Kyberturvallisuus toteutuu paremmin ilman turhaa pelottelua

Kyberturvallisuus on moniulotteinen asia, joka sisältää kaikkea tekniikasta hallintaan ja toimiviin prosesseihin sekä lainsäädäntöön. Mutta mikä kaikki vaikuttaa siihen, että kyberturvallisuus toteutuu yrityksissä mahdollisimman hyvin? Ja onko sataprosenttista turvallisuutta edes olemassa? YTK:n tietohallintojohtaja Satu Koskinen (kuvassa oikealla) vieraili Advanian Ajattelemisen aihetta -podcastissa, jossa pohdimme hänen kanssaan muun muassa johdon roolia kyberturvallisuuden toteutumisessa. 

Kyberturvallisuudesta puhuttaessa sorrutaan usein pelotteluun ja uhkakuvien maalaamiseen. Pelottelu voi olla tehokas keino saada johdon huomio ainakin hetkellisesti, mutta Satu uskoo, että toimiva kyberturvallisuus vaatii pelottelun tilalle pehmeitä arvoja. Pehmeät arvot osana kyberturvallisuutta voivat kuitenkin jäädä vain haaveeksi, jos yrityksen johto ei ole sitoutunut kyberturvallisuuteen. Kaikki lähtee siis siitä, että johto ymmärtää kyberturvallisuuden merkityksen osana yrityksen toimintaa ja sitoutuu siihen. 

Johdon sitoutuneisuuden lisäksi on tärkeää, että yrityksessä on ymmärrys kyberturvallisuuden tilanteesta. Onko yrityksessä tarpeeksi resursseja vai tulisiko joku osa tietoturvasta ulkoistaa? Onko koko henkilöstö sitoutunut kyberturvallisuuden toteutumiseen? Kun yrityksessä on saavutettu ymmärrys kyberturvallisuuden nykytilanteesta, on myös helpompi tunnistaa mahdolliset uhat. 

Henkilöstön merkitys osana toimivaa tietoturvaa 

Monesti yksi suurin tietoturvaa heikentävä tekijä liittyy henkilöstöön. Joko henkilöstö ei ole sitoutunut yhteisiin prosesseihin tai tietoturvasta vastaava osaava henkilöstö vaihtuu niin tiuhaan, että hiljainen tieto siirtyy jatkuvasti ulos yrityksestä heidän mukanaan. Mutta miten johto voi sitouttaa henkilöstöä ja varmistaa, että jokaisella on ymmärrys omasta roolista osana yrityksen kyberturvallisuutta? 

Satu uskoo, että kaikki lähtee liikkeelle johdon sitoutumisen lisäksi henkilöstön innostamisesta sekä esimerkin voimasta. Eli pois jo mainituista kauhukuvista ja pelottelusta, ja tilalle yhteistä innostavaa keskustelua. On myös tärkeää, että yrityksessä vallitsee sellainen kulttuuri, jossa henkilöstö uskaltaa kysyä ja kyseenalaistaa; eli sanotaan ääneen, jos jokin tuntuu epäselvältä tai jotain ei ymmärretä.  

Advanian kyberturvallisuustutkimuksessa nousi esiin, että henkilöstön suuri vaihtuvuus voi myös heikentää yrityksen kyberturvallisuutta. Satu kuitenkin painottaa, että mikäli yrityksen prosessit ja tietoturvapolitiikka ovat kunnossa, ei henkilöstön vaihtuvuus voi yksistään romuttaa koko yrityksen tietoturvaa.  

Valjasta tietoturva kasvun mahdollistajaksi  

Tietoturvan ja kyberturvallisuuden merkitys tulee varmasti kasvamaan tulevaisuudessa entisestään. Huonosti hoidettu tietoturva voi pahimmillaan näkyä yrityksissä jopa asiakkaiden menettämisenä, sillä asiakasyrityksillä on kasvavissa määrin odotuksia ja vaatimuksia yhteistyökumppaneita kohtaan tietoturvan osalta. Kun yritys panostaa omaan kyberturvallisuuteen, sillä on paremmat edellytykset olla haluttu yhteistyökumppani myös asiakkaiden keskuudessa nyt ja tulevaisuudessa. Hyvin hoidettu ja hallittu tietoturvainfra on myös helpommin skaalattavissa ylöspäin yrityksen kasvaessa.   

”Lähtisin päättäjinä lähestymään asiaa liiketoiminnan jatkuvuuden kautta. Kyberturvallisuuden arvo asiakkaalle ja yhteistyökumppanille on todella suuri”, summaa Satu.