Hallituspaikan haku -valmennusten ensimmäisessä alumnitilaisuudessa kuultiin hyviä asiantuntijapuheenvuoroja, joista yksi koski päivänpolttavaa aihetta sekin: yritysten hallitusten roolia kyberturvallisuuden varmistamisessa. Hämmentävän usein yrityksissä vastuu tästä elintärkeästä asiasta on jäänyt operatiiviselle johdolle. Näkymä mahdollisiin tulevaisuuksiin muodostetaan kuitenkin yrityksen hallitustasolla, eikä esim. riskiarviointi ulotu silloin aidosti strategisen suunnittelun tasolle.
InHunt Groupin Senior Headhunter Janne Ilomäki piti aiheesta suurta kiitosta saaneen puheenvuoron: ”Asia on paitsi kriittisen tärkeä, myös hurjassa muutoksessa elävä asia. Kun tähän yhdistetään suurin tietomurtojen syy, eli se että 85 % tapauksista murron mahdollistaa inhimilliset tekijät, olisi äärimmäisen tärkeää, että hallitus on kiinnostunut ja kartalla,” Ilomäki toteaa.
Kyberturvallisuuskeskuksen mukaan lähitulevaisuudessa tekoälyn nopea kehitys todennäköisesti tuo parempia mahdollisuuksia hyökkäysten automatisointiin sekä käyttäjämanipulointiin ja tiedonkeruuseen. Ajan myötä tekoälyteknologiat sekä taidot ja työkalut tulevat yhä helpommin saataville, mikä kannustaa hyökkääjiä hyödyntämään tekoälyä osana kyberhyökkäyksiä.
Kyberturvallisuus ei ole relevantti vain isoille yrityksille. Merkittävä kohderyhmä ovat pienet yritykset, joita on valtaosa yrityksistä Suomessa.
Hallituksen on varmistettava yrityksen toiminnan edellytykset, sekä menestyksen että riskien kannalta. Kun isoin uhka muodostuukin inhimillisistä tekijöistä – omasta henkilöstöstä – on äärimmäisen tärkeää, että arkipäivän toiminnan turvallisuuteen tähtäävät toimet määritellään hallituksessa. Ilomäki toteaa:” Johdon on huolehdittava kyberturvatiimin rakentamisesta, osaamisesta ja osaamisen ylläpidosta. Yrityksen työntekijät edustavat kyberturvallisuuden ensimmäistä puolustuslinjaa: heidät on koulutettava tunnistamaan epäilyttävät viestit, tietojenkalastushuijaukset ja oma roolinsa tietojen turvassa pitämiseksi. Sitä ei kukaan voi ulkoistaa muille.”
Tärkeää on myös huomioida yrityksessä vallitseva kulttuuri, sekä toiminnan että johtamisen kannalta. Jos tapa johtaa toimintaa ei pidä kyberturvallisuuden merkitystä aktiivisesti esillä, se voi arjen toiminnassa jäädä varjoon.
Asiana kyberturvallisuus tai siihen kohdistuva uhka ei ole innostava eikä houkutteleva, päinvastoin. Se on pelottava ja epämiellyttävä.
Testaa ja suunnittele
Kuten kaikkien strategioiden kohdalla, ei kyberturvallisuusstrategiakaan merkitse mitään, ellei sen toimeenpanoa varmisteta hyvällä suunnittelulla. Eikä hyvälläkään suunnitelmalla ole merkitystä, ellei sen toimivuutta testata.
”Kybertestaus on simuloitu kyberhyökkäys yrityksen järjestelmiin, jotta voidaan tunnistaa tietoturvaprotokollien haavoittuvat kohdat ja aukot”, Ilomäki kuvailee ja jatkaa: ”Eikä yksi testaus riitä vaan testaamisen on oltava systemaattista ja jatkuvaa. Ja hallitukselle raportoidaan jatkuvasti tilanteesta.”
Nykyisyys ja mahdolliset tulevaisuudet
Kun hallitus päivittää strategiaa tai tekee skenaarioita tulevaisuuden suunnittelemiseksi, kaikkia arvioitavia etenemisen tapoja olisi syytä arvioida myös niihin liittyvien turvallisuusnäkökulmien kautta. Ennen arviointia ei hallitus voi aidosti päättää, onko suunta jatkosuunnitelmien arvoinen vai ei.
Eikä tämä koske vain yrityksen omaa toimintaa, vaan tälle alueelle kuuluvat myös nykyisten ja tulevaisuudessa valittavien kumppaneiden arviointi. Kun yrityksen johto tekee strategisen tason sopimuksen yhteistyökumppanin kanssa, millainen turvallisuusselvitys sitä edeltää. ”Onko hallituksessa keskusteltu kumppaniehdokkaan toimittaman turvallisuustiedon laadusta? Onko se samaa tasoa kuin oman yrityksen oma tieto, vai parempaa, jolloin siitä voisi jotain oppia vai kenties heikompaa, jolloin ehkä kannattaa peräytyä neuvotteluista,” kysyy Ilomäki.
Cybersecurity Ventures ennustaa, että kyberrikollisuus maksaa maailmalle 10,5 miljardia dollaria vuodessa vuoteen 2025 mennessä, kun se vuonna 2015 oli 3 miljardia dollaria. Mikä tästä on teidän yrityksenne osuus?
Milloin teillä oli viimeksi hallituksen kokouksen agendalla kyberturvallisuus?
Artikkelin kirjoittaja
Tarja Ilvonen Johtaja, Board Competencies
Senior Headhunter
Lue myös muut artikkelit tilaisuudesta:
