Yritykset ovat riippuvaisia tietoturvasta. Turvan taso vaihtelee yrityksen toimialan mukaan, mutta jokaisella yrityksellä on tietoja, joiden ei haluta kulkeutuvan yrityksestä ulos tai häviävän, jolloin yritys ei pystyisi jatkamaan normaaleja liiketoimintaprosessejaan.
Yrityksiin kohdistuu jatkuva uhka. Hyvin rakennettu tietoturva suojaa yrityksen toimintakykyä ja -etua. Tästä syystä on tärkeää, että myös yrityksen johto on ajan tasalla edustamansa yrityksen tietoturvaratkaisuista ja -tilanteesta. Johdolla tulisi myös olla käytettävissä riittävät tiedot tietoturvasta ja siihen liittyvistä liiketoimintariskeistä.
Yrityksen ylimmän johdon (toimitusjohtaja, johtoryhmä ja hallitus) on hyvä arvioida, onko heillä riittävästi asiantuntemusta tietoturvallisuusratkaisujen arvioinnissa ja toteutuksessa. On tärkeää selvittää, mitä tietoa johto tarvitsee.
Tärkeimmät osa-alueet tietoturvan selvittämisessä:
- Organisaation tietoturvan nykytilanteen selvittäminen. Kokonaiskuvan hahmottaminen: mistä yrityksen tietotekninen ympäristö koostuu? Selvitä, mitkä osat liiketoimintaa ovat kriittisiä, missä tiedot sijaitsevat ja keitä kumppaneita yrityksellä on. Miten varayhteydet on rakennettu? Entä kuinka tietojen palauttaminen epäjatkuvuustilanteessa on suunniteltu? Hyökkäysreitit organisaatioon kasvavat yhteyksien ja palvelujen määrän kasvaessa.
- Riskienhallintasuunnitelma. Riskiarviointien päivittäminen ja katselmointi toistuvasti esimerkiksi vuosikelloajatuksella ja toteutuneiden tietoturvatapahtumien seuranta. Mieti valmiiksi riskienhallinnan prosessi ja viestintä.
- Uhkan arviointi. Tilannekuvatietojen hankinta ja niiden merkityksen arviointi. Millaisia riskejä organisaatio on valmis sietämään ja mitä uhkia organisaatioon kohdistuu? Millaisia tietoja yrityksessä käsitellään?
- Sisäinen toiminta, turvallisuuskulttuuri. Tietoturvallisuus osana yrityksen tavoitteita ja jokapäiväistä toimintaa. Kokonaisuus ei ole pelkästään järjestelmiä, vaan ihmisten toiminnalla ja toimintatavoilla on suuri merkitys turvan toteutumiselle. Tietämys uhkista auttaa niiden tunnistamisessa.
- Tietoturvaosaaminen. Osaamisen kysyntä kasvaa jatkuvasti. Onkin tärkeää miettiä, millaista asiantuntemusta tietoturvan, ja siihen liittyvien ratkaisujen osalta tarvitaan ja miten sitä hankintaan. Myös johdon ymmärrys ja osaaminen ovat merkityksellisiä. Miten varmistetaan digitalisaation kehittyessä myös tietoturvan näkökulmat.
- Toimenpiteiden seuraaminen. Lähtökohta on asioiden ja osa-alueiden tunnistaminen. Yrityksissä kannattaa huomioida myös sisäiset uhkat. Tietoturvallisuus on jatkuvaa ja kehittyvää toimintaa.
Yrityksen johto ja hallitus ovat loppukädessä vastuussa tietoturvasta yrityksessä. Toimiva hallintomalli, riittävät resurssit ja tehokas raportointijärjestelmä ovat ensimmäisiä askelia, joilla yrityksen tietoturvallisuutta voi lähteä tehostamaan.
