Artikkelin on kirjoittanut Jyrki Valli, Gofore. Jyrki Valli toimii kouluttajana Rastor-instituutin Pk-yrityksen kyberturvallisuus ja tietoturvastrategia -koulutuksessa.
Digitaalinen maisema on jatkuvassa muutoksessa ja tietojärjestelmät ovat nousseet yhä keskeisempään rooliin yritysten toiminnassa. Samanaikaisesti kyberuhkien määrä on tasaisessa kasvussa.
Puutteellisen tietoturvan seuraamukset ovat muuttumassa yritykselle yhä vakavammiksi. Yrityksen tietoturvaan liittyvät riskit uhkaavatkin nousta hallitsemattoman korkeiksi, jos niiden järjestelmälliseen haltuunottoon ei panosteta.
Pk-yrityksen koko ei suojele tietoturvariskeiltä
Pk-yritykset kokevat usein, että yritys sinänsä ei muodosta erityisen mielenkiintoista kohdetta kyberrikollisille. Vaikka näin olisikin, se ei poista alttiutta automatisoiduille hyökkäyksille tai tietoturvariskeille, jotka johtuvat puutteista yrityksen henkilöstön tietoturvatietoisuudessa ja -osaamisessa.
Kiristysohjelmat eivät valikoi uhrejaan. Salaamattomat kannettavat laitteet, helpot salasanat ja huoleton sähköpostiliitteiden availu ovat edelleen monen yrityksen arkipäivää.
Tietoturvakatastrofi on armoton
Toteutuessaan tietoturvariskit voivat johtaa tuotantokatkoihin, maine- ja brändihaittoihin, asiakaskunnan menetykseen ja lainsäädännöllisiin sanktioihin. Monikaan yritys ei ole oikeasti varautunut siihen, että kaikki sen IT-järjestelmissä olevat tiedot katoaisivat tai lukittuisivat, tai kaikki IT-järjestelmistä riippuvat toiminnot pysähtyisivät. Lisäksi tietojen turvallisuus ja yksityisyyden suoja ovat muodostuneet merkittäviksi kilpailutekijöiksi.
Vuosia rakennettu maine ja yritysbrändi voidaan menettää kirjaimellisesti hetkessä. Puutteellinen tietoturvan kustannus nouseekin helposti moninkertaiseksi riskien hallintaan investoimiseen verrattuna.
Tietoturvastrategian oikea aika on nyt
Kustannustehokkaimmin tietoturva saatetaan oikealle tasolleen hyvin mietityllä tietoturvastrategialla. Viime kädessä kyse on sen ymmärtämisestä, mitä yrityksessä kannattaa suojella ja mihin hintaan. Ja tietysti siitä, millä toimenpiteillä riskit saatetaan oikealle tasolle.
Harmillisesti tietoturvaan liittyvien uhkien, riskien, toimenpiteiden ja strategisten askelten maastot ovat laajoja ja osin jopa hankalakulkuisia, ja siksi strategia jääkin helposti ajatuksen asteelle. Sen työstämiseen kannattaa silloin hakea tietoa oikeista menetelmistä ja käytännön neuvoista, ja nimenomaan niitä haluamme Pk-yrityksen kyberturvallisuus ja tietoturvastrategia -koulutuksessa tarjota. Yrityksesi strategiaa emme pysty kirjoittamaan puolestasi, mutta haluamme tarjota selkeän metodologian sen luomiseen.
Tietoturvastrategian ei tarvitse olla täydellinen. Luonteensa puolesta se joka tapauksessa elää ajassa ja vaatii silloin tällöin tarkentamista. Parempi kohtuullinen tietoturvastrategia nyt kuin täydellinen sitten joskus, sillä riskit eivät odota strategian valmistumista.
Yrityksesi on ansainnut tietoturvastrategian
Toimivan tietoturvastrategian ei tarvitse olla vain suurten yritysten etuoikeus eikä tietoturvaan panostuksen pelkkä kustannuserä. Pk-yrityksen korkeatasoinen tietoturva on myös investointi, joka toimii erottavana kilpailutekijänä sekä yksityisasiakkaille että yrityskumppaneille.
Jyrki Valli työskentelee Goforella tietoturva-asiantuntijana. Hänen laaja-alainen kiinnostuksensa yli 25 vuoden ajalta on johtanut näkemään IT-järjestelmiä ja niiden kehitystä monipuolisesti sekä teknisistä, hallinnollisista että kaupallisista näkökulmista. Lukkarinrakkaudestaan tietojen ja järjestelmien turvaamiseen hän ei ole koskaan yrittänytkään päästä eroon. Jyrkin laaja-alainen kokemus onkin omimmillaan, kun on aika konkretisoida tietoturvakysymykset organisaation eri tasoille merkityksellisiksi operatiivisiksi ja liiketoimintariskeiksi, uusiksi mahdollisuuksiksi ja yhdistää hallinnollinen ja tekninen tietoturva toisiaan tukevaksi kokonaisuudeksi.