Tietoturva johtoryhmän agendalla: Mitä jokaisen johtoryhmän jäsenen on hyvä ymmärtää tietoturvasta?

Organisaation tietoturva on johtoryhmän asia. Johtoryhmä haluaa turvata yrityksen liiketoiminnan jatkuvuuden – samaa tavoitetta ylläpitää myös hyvin hoidettu tietoturva. Kun johtoryhmä pohtii tietoturvaan liittyviä haasteita ja riskejä, on hyvä ymmärtää muutamia perusasioita kyberturvallisuudesta. NetNordicin CISO Joonatan Vilén kertoo, mitä jokaisen johtoryhmän jäsenen tulisi vähintään ymmärtää kyberuhkien torjumisesta.  

Tietoturva ja kyberturvallisuus ovat laajoja ja monipolvisia teemoja, joita maallikon ei ole aina helppo ymmärtää. Vilén käyttääkin tietoturvan merkityksen korostamiseksi yksinkertaista lukkovertausta: kaikki ymmärtävät miksi toimipisteen oveen hankitaan lukko ja miksi tiloja valvotaan vartijapalveluiden voimin. Samankaltaisesta valvonnasta on kyse myös tietoturvassa, vaikka tieto ei ole käsinkosketeltavassa muodossa.  

Vilénin mukaan tärkein ja ensimmäinen asia tietoturvaa pohtiessa on riskien tunnistaminen. Minkälaista tietoa yritys säilyttää? Mikä voisi olla arvokasta hyökkääjän kannalta? Entä mikä on tämän tiedon merkitys yrityksen toiminnalle? Suojautumaan pystyy ainoastaan silloin, kun myös riskit, joilta halutaan suojautua, ovat tiedossa. 

Tietoturva on johtoryhmän asia ja vastuu

Lainsäädäntö ja sidosryhmien vaatimukset ajavat usein yrityksiä kehittämään tietoturvaansa. Viime vuosina EU-lainsäädäntö, kuten lokakuussa 2024 voimaan astuva NIS2-asetus on ajanut yritysten tietoturvan kehitystä. Vilén näkee juuri johdon vastuulla olevan NIS2-asetuksen arvokkaana ajurina siihen, että myös johtoryhmä ottaa tietoturvan vakavasti. 

”Perinteisesti on saatettu nähdä sitä, että vastuu valuu yrityksen IT-osastolle, joka ostaa vaikkapa kalliin palomuurin, ja ajattelee, että sillä hyvä. Todellisuudessa palomuurin lisäksi tarvitaan valvontaa ja muutakin varautumista”, Vilén muistuttaa.

Johtoryhmän tulisi Vilénin mukaan nimenomaan pystyä haastamaan organisaatiota, mitä tulee tietoturvan ja varautumisen tasoon. Se, että tietoturva nostetaan johtoryhmän pöydälle, on järkevää ajan seuraamista.

Tietoturvan hinta perustuu riskien hintaan

Tietoturvapalveluiden hinta puhuttaa luonnollisesti yrityksen johtoryhmää. Myös tietoturvapalvelun hinnan kohtuullisuutta arvioidessa tulee peilata riskiarvioon: kuinka suuresta riskistä on kyse, ja kuinka isot rahalliset seuraukset se voi aiheuttaa?

Jos riskin realisoituminen tulee maksamaan paljon, sen pienentämiseen kannattaa todennäköiseesti investoida. Kannattavuuslaskelma on Vilénin mukaan helppo tehdä vaikka ruutupaperille. Jos riskien arviointi tuntuu hankalalta, tietoturvakumppani voi auttaa oman tiedon arvon arvioimisessa ja antaa konkreettisen hintalapun riskien minimoimiselle.

”Kun tietoturvainvestoinnin kustannukset ovat selvillä, niihin on helppo varautua. Ennakoitavuus on edellytys yrityksen kasvulle”, Vilén muistuttaa.

Ennakkoon varautuminen on aina edullisempaa kuin jälkeenpäin paikkailu sen jälkeen, kun pahin on jo ehtinyt tapahtua. Kustannuksia tulee luonnollisesti saastuneen ympäristön puhdistamisesta, mutta suurempi ja monia eniten huolestuttava asia on kyberhyökkäyksestä aiheutuva mainehaitta, jolla voi olla tuhoisat ja kauaskantoisetkin seuraukset.

Johdon näkymä tietoturvan raportointiin ja kumppanin tekemiseen tulee olla selkeä

Jos riskit haluaa välttää, mitä yrityksen kannattaa vaatia tietoturvakumppaniltaan? Ainakin raportointia siitä, miten yrityksen tietoturvaympäristöä kehitetään ja mitä kumppani ympäristössä tekee.

Raportointia voi tehdä monella tasolla: jos yrityksellä on tietoturvakumppani, josta se ei juuri koskaan kuule mitään, miten voi tietää, että saa vastinetta rahoilleen? NetNordicin tietoturvapalveluiden perustana on kattava raportointi. Asiantuntijat tekevät näkyväksi sen, mitä ympäristössä on tehty. Lisäksi raporteissa on johtoryhmälle suunnattu yleispätevämpi osuus sekä syvällisempi katsaus tietoturvaan aiheeseen perehtyneille.

Vilenin mukaan on myös tärkeää, että tietoturva-asiantuntija seuraa jatkuvasti alaa ja on perillä uusimmista uhista. Kyberhyökkääjät ovat alansa ammattilaisia ja kyberrikollisuudessa liikkuu nykyään enemmän rahaa kuin laittomassa huumebisneksessä – toiminta on hyvin järjestäytynyttä ja ammattimaista. Siksi kyberturvallisuuden ammattilaisten täytyy pyrkiä olemaan parempia kuin hyökkääjät. NetNordic seuraa tiiviisti alan kehitystä ja uusia riskejä sekä tukee asiakkaitaan niihin varautumisessa.

”Johtoryhmä tuskin haluaa raportoida kyberhyökkäyksistä hallitukselle jälkikäteen ja myöntää, etteivät tienneet uhasta. Helpompi on olla ajan hermolla ja perustella budjetointitarve konkreettisilla toimialaa uhkaavilla riskeillä”, Vilén pohtii.