<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=444991906801021&amp;ev=PageView&amp;noscript=1">
23.11.2020 9:00

Mihin kyberturvallisuuden johtaminen kulminoituu?

Viime aikojen näkyvät kyberturvallisuusloukkaukset ovat herättäneet meidät kaikki jälleen kerran pohtimaan kyberturvallisuusuhkia ja niiltä suojautumista. Tehtävä ei ole yksinkertainen. Kyberuhkien torjunta on moniulotteista, joten kyberturvallisuudesta on huolehdittava kokonaisvaltaisesti. Kyky torjua tämän päivän uhkia edellyttää teknisten ja toiminnallisten aktiviteettien lisäksi hyvää johtamista.

Miten organisaatiossanne johdetaan kyberturvallisuutta?

Ensimmäiseksi tulisi tarkastella, johdetaanko yrityksen tai organisaatio kyberturvallisuuden kehittämistä sekä ylläpitoa, ja millä tavalla. Tyypillistä on, että kyberturvallisuus vastuutetaan jollekin henkilölle tai tiimille, mutta asiasta ei välttämättä olla sen enempää kiinnostuneita johdon tasolla. Kun mitään ei satu, tuudittaudutaan ajatukseen, että asiat ovat hyvin ja kyberuhkiin varautuminen kunnossa. 

Positiivisempi äärilaita johtamissa on se, että kyberturvallisuus on lähes jokaisen kokouksen agendalla. Se on kiinteä osa kaikkea tekemistä, kaikilla organisaation tasoilla. Johto on kiinnostunut kyberturvallisuudesta ja on mukana suunnittelemassa kyberturvallisuuden kehittämistä sekä tekee päätöksiä.

 

Mitkä asiat korostuvat johtamisessa?

Seuraavaksi tulisi katsoa, mitkä asiat korostuvat kyberturvallisuuden johtamisessa. Onko johtaminen pelkästään budjettilähtöistä tai esimerkiksi vain teknisten välineiden hankintaa? Nähdäänkö kyberturvallisuus yrityksen ja liiketoiminnan kannalta keskeiseksi menestystekijäksi ja ollaanko siihen valmiita kohdentamaan resursseja?

Tämän päivän digitaalisessa toiminta- ja uhkaympäristössä yritysjohdon tulisi olla erittäin kiinnostunut kyberturvallisuudesta. Liiketoiminnan ja maineen turvaamiseksi tulisi miettiä, mitä kokonaisuuksia kehitämme, millaisia panostuksia ne vaativat, ja mitä kullakin kehityskohteella saavutetaan. Kokonaiskuvassa henkilöstön osaamisen kehittämisen, teknologiainvestointien sekä prosessien ja toimintatapojen jatkuva kehittäminen tulee olla tasapainossa.

Hyvä johtaja varautuu yllättäviin tilanteisiin ja pyrkii pienentämään myös kyberuhkiin liittyviä riskejä riittävillä valmistelevilla toimilla.

Hyvä johtaja varautuu yllättäviin tilanteisiin ja pyrkii pienentämään myös kyberuhkiin liittyviä riskejä riittävillä valmistelevilla toimilla. Hän varautuu myös yllättäviin tapahtumiin, kuten esimerkiksi tietomurtoon. Osaava johtaja pohtii etukäteen, miten toimitaan kyberhyökkäyksen sattuessa, ja miten toimintaa palautetaan.

Varautumiseen liittyvät aina ennakoivat toimenpiteet. Näihin kuuluvat yrityksen kyber- ja tietoturvallisuuden perusasioista huolehtiminen, johon sisältyy muun muassa ohjelmistopäivityksiin, salasanoihin, pääsynhallintaan ja salaukseen liittyvät käytännöt. Perusasioiden lisäksi on pohdittava ja kehitettävä kykyä havainnoida mahdolliset poikkeamat ICT-ympäristössä joko omin tai kumppanin voimin. Kriittisimpien järjestelmien ja datan osalta havainnoinnin tulisi olla ympärivuorokautista, sillä tunnetustihan hyökkääjät eivät noudata toimistoaikoja. Hyvä johtaja myös haastaa omaa organisaatiota esimerkiksi kysymällä, onko meillä riittävä näkyvyys ICT-infraan? Huomaammeko, jos joku murtautunut työasemaan tai palvelimeen?

Kyberturvallisuuden johtaminen ei aina ole yksinkertaista, mutta se on välttämätöntä.

Kyberturvallisuuden johtaminen ei aina ole yksinkertaista, mutta se on välttämätöntä. Paneutumalla asiaan ja olemalla siitä kiinnostunut voidaan tietomurron tai muun hyökkäyksen riskiä pienentää merkittävästi. Ymmärtämällä ilmiötä ymmärtää myös uhkan torjumisen vaatimat resurssit. Myös hyvät luotettavat kumppanit auttavat kyberturvallisuuden kehittämisessä.

Johtamisen tueksi löytyy hyviä työkaluja, kuten vaikkapa Traficomin Kybermittari, joka auttaa tarkastelemaan ja arvioimaan organisaation kyberturvallisuuden tilannetta. Täydellistä suojaa ei ole mahdollista rakentaa, mutta kokonaisvaltaisella lähestymisellä ja toimenpiteillä riskin realisoitumisen todennäköisyyttä ja varsinkin vaikutuksia voidaan merkittävästi pienentää. Kokonaisuus rakentuu ihmisistä, prosesseista ja teknologiasta, joten suojaukseen jää aina aukkoja.

Kuitenkin, jos on johtajana tehnyt parhaansa, niin enempää ei varmasti voi vaatia. Kyberkatastrofin iskiessä tietää varautuneensa siihen. Heikompi tilanne on silloin, kun tietää laiminlyöneensä kyberturvallisuusasiat. Mites sinun kohdallasi?

avatar

Anssi Kärkkäinen, Johtaja, Kyberturvallisuusratkaisut

Anssi Kärkkäisellä on pitkä kokemus tietoliikenne- ja kyberturvallisuusalan kehitys- ja johtamistehtävistä. Hän on työskennellyt puolustusvoimissa muun muassa hallinnon turvallisuusverkkohankkeessa projektipäällikkönä, hankepäällikkönä, kyberpuolustuksen asiantuntijana sekä kyberosaston osastopäällikkönä.