Kyberturvallisuus ja kasvuyrityksen johdon to do

Modernit organisaatiot ovat aiempaa riippuvaisempia teknologiaratkaisuista ja digitaalisessa muodossa tallennetusta tiedosta. Tietoturva kulkee käsi kädessä tämän kehityksen kanssa, mutta miten yritysjohto voi saada henkilöstön ottamaan tietoturvan vakavasti?

Kilpailuetua haetaan viimeisintä teknologiaa hyödyntämällä ja prosesseja voidaan viedä läpi automatisoidusti, aiempaa nopeammin. Tämä on yksi keskeinen syy sille, että kyberturvallisuus kuuluu hallituksen ja ylimmän johdon agendalle, eikä tulisi enää olla vain IT:n agendalla. Kyberturvallisuus ei myöskään ole yksinomaan tekninen ja riskienhallintaan liittyvä asia, vaikka ne ovatkin oleellisia kyberturvallisuuteen liittyviä asioita. Tänä päivänä myös sijoittajat, viranomaiset, asiakkaat ja regulaattorit enenevässä määrin haastavat hallituksen jäseniä aktiivisesti osoittamaan huolellisuutta ja hyvää kyberturva ja tietosuoja-asioiden hallintaa.

Triljoonan dollarin tietovuodot

Taloudellisesti tarkasteltuna kyberrikollisuus, haittaohjelmahyökkäykset ja tietovuodot aiheuttivat vuonna 2017 globaalilla tasolla ennätyskustannukset, arviolta jopa triljoona dollaria. Vuosi 2018 alkoi lähes kaikkia tietokoneita koskevien prosessorien arkkitehtuuriin liittyvien Meltdown- ja Spectre- haavoittuvuuksien merkeissä. Yksi riskienhallinnan ja myös liiketoiminnan strategisen suunnittelun kulmakivistä on tuntea oma liiketoimintaympäristö, sen muutokset, alan trendit ja globaalit sekä paikalliset uhat.

PK-yritysten digiloikkaa tarvitaan

Vaikka digitalisaatiosta ja kyberturvallisuudesta puhutaankin paljon, ei tämä ole riittävästi heijastunut PK-yritysten arkeen. Kauppakamarien alkuvuonna 2015 toteuttama PK-hallitusbarometri osoitti, ettei Suomessa hallituskokoonpanoissa digiosaaminen ole keskeisessä roolissa. Enemmistö kyselyyn vastanneista ei pitänyt uuden teknologian osaamista erittäin tärkeänä tai tärkeänä hallituksen jäsenen osaamisalueena. Vastaavassa tutkimuksessa vuonna 2017 edelleen 43 prosenttia vastaajista ei näe uuden teknologian osaamista liiketoiminnassa lainkaan tärkeänä hallituksen jäsenille. Miten PK-yritykset menestyvät tulevaisuudessa, jos lähes puolet ylimmästä johdosta ei koe teknologian osaamista ja ymmärtämistä tärkeäksi?

Yritysjohto voi vaikuttaa yleiseen asenteeseen pitkälti omalla esimerkillä. Vaikka digitalisaatio ja kyberturvallisuus eivät olisikaan oman organisaation tai osaamisen keskipisteessä, kannattaa ainakin seuraavat kysymykset esittää:

1 Miten kyberturvallisuuteen liittyvät riskit ja mahdollisuudet on huomioitu strategiassamme?
2 Mitkä ovat oleellisimmat kyberturvallisuuteen liittyvät riskit ja miten ne kohdistuvat ja vaikuttavat organisaatioomme?
3 Olemmeko riittävän hyvin suojautuneita ja varautuneita siihen, että 100 prosentin suojausta ei ole? Millä perusteella? Miten toimisimme tietomurtotapauksessa?
4 Miten organisaatiossamme on vastuutettu tietosuoja, tietoturva ja kyberturvallisuus?
5 Mitä kyberturvallisuuteen investoidaan ja miten näitä investointeja seurataan? Millaisia mittareita on käytössä?

 

Mika Laaksonen
KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.