Yrityksiä ja organisaatioita uhkaavat kyberriskit ovat monimutkaistuneet, ja niin ovat myös teknologiat, joiden avulla tietoturvaa ylläpidetään ja uhkia torjutaan. Liiketoiminnan jatkuvuuden takaava tietoturvan taso vaatii nykypäivänä pitkälle edistynyttä asiantuntijuutta.
Kun organisaatioiden ICT-ympäristöt ja digitaaliset palvelut ovat yhä monimutkaisempia, ja lisääntyvien ja kehittyneempien kyberuhkien kohteena, useimmat yritykset ulkoistavat tietoturvan ylläpidon, valvonnan ja kyberpuolustuksen rakentamisen ulkopuoliselle kumppanille. Toteutuessaan kun tietoturvauhkat voivat pahimmillaan halvaannuttaa koko liiketoiminnan, jolloin tietoturvasta huolehtiminen vaatii pitkälle kehittynyttä asiantuntijuutta, teknologista osaamista ja dedikoituja käsipareja. Näihin ei usein yrityksen itsensä kannata panostaa, sillä toiminnan ydin on jossain muualla.
Lue lisää: Nousevat uhkat hyödyntävät laajentunutta hyökkäyspinta-alaa – tietoturvan käsite laajenee
Tietoturvakumppanilta vaaditaan nykypäivänä paljon enemmän kuin vielä muutama vuosi sitten. Maailmantilanteen kiristyminen ja kyberriskien muuttuminen paljon vakavammaksi edellyttää entistä laajempien kokonaisuuksien hahmottamista – esimerkiksi huoltovarmuuskriittisen yrityksen tietoturvariskeissä tulilinjalla ei välttämättä ole pelkästään yrityksen liiketoiminta, vaan laaja kansalaisten joukko, jonka peruspalvelut ovat uhattuna.
Mihin kaikkeen kumppanuudessa kannattaisi siis kiinnittää huomiota, jotta yritys saisi itselleen toimivimman ratkaisun, joka takaa toiminnan jatkumisen hädänkin hetkellä?
Kyberkumppanuuden kaksi puolta – käytänteistä ja hallinnosta teknologiaan
Pelkkä teknologiaan nojaava päätelaitesuojaus tai ICT-ympäristön tapahtumien seuranta yhdistettynä tikettien varassa toimivaan Help Deskiin ei nykyisessä kybermaisemassa enää riitä takaamaan, että yrityksen toiminta ja asiakkaiden palvelut ovat turvassa ja käytettävissä kaikkina vuorokauden aikoina.
Tarvitaan ennakointia ja proaktiivista kumppanuutta, jossa yrityksen ICT-infraa ja kyberturva-arkkitehtuuria kehitetään vahvemmaksi ja turvallisemmaksi, ja samaan aikaan huolehditaan, että tietoturvaan liittyvät käytännöt ja toimintamallit ovat ajan tasalla.
Tietoturvateknologia kehittyy hurjaa vauhtia, ja pysyminen aallon harjalla vaatii kokopäivätoimista hereillä oloa. Tehokkuutta ja kyberturvan vaatimaa salamannopeutta voidaan hakea esimerkiksi automaatiolla ja ennakointia voidaan kehittää paitsi tutkailemalla haavoittuvuuksia ja mahdollisia verkon uhkia, myös kyberturvan järjestelmien tarjoaman jaetun datan avulla. Kumppanin teknologisiin kyvykkyyksiin, osaamiseen ja sertifiointeihin kannattaa siis kiinnittää huomiota.
Ennen kaikkea kuitenkin tietoturva ja yrityksen digitaaliset ympäristöt ovat ihmisten käsissä ja heidän osaamisensa varassa. Teknologisen syväosaamisen lisäksi kumppanilla tulisi olla hallinnollisen tietoturvan asiantuntijuutta sekä kykyä sparrata organisaatiota parempaan tietoturva-arkkitehtuuriin ja tietoturvallisempiin käytänteisiin.
Yrityksen tietoturvatoimien on oltava linjassa vallitsevan tietosuojalainsäädännön kanssa. Tietoturvan ja riskienhallinnan kansalliset ja kansainväliset standardit päivittyvät sääntelyn mukaisesti, ja ne on osattava huomioida kyberturvan kokonaisuudessa. – niin asiakkaalla kuin toimittajallakin.
Yksi tapa, millä kumppani voi osoittaa laajan osaamisensa kyberturvan saralla ovat sertifikaatit. Esimerkiksi ISO 27001 sertifikaatti takaa asiantuntijuuden ja sitoutumisen läpinäkyvään ja tietoturvalliseen toimintaan.
Tunnista sitoutumisen merkit
Kun mahdollista kumppanuutta tunnustellaan, yhdeksi tärkeimmäksi seikaksi nousee kuitenkin kommunikaation, teknologisten kyvykkyyksien sekä tietoturvan hallinnollisen ja käytänteisiin liittyvän osaamisen lisäksi asiakkaan toiminnan ymmärtäminen - kuinka hyvin mahdollinen toimittaja on ymmärtänyt olennaisen turvattavasta liiketoiminnasta ja organisaation toiminnasta?
Onko ratkaisun tarjoaja sisäistänyt esimerkiksi, mitä liiketoiminnan kriittisten palveluiden joutuminen vaikkapa palvelunestohyökkäyksen kohteeksi voisi laajimmillaan tarkoittaa? Myykö kumppani vain teknologista ratkaisua, vai liittyykö yhteistyöhön myös selkeätä palvelukerrosta ja tietoturvan ja ICT-infran kehittämistä?
Asiakkaan liiketoiminnan ymmärtäminen liittyy myös kykyyn mukautua organisaation prosesseihin. Kun kumppanin ja yrityksen kyberturvaan liittyvät prosessit limittyvät saumattomasti, uhkatilanteen sattuessa myös puolustautuminen ja mahdollisesta kyberhyökkäyksestä toipuminen tapahtuu nopeasti.
Kun puhutaan kokonaisvaltaisesta kumppanuudesta, Incident Response Plan eli suunnitelma mahdollisen kyberhyökkäyksen varalle sekä siihen liittyvät toimintamallit ja vastuuhenkilöt tulisivat olla selvillä niin toimittajan kuin asiakkaan päässä.
Tutustu: Tietoturvaseteli kriittisten alojen toimijoille
Kyberturvakumppanuuden perusta nykytilan analysoinnista
Ennen kuin kyberturvaa ryhdytään rakentamaan teknologisilla ratkaisuilla, on syytä tuumata hetki, ja selvittää, minkälaisia haasteita ja haavoittuvuuksia yrityksen tietoturvalliseen toimintaan liittyy, ja mihin kaikkeen mahdollinen kyberhyökkäys yrityksen infrastruktuurissa vaikuttaisi. Näin päästään paremmin kustannustehokkaisiin ratkaisuihin ja toisaalta identifioidaan tärkeimmät kehityskohteet.
Tietoturvakumppanuuden rakentaminen ja yrityksen kyberturvallisuuden kehittäminen alkaa nykytilanteen tarkastuksella arvioinnilla ja toiminnan tarpeiden kartoituksella. Tietoturvakartoituksen avulla saadaan kokonaiskuva yrityksen teknisestä tietoturvan tasosta ja samalla yrityksen avainhenkilöt saavat arvokasta oppia kyberturvasta.
Arvioinneissa kartoitetaan myös hallinnollinen tietoturva – kun tietoturvaa ei ole määrätietoisesti kehitetty, asiakkaallekin on hyvä ymmärtää, kuinka paljon kehitettävää saattaakaan löytyä, ja millä mallilla niin hallinnolliset toimintamallit ovat verrattuna yleiseen kehitystasoon.
Tietoturvapalveluiden kokonaisuus rakennetaan ja muokataan tehtyjen kartoitusten perusteella. Ajantasaistaminen voi sisältää laitteita, järjestelmiä ja lisenssejä sekä palveluita kyberturvan tehokkaaseen käyttöön. Arkkitehtuurin asiantuntijat auttavat kytkemään tietoturvan tekniset ja hallinnolliset ratkaisut toisiinsa.
Tutustu: Cinian tietoturvakartoitukset ja -arvioinnit
Aktiivinen vuoropuhelu ja helpot tavat kommunikoida ehkäisevät katastrofeja
Niin kuin kaikissa suhteissa, myös kyberturvakumppanuudessa läheisyyden ja etäisyyden asteet ovat moninaiset. Toimittaja voi todella olla vain teknologian toimittaja, kun taas asteikon toisessa päässä kumppani valvoo 24/7, uhkatiedustelee ja testaa kyberpuolustuksen kestävyyttä, ja kehittää yrityksen IT-infrastruktuuria yhä turvallisemmaksi osana yrityksen tiimiä. Kumppanuuteen voi liittyä myös maantieteellistä etäisyyttä tai läheisyyttä, tai organisaatiot saattavat olla hyvin eri kokoisia.
Kun pohditaan, minkä laatuinen kyberturvasuhde voisi olla omalle yritykselle sopiva, yksi huomioon otettava seikka on se, että mitä kauempana yrityksen toimintaympäristöstä tietoturvan palveluntarjoajan painopisteet sijaitsevat, sitä etäämmältä, joko henkisesti, fyysisesti tai molemmissa ulottuvuuksissa, asiakkaan tarpeet otetaan huomioon toimittajan päässä.
Käytännössä tämä voi tarkoittaa vaikkapa pitkälle virtaviivaistettuja prosesseja joihin asiakkaan omien toimintamallien on hankala sopeutua, tikettijonoja, tai esimerkiksi hidasta kehitysaskeleiden viemistä toiminnan tasolle yrityksen tietoturvan kokonaisuuteen. Maantieteellisesti etäällä olevalla palveluntarjoajalla ei välttämättä aina ole kyvykkyyttä huomioida myöskään yrityksen toiminnan kansallisia erityispiirteitä.
Lähellä olevan kumppanin kanssa vuoropuhelu on mutkatonta. Hätätilanteissa pikaviestit ja puhelin toimivat yhteydenpitokanavina, sillä aikaa ei silloin ole hukattavaksi tikettiprosesseihin. Kun toimittaja on lähellä organisaation toimintaa, ja tuntee yrityksen toimintaympäristön ja kyberarkkitehtuurin hyvin, on kehittämistyötäkin helpompi tehdä.
Säännölliset kehitystapaamiset, ja esimerkiksi teknisten ratkaisujen ja palveluiden säännölliset katselmoinnit auttavat ylläpitämään kyberturvan jatkuvasti riittävällä tasolla ja yrityksen toimintaan sopivina.
Vaadi ainakin nämä asiat kyberturvakumppanuudeltasi
- Toimintaympäristön tuntemus
- Nykytilan analyysi
- Kehityssuunnitelma tulevaan
- Incident Response Plan
- Toimivat ja helpot kommunikaatiokanavat
