Johtajilla on vastuu myös kyberturvallisuudessa
Johtajat määrittelevät mitä tehdään ja päälliköiden johdolla nämä asiat toteutetaan asiantuntijoiden kanssa tehokkaasti ja turvallisesti. Tämä vahva yksinkertaistus johtajuusmallista sisältää vastuukysymyksien määrittelyn, joka pätee myös kyberturvallisuuteen. Hallituksen jäsenet ovat henkilökohtaisesti taloudellisessa vastuussa päätöksistään omistajille ja johto on vastuussa hallitukselle. Lähellä ovat ne hetket, jolloin omistajat vaativat hallituksen tilille myös kyberturvallisuuteen liittyvistä virheistä.
GDPR:n astuessa täysimääräisesti voimaan ensi toukokuussa, esimerkiksi asiakastietojen vuotaminen nettiin voi johtaa vaikeisiin ja kalliisiin oikeudenkäynteihin. Etenkin jos kyse on huolimattomuudesta tai välinpitämättömyydestä. Hallituksien tulisikin vaatia johtajilta selvitystä toimenpiteistä, joilla pienennetään kyberrikollisuuden uhkia ihan oman henkilökohtaisen asemansa turvaamiseksi.
Mistä sitten olisi hyvä tehdä seuraavaksi?
Loogisinta olisi ensin ottaa tilanne haltuun tunnistamalla millaisia järjestelmiä, laitteita ja tiloja organisaatiolla on hallussa ja kuka niihin on oikeutettu pääsemään ja mistä syystä. Voisi luulla, että tämä asia on jo kunnossa, mutta muutosvauhti on niin huimaa, ettei tässä pysytä mukana manuaalisilla prosesseilla. Kun nykytilanne on hallussa, voidaan hallinta ja valvonta rakentaa erittäin tehokkaaksi nykyisillä teknologioilla. Suuri haaste organisaatioissa ovat siis manuaaliset hallintaprosessit eli organisaatioilla ei ole reaaliaikaisesti tiedossa (digitaalisessa muodossa) mikä on sallittu nykytila. Paljon toimintoja on myös ulkoistettu, mikä sumentaa tilannetta. Uudet älykkäät järjestelmät ja robotiikka tarvitsevat oikean, reaaliaikaisen ja luotettavan tiedon toimiakseen. Jos yritys haluaa pärjätä myös tulevaisuudessa, niin tiedon luotettavuuteen ja reaaliaikaisuuteen tulee panostaa.
Kyberturvallisuuden yksi peruspilari on siis luoda digitaalisesti hallitut prosessit organisaatioiden resurssien ja niiden oikeuksien hallintaan. Kun nämä perustiedot ovat jatkuvasti kunnossa, joka päivä ja joka minuutti, niin vasta sitten kannattaa hankkia sopivat työkalut asioiden automatisointiin. Oli kyse sitten tunkeutujien torjunnasta tai teollisuusvakoilun estämisestä, niin hyviä työkaluja on jo olemassa. Tärkeintä on, että hankitut työkalut tietävät sallitut tilanteet, jotta ne eivät vahingossa estä yritystä toimimasta tehokkaasti. Toki on hyvä muistaa, että oikeanlaisella verkkotopologialla voidaan vaikeuttaa merkittävästi tunkeutujien ja hyökkääjien pääsyä. Tässä kirjoituksessa on oletuksena, että verkkotopologiat ovat jo yrityksien hallinnassa ja kunnossa - vai ovatko?
Tomi Hautala
Propentus Oy
Partner, Managing Director