajan, IT-ammattilaisen, kyberturvallisuusosaajan ja jokaisen työntekijän tulee tietää kyberturvallisuudesta? Yrityksen johto määrittää tavoitteet ja resurssit kyberturvallisuusosaamisen hallinnalle, jotta osaamisvaje ei aiheuta kyberturvallisuusriskejä. Kyberturvallisuusinvestointien puute Kovin usein kyberturvallisuus nähdään kustannuseränä eikä liiketoiminnan varmistajana. Tässä suhteessa yrityksen johdon tulee määritellä uhka- ja riskianalyysiin perustuvat kyberturvallisuuden tavoitteet ja resursoida ne riittävällä tasolla. Yrityksen toimivan johdon ja hallituksen tulee säännöllisesti vastata seuraaviin kysymyksiin: 1. Onko yrityksen johto ja hallitus täysin sitoutunut kyberturvallisuuteen? Martti Lehto |