Tietoturvan ajattelee helposti olevan vain osa IT-osaston toimintaa tai tietoturvavastaavan yksinäinen rasti. Tällä ajattelumallilla tietoturva ei nivoudu osaksi koko liiketoiminnan johtamisen kokonaisuutta. Tietoturva on olennainen osa riskienhallintaa, joten se ansaitsee paikkansa osana yrityksen strategiatyötä varmistamaan liiketoiminnan menestys.
Jokaisen yrityksen tehtävänä on tuottaa arvoa omistajilleen ja asiakkailleen. Tätä toimintaa ohjaa strategia, jossa on tehty valinnat yrityksen päämäärästä ja tekemisen painopisteistä.
Yrityksen strategian toteutumiseen kohdistuvat riskit lisääntyvät jatkuvasti toiminnan digitalisoituessa jatkuvasti enemmän. Kasvava määrä riskeistä liittyy yrityksen rakentamiin tai käyttämiin ohjelmistoihin, tuotteisiin, järjestelmiin ja verkkoihin. Silti tietoturvan johtaminen jää usein IT-osaston tai yksittäisen tietoturvavastaavan vastuulle, eikä se nivoudu kestävällä tavalla yrityksen liiketoiminnan johtamisen käytänteisiin.
Tietoturvan näkeminen pelkkänä uponneena kulueränä on kestämätön polku
Yrityksen valitseman strategian toteuttamiseen liittyviä riskejä hallitaan laadukkaasti johdetussa yrityksessä riskienhallinnan keinoin. Lopputuloksena tulisi olla implementoidut kontrollit, joilla pyritään hallitsemaan organisaation riskinsietokyvyn ylittäviä riskejä. Esimerkkejä tällaisista kontrolleista ovat palautumissuunnitelmat.
Liiketoiminnan jatkuvuussuunnitelmalla pyritään puolestaan varmentamaan kyky jatkaa liiketoimintaa epäsuotuisissa oloissa. Tämä tarkoittaa tilanteita, joissa yrityksen strategisiin tavoitteisiin pääseminen on vaarantunut, esimerkiksi laajamittaisen tietomurron vuoksi.
Tietoturvainvestointien takaisinmaksua on vaikea ennalta arvioida. Ajatus on syytä kääntää siihen, kuinka yrityksen resilienssi on riittävän korkea tietoturvariskien toteutumisen kohdalla. Tämä tekee yrityksen tietoturvan johtamisesta yrityksen liiketoimintajohtamisen peruskyvykkyyden, jota ei voi enää nähdä vain uponneena kulueränä, joka kohdistetaan pakollisiin tietoturvahyökkäysten estotoimiin.
Toinen tapa ajatella investointeja on tietoturvaan menevien kulujen minimointi. Jokaisella organisaatiolla on kuluja tietoturvasta – toisessa ääripäässä ne ovat kontrollien implementoinnista tulleita kustannuksia ja toisessa puolestaan riskien tuomia odotusarvollisia tappioita. Todellinen kustannus on näiden kahden tekijän summa, jota pitäisi pyrkiä pitämään mahdollisimman pienenä hyvällä suunnittelulla ja johtamisella.
Tietoturvan johtaminen saumattomaksi osaksi liiketoiminnan johtamista
Yritysten käytettävissä olevat budjetit ja resurssit ovat aina rajalliset. Tämän vuoksi on varmistettava, että yrityksen valitseman strategian toteuttamisen kannalta olennaisimmat tietoturvariskit on huomioitu ja niitä vastaan on asetettu tavoitteet sekä suunniteltu toimenpiteet näiden tavoitteiden saavuttamiseksi.
Yrityksen tietoturvariskien hallinta ei ole paperinmakuista taustaorganisaation hallinnon pyöritystä. Riskienhallinnan ja sitä kautta tietoturvan johtamisen tulisi olla strategiasta kumpuavaa liiketoiminnan johtamisen kyvykkyyttä. Sen tulee nivoutua johtoryhmän ja hallituksen normaaliin työskentelyrytmiin. Staattiset tietoturvavastaavan vuosikatsaukset eivät kata sitä tarvetta, jolla yrityksen tietoturvakyvykkyys nousee tämän päivän edellyttämälle tasolle.
Tietoturvaa liiketoiminnan kielellä
Hallitus tai johtoryhmä voi olla haluton ottamaan tietoturvaa osaksi normaalia työskentelyagendaa. Tähän ei välttämättä ole riittävää osaamista tai tietoturva nähdään teknisenä kokonaisuutena, josta IT-osasto tai tietoturvapäällikkö ottavat kokonaisvastuun ja tietoturvariskit nähdään tällöin vain osana IT:n riskejä. Johtoryhmän ja hallituksen tehtävinä on kuitenkin varmistaa yrityksen kilpailukyky ja toiminnan jatkuvuus kaikissa tilanteissa, eikä tietoturvan johtamisen vastuuta voi tällöin ulkoistaa. Johdon on myös kyettävä ymmärtämään tietoturvariskit sekä niiden vaikutukset yrityksen kilpailukykyyn ja jatkuvuuteen.
On kyettävä kääntämään tietoturvapuhe ja riskienhallinta liiketoiminnan kielelle ja ymmärrettävä tarve tietoturvakyvykkyyden nostamiselle. Kriittisenä tekijänä tässä on tavoitteiden asetanta tietoturvalle – tavoitteet tulee aina johtaa yrityksen strategiasta ja sidosryhmien vaatimuksista yritystä kohtaan. Tällöin tietoturvan tavoitteet ovat puettu liiketoiminnan tavoitteiksi ja ne tukevat yrityksen liiketoiminnallisia tavoitteita.
Meillä 2NS:llä toimii kokonainen tiimi tietoturvan johtamisen ammattilaisia, joilla on pitkä kokemus liiketoiminnan menestyksen varmistavan tietoturvan johtamiskyvykkyyden rakentamisesta organisaatioihin. Toimimme projekteissa asiakkaiden tietoturvan johtamisen kehittämishankkeissa sekä vuokrattuina tietoturvajohtajina.
2NS:n palveluihin kuuluvat myös ylimmän johdon ja hallituksen tietoturvan johtamiskyvykkyyden kartoitus- ja sparraustapaamiset. Jos haluatte varmistaa oman organisaationne johdon ja hallituksen tietoturvajohtamisen lähtötason ja lähteä suunnittelemaan kyvykkyyden nostoa, voimme olla tässä avuksi.
Nivotaan tietoturvan taso osaksi liiketoimintaa
- Digitalisoituvassa yhteiskunnassa tietoturva tulisi nivoa osaksi koko liiketoiminnan johtamista
- Toiminnan runkona on riskien arviointi ja sen jälkeen niiden hallinta implementoiduilla kontrolleilla
- Yrityksen kannattaa katsoa sen tietoturvan kokonaisresillenssiä
- Hyvässä tapauksessa tietoturvaan menevät kulut ovat kontrollien implementoinnin kustannuksia – huonossa riskien realisoitumisen tuomia tappioita
- Riskienhallinnan ja sitä kautta tietoturvan johtamisen tulisi olla strategiasta kumpuavaa liiketoiminnan johtamisen kyvykkyyttä
2NS toteuttaa tietoturvan tason arviointeja ja toimii kumppanina tietoturvan hallintajärjestelmien perustamisessa sekä kehittämisessä. Tutustu vaihtoehtoihin, joilla voit lähtökartoittaa organisaatiosi tietoturvan. Hallintajärjestelmää kohti kannattaa lähteä tutustumalla ISO/IEC 27001 -standardiin. Saat helposti lisätietoa ottamalla meihin yhteyttä.