Ennaltaehkäisyä vai jälkien korjaamista?

Juha Oravala 04.03.2014

Aon Finland Oy:n Jukka Jaakkola osuu asian ytimeen kirjoituksessaan Kauppalehden debatissa, että pelkkä puolustus ei auta kybertaistelussa (KL 23.02.).

Kyberrikollisuuden torjunnassa ja tietoturvassa on kyse liiketoiminnan suojaamisesta ja riskienhallinnasta. Panostuksia on kasvavassa määrin kannattavampaa kohdentaa jälkien korjaamisen sijasta, mahdollisuuksien mukaan toki, uhkien ennaltaehkäisyyn.

Koko turvaketjun heikoin lenkki on monen asiantuntijan mukaan loppukäyttäjä, eli ihminen. Onko yrityksen riskienhallinnan näkökulmasta järkevää siis ylipäätään antaa loppukäyttäjille mahdollisuutta hallita organisaation tietoturvaa edes osittain?

Esimerkiksi sähköpostiviestinnässä roskapostikansion/ karanteenin hallinnan muodossa: käyttäjät vapauttelevat roskapostikansioon menneitä hyötyposteja sekä luovat jatkuvasti uusia sääntöjä haittapostien torjumiseksi. Tietoturvan hallinta on siltä osin siirtynyt käyttäjärajapintaan.

Vaikka kyberuhista uutisoidaankin varsin laajasti, muodostaa uhkaympäristön jatkuva muutos melkoisia haasteita jos ne näin sysätään loppukäyttäjien harteille. Yksilöiden resurssit reagoida jatkuvassa muutoksessa olevaan kyberuhkaympäristöön ovat jokatapauksessa rajalliset.

Olen täysin samaa mieltä Jaakkolan kanssa siitä, että kyberriskien hallinnan tulee olla yrityksen johtoryhmän ja hallituksen agendalla. Jotta tietoturvaa voidaan johtaa, on sillä oltava tavoite. Mitä suojataan, miltä suojataan ja miten suojataan? Sitä kautta organisaatio voi määritellä itselleen strategian, joka jalkauttamalla ja jatkuvalla mittaamisella voi mahdollistaa tavoitteiden saavuttamisen.

Iso askel kyberuhkien ennaltaehkäisyssä on valita sellaisia tietoturvakumppaneita, joiden tarjoamat ratkaisut tukevat yrityksen tavoitteita sekä kohottavat koko organisaation resilienssiä ja riskienhallintaa.

Sataprosenttista tietoturvaa ei ole mahdollista toteuttaa, mutta ennaltaehkäisemällä inhimillisten virheiden mahdollisuus poistamalla koko roskapostikansion loppukäyttäjäylläpito ollaan ainakin lähellä sitä.

 

Juha Oravala

Hallituksen puheenjohtaja

D-Fence Oy

Lue myös

Strutsistrategialla ei pitkälle pötkitä, KL Debatti

26.03.2015 julkaistun Helsingin seudun kauppakamarin tutkimuksen mukaan Suomalaisten yritysten kyberturva on retuperällä. Menemättä sen enempää tutkimuksen yksityiskohtiin minua jäi askarruttamaan, mistä tämä oikein on seurausta?.

Julkaistu 04.03.2014
Päivitetty viimeksi 380 päivää sitten

Lue lisää
Tietosuoja webinaari

Tietosuojalaki astui voimaan vuonna 2018, mutta kuinka moni PK-yritys oikeasti tietää, mitä tietosuojalaki vaatii meiltä käytännössä? Me D-Fencellä haluamme edistää tietosuojavaatimusten ymmärrystä. Oppaiden ja muiden maksuttomien materiaalien lisäksi, olemme puhelinsoiton päässä jos haluat keskustella yrityksesi tietosuojan tilasta. Asiantuntijamme neuvovat täsmälleen, mitä sinun tulisi tehdä, jotta yrityksesi vastaa lain asettamiin tietosuojavaatimuksiin. .

Julkaistu 04.03.2014
Päivitetty viimeksi 32 päivää sitten

Lue lisää