Ville Niilekselä, F-Secure: Älä investoi sokkona – kyberturvallisuudessa keskiarvoilla ei ole mitään merkitystä

Yritysten liiketoiminta perustuu yhä enemmän tietojen automatisoituun keräämiseen, käsittelyyn ja välittämiseen asiakkaiden ja yhteistyökumppanien kesken. Kun tarkastelee eri alojen trendejä tuleville vuosille, nousee esille asioita kuten dataohjautuva älykkyys, ”internet of people”, tekoäly ja asiakasdata.

Digitaalisuus tuo kuitenkin mukanaan tehokkuuden ja mahdollisuuksien lisäksi myös riskejä, jotka on syytä tunnistaa ja arvioida oikein. Näiden riskien analysoinnin pitäisi olla jokaisen organisaation liiketoimintasuunnitelman keskiössä.

Mikä on yrityksesi uniikki riskiprofiili?

Tietomurron keskimääräiset kustannukset yritykselle ovat noin 3,6 miljoonaa euroa*. Tietomurtoihin ja kyberturvallisuuteen liittyvissä artikkeleissa ja tutkimuksissa nostetaan toistuvasti esille erilaisia keskiarvoja liittyen tietomurtojen syihin, kustannuksiin ja todennäköisyyteen. Tällaiset tutkimukset toimivat mainiosti tietoisuuden levittämisessä, mutta voiko niitä hyödyntää yrityksen johtamisessa tai liiketoimintaan liittyvien päätösten tekemisessä?

Tosiasia on, että kyberturvallisuudesta puhuttaessa keskiarvoilla ei ole mitään merkitystä. Jokaisella yrityksellä on uniikki riskiprofiili johon vaikuttaa mm. yrityksen toimiala, liiketoimintamalli, erilaiset haavoittuvuudet ja niistä aiheutuvat uhat sekä erityisesti se, kuinka hyvin yritys on valmistautunut reagoimaan ja vastaamaan mahdolliseen tietomurtoon. Kun kaikki tämä tieto kerätään yhteen, yrityksen johto voi havainnollistaa millaisia riskejä yrityksen toimintaan liittyy, millaisia kustannusvaikutuksia niillä voi olla sekä miten niiden suuruuteen voidaan omalla toiminnalla vaikuttaa.

Älä investoi tietoturvaan sokkona

Yllättävän usein kyberturvallisuuden riskienhallintaa ja siihen liittyviä investointipäätöksiä tehdään yhä arvaamalla. Onko teillä käytössä ”liikennevaloväreihin” perustuva riskienhallintataulukko? Riskien määritteleminen ylimalkaisesti suuriksi tai pieniksi erilaisten taulukoiden avulla ei auta selvittämään, onko mahdollisen tietomurron kulu 10 miljoona euroa vai 100 miljoonaa euroa, tai onko tietoturvaan investoitu tarpeeksi oikeissa kohdin. Kun riskialttiina olevan tiedon määrä kasvaa jatkuvasti, on myös siihen liittyvän riskienhallinnan keinoja päivitettävä.

Digimaailman riskien muuttaminen numeroiksi ei ole salatiedettä. Yrityksen johdon on mahdollista selvittää yrityksen uniikit riskit ja mahdollisten vahinkojen suuruus etukäteen. Tämän tiedon avulla johdon on mahdollista tehdä perusteltuja päätöksiä digitalisaation liittyvien riskien hallinnasta sekä kyberturvallisuuteen liittyvistä investoinneista. Riittävä kyberturvan taso on aina merkittävä investointi, jota ei kannata tehdä sokkona. Parhaimmillaan tietoturva mahdollistaa liiketoiminnan vastuullisen ja turvallisen kasvun. Kun riskille on laskettu hintalappu, konkretisoituu sen merkitys myös jokapäiväisen liiketoiminnan suunnittelussa. Riskien muuttaminen numeroiksi helpottaa usein aiheesta keskustelua myös yrityksen johtoryhmässä.

Kyberturvallisen syksyn voit startata tutustumalla aiheeseen tarkemmin F-Securen blogissa, jossa käsittelemme kyberriskien kulujen arviointia ja hallintaa. Älä tyydy keskiarvoihin, koska niillä ei ole mitään merkitystä.

*According to a study by Ponemon Institute and IBM in 2017: https://www.ibm.com/security/data-breach/

Ville Niilekselä
Security Management Consultant, F-Secure

Lue #EKkyberblogin aiemmat kirjoitukset