Vain alle neljännes suomalaisista organisaatioista nauttii modernista kyberturvajohtamisesta. Karkeasti arvioiden puolet organisaatioista tekee kyberturvapäätökset edelleen projektien lopussa.
Kyberturvakumppanin ja neuvonantajan rooli yhteiskunnassa
Monessa mielessä tietoturvapäällikön kyllä/ei -päivät ovat ohi. Taakse ovat jääneet ajat, jolloin liiketoimintajohto anoi asioiden tekemiseen lupaa tietoturvajohdolta, joka kaikkitietävänä sellaisen myönsi tai epäsi. Moderni kyberturvajohto ja -osasto toki edelleen vastaa esimerkiksi kyberturvavalvonnasta, mutta vastuu digitaalisten toimintojen kyberturvasta kuuluu liiketoimintaprosessin tai järjestelmän omistajalle. Aivan samalla tavalla kuin tehtaanjohtaja ei voi ulkoistaa työturvallisuutta työturvallisuuspäällikölle.
Kyberturvan strateginen merkitys on korostunut epävarmuuden keskellä. Koko yhteiskunnan toimintaa kantavat organisaatiot tarvitsevat kumppanin, johon luottaa. Myös tietoturvatiimin rooli on siirtynyt neuvonantajan suuntaan; millaisia riskejä erilaisiin valintoihin liittyy sekä miten kumppani tukee riskinhallinnan prosesseja. Organisaatiot tarvitsevat tilannetietoa, onko riskipositio muuttunut ja millaisia herätteitä on ilmassa. Parhaimmillaan, kuten esimerkiksi Kansaneläkelaitoksella, kyberturvaosaston tavoite on palveluosasto, joka tukee liiketoimintojen kehittämistä.
Moderni kyberturvajohto elää maailmassa, jossa riskienhallinta on muuttumassa. Enää ei ole tarpeenmukaista rakentaa täydellisen turvallisia ympäristöjä. Kenelläkään ei ole enää varaa torjua kaikkia riskejä, eikä se oikein ole mahdollistakaan. Riskien arvioinnissa korostuu niiden liiketoimintavaikutus. Järjestelmäprojektin käynnistyessä on hyvin aikaisessa vaiheessa syytä tarkastella, mitä uhkia ja riskejä järjestelmään kohdistuu. Kaikkia uhkia ei kannata yrittää tilkitä, vaan pistää paukut niihin, joiden vaikutus toiminnan jatkuvuuteen on suuri.
Kyberturva on alkuvaiheen yhteinen asia
Modernin kyberturvajohtamisen iso haaste on usein se, että liiketoiminnot mielellään antaisivat kyberturvan jonkun muun hoidettavaksi. Kaikki kyllä ymmärtävät, että luottamus on digitalisaatiossa pääoma, joka muodostaa digitaalisten järjestelmien ja palvelujen arvon. Kyberturvan tärkeyden harva kiistää. Mutta kun liiketoimintajohto puskee omaa järjestelmäprojektiaan aikataulu- ja budjettipaineet ja 170 muuta asiaa niskassa eteenpäin, koetaan se usein vaikeaksi ja hankalaksi ja hidasteeksi.
Ja kuitenkin kyberturva on myös, jopa ensisijaisesti, alkuvaiheen suunnittelun asia. Uhkien ja riskien kartoitus projektin käynnistyessä on selvästi halvempaa kuin loppuvaiheen päälle liimattu pakollinen paha. Rikkinäisen korjauskustannus kun on kymmenkertaisesta satakertaiseen verrattuna hyvään alkupanostukseen. Moderniin kyberturvajohtamiseen kuuluu kyberturvan budjetointi kaikkeen tekemiseen.
Lopussa tekeminen myös mitä suurimmalla todennäköisyydellä viivästyttäisi projektia. Liian kallis ja myöhässä? Mitä bisnespäättäjä tällöin tekee? Eteneekö hän tuotantoon ajatellen, että riski on pakko ottaa? Tässä vaiheessa tietoturvajohto saattaa yrittää estää aikeet, mutta kasvavatko kustannukset liiketoimintajohtajalle liian isoiksi? Kukaan ei varmasti halua päätyä tällaiseen tilanteeseen. Näin silti valitettavan usein käy, ellei kyberturvaa nosteta samalla tavalla koko kehitysmatkalle kuin esimerkiksi käytettävyyssuunnittelu.
Kyberturvallisuus keventää etenemistä
Tietoturvaa, yksityisyydensuojaa ja liiketoiminnan jatkuvuusasioita ei enää oikein ole järkevää tai edes mahdollista pitää toisistaan erillään. Niiden vieminen eteenpäin yksittäisinä erillisinä pakollisina kontrolleina olisi kohtuuttoman raskasta kehitysprojekteille.
Tehokas ja toimiva kyberturvallisuus edellyttää näiden kolmen käsi kädessä kulkijan niputtamista yhteen. Tavoite on, että prosessin omistaja tai liiketoimintajohtaja voi tehdä kaikkien osalta päätöksiä samassa vaiheessa ja samalla tavalla mallinnetusti, tyypillisesti ISO-standardeihin nojautuen. Tätä kehityssuuntaa vauhdittavat myös kansainväliset regulaatiovaatimukset. Vaikkei standardi aina ole edes tavoitteena, halutaan sidosryhmille kertoa, että tietoturvallisuuden ja tietosuojan johtamisjärjestelmä on ja että se perustuu ISO/IEC-standardiin.
Moderni kyberturvajohto mahdollistaa tehokkaan ja kilpailuetua tuovan kyberturvallisuuden osallistuen muiden osaamiskynnyksen madaltamiseen ja nostamalla omaa rimaansa kokonaisvaltaisessa ja konsultoivassa roolissa. Keskeisenä onnistumisen mittarina toimii se, kuinka vaivatonta kyberturvallisuuden huomioiminen hankkeiden kannalta on.
Arvokasta vertailutietoa Euroopan kyberturvallisuuden kehityksestä
Osallistu Nixun kyberturvakyselyyn 19.10. mennessä. Vastaamalla kyselyyn saat arvokasta vertailutietoa eurooppalaisten organisaatioiden kyberturvan tilasta. Sen lisäksi voit voittaa puolen päivän työpajan Nixun kyberturvallisuusasiantuntijan kanssa valitsemastasi aiheesta.