Tietoturva johtoryhmän agendalla: Mitä jokaisen johtoryhmän jäsenen on hyvä ymmärtää tietoturvasta?

Organisaation tietoturva on johtoryhmän asia. Johtoryhmä haluaa turvata yrityksen liiketoiminnan jatkuvuuden – samaa tavoitetta ylläpitää myös hyvin hoidettu tietoturva. Kun johtoryhmä pohtii tietoturvaan liittyviä haasteita ja riskejä, on hyvä ymmärtää muutamia perusasioita kyberturvallisuudesta. NetNordicin CISO Joonatan Vilén kertoo, mitä jokaisen johtoryhmän jäsenen tulisi vähintään ymmärtää kyberuhkien torjumisesta.  

Tietoturva ja kyberturvallisuus ovat laajoja ja monipolvisia teemoja, joita maallikon ei ole aina helppo ymmärtää. Vilén käyttääkin tietoturvan merkityksen korostamiseksi yksinkertaista lukkovertausta: kaikki ymmärtävät miksi toimipisteen oveen hankitaan lukko ja miksi tiloja valvotaan vartijapalveluiden voimin. Samankaltaisesta valvonnasta on kyse myös tietoturvassa, vaikka tieto ei ole käsinkosketeltavassa muodossa.  

Vilénin mukaan tärkein ja ensimmäinen asia tietoturvaa pohtiessa on riskien tunnistaminen. Minkälaista tietoa yritys säilyttää? Mikä voisi olla arvokasta hyökkääjän kannalta? Entä mikä on tämän tiedon merkitys yrityksen toiminnalle? Suojautumaan pystyy ainoastaan silloin, kun myös riskit, joilta halutaan suojautua, ovat tiedossa. 

Tietoturva on johtoryhmän
asia ja vastuu

 Lainsäädäntö ja sidosryhmien vaatimukset ajavat usein yrityksiä kehittämään tietoturvaansa. Viime vuosina EU-lainsäädäntö, kuten lokakuussa 2024 voimaan astuva NIS2-asetus on ajanut yritysten tietoturvan kehitystä. Vilén näkee juuri johdon vastuulla olevan NIS2-asetuksen arvokkaana ajurina siihen, että myös johtoryhmä ottaa tietoturvan vakavasti. 

”Perinteisesti on saatettu nähdä sitä, että vastuu valuu yrityksen IT-osastolle, joka ostaa vaikkapa kalliin palomuurin, ja ajattelee, että sillä hyvä. Todellisuudessa palomuurin lisäksi tarvitaan valvontaa ja muutakin varautumista”, Vilén muistuttaa. 

Johtoryhmän tulisi Vilénin mukaan nimenomaan pystyä haastamaan organisaatiota, mitä tulee tietoturvan ja varautumisen tasoon. Se, että tietoturva nostetaan johtoryhmän pöydälle, on järkevää ajan seuraamista. 


Tietoturvan hinta perustuu riskien hintaan 

Tietoturvapalveluiden hinta puhuttaa luonnollisesti yrityksen johtoryhmää. Myös tietoturvapalvelun hinnan kohtuullisuutta arvioidessa tulee peilata riskiarvioon: kuinka suuresta riskistä on kyse, ja kuinka isot rahalliset seuraukset se voi aiheuttaa? 

Jos riskin realisoituminen tulee maksamaan paljon, sen pienentämiseen kannattaa todennäköiseesti investoida. Kannattavuuslaskelma on Vilénin mukaan helppo tehdä vaikka ruutupaperille. Jos riskien arviointi tuntuu hankalalta, tietoturvakumppani voi auttaa oman tiedon arvon arvioimisessa ja antaa konkreettisen hintalapun riskien minimoimiselle. 

”Kun tietoturvainvestoinnin kustannukset ovat selvillä, niihin on helppo varautua. Ennakoitavuus on edellytys yrityksen kasvulle”, Vilén muistuttaa. 

Ennakkoon varautuminen on aina edullisempaa kuin jälkeenpäin paikkailu sen jälkeen, kun pahin on jo ehtinyt tapahtua. Kustannuksia tulee luonnollisesti saastuneen ympäristön puhdistamisesta, mutta suurempi ja monia eniten huolestuttava asia on kyberhyökkäyksestä aiheutuva mainehaitta, jolla voi olla tuhoisat ja kauaskantoisetkin seuraukset. 

NetNordic_SOC

Johdon näkymä tietoturvan raportointiin ja kumppanin tekemiseen tulee olla selkeä 

Jos riskit haluaa välttää, mitä yrityksen kannattaa vaatia tietoturvakumppaniltaan? Ainakin raportointia siitä, miten yrityksen tietoturvaympäristöä kehitetään ja mitä kumppani ympäristössä tekee. 

Raportointia voi tehdä monella tasolla: jos yrityksellä on tietoturvakumppani, josta se ei juuri koskaan kuule mitään, miten voi tietää, että saa vastinetta rahoilleen? NetNordicin tietoturvapalveluiden perustana on kattava raportointi. Asiantuntijat tekevät näkyväksi sen, mitä ympäristössä on tehty. Lisäksi raporteissa on johtoryhmälle suunnattu yleispätevämpi osuus sekä syvällisempi katsaus tietoturvaan aiheeseen perehtyneille. 

Vilenin mukaan on myös tärkeää, että tietoturva-asiantuntija seuraa jatkuvasti alaa ja on perillä uusimmista uhista. Kyberhyökkääjät ovat alansa ammattilaisia ja kyberrikollisuudessa liikkuu nykyään enemmän rahaa kuin laittomassa huumebisneksessä – toiminta on hyvin järjestäytynyttä ja ammattimaista. Siksi kyberturvallisuuden ammattilaisten täytyy pyrkiä olemaan parempia kuin hyökkääjät. NetNordic seuraa tiiviisti alan kehitystä ja uusia riskejä sekä tukee asiakkaitaan niihin varautumisessa. 

”Johtoryhmä tuskin haluaa raportoida kyberhyökkäyksistä hallitukselle jälkikäteen ja myöntää, etteivät tienneet uhasta. Helpompi on olla ajan hermolla ja perustella budjetointitarve konkreettisilla toimialaa uhkaavilla riskeillä”, Vilén pohtii.

Security testing

Keskustellaanko teidän yrityksenne johdossa tietoturvasta?
Pyydä meiltä apua keskusteluun!

Asiakastarina: Nomentia

Nomentia on eurooppalaisten kassanhallinta- ja kassanhallintaratkaisujen kategoriajohtaja, ja sen tavoitteena on tarjota ainutlaatuisia pilvipohjaisia kassanhallinta- ja kassanhallintaratkaisuja. Yritys asettaa suuren painoarvon tietojensa turvallisuudelle, pitäen sitä yhtenä keskeisimmistä velvollisuuksistaan. Tässä pyrkimyksessään vahvistaa kybervalmiuksiaan Nomentia valitsi kumppanikseen NetNordicin ja hankki SOC-palvelun, joka edistää merkittävästi tietoturvaa ja auttaa varmistamaan liiketoiminnan jatkuvuuden.

NetNordic-SOC

NetNordic SOC

Security Operations Center, tuttavallisemmin SOC-palvelu, tuo turvan yritykseesi osaavan henkilöstön, lokienhallinnan, tietoturvavalvonnan ja poikkeusten käsittelyn avulla – aina kiinteään hintaan.

Miksi valita NetNordic SOC?

NetNordic SOC voi havaita kyberturvallisuusuhkia, lieventää mahdollisia hyökkäyksiä ja vaaratilanteita sekä eristää ja estää poikkeamia asiakkaidemme IT-ympäristössä – SOC-henkilöstömme toimesta 24/7/365.

Kuinka uhkien havaitseminen ympäristössä tapahtuu?

NetNordicissa me teemme proaktiivista uhkien metsästystä SIEMin avulla. Siihen sisältyy perusteellinen seuranta ja korjausten hallinta.

Content category

Content type

Ota yhteyttä meihin tästä!

Soita meille suoraan puhelinnumeroomme +358 20 743 8000, lähetä meille sähköpostia osoitteeseen info.fi@netnordic.com tai täytä alla oleva lomake, niin olemme sinuun yhteydessä mahdollisimman pian. Kiitos!

Contact by mail