10.5.2019 • Tietoturva
Modernia liiketoimintastrategiaa ja liiketoimintaa suojaa vahva kyberkulttuuri
Nykypäivänä suurin osa työstä tehdään digitaalisten työvälineiden avulla, minkä vuoksi yritysjohdolle ja hallitukselle syntyykin uudenlaisia pähkinöitä purtavaksi, kuten esimerkiksi kyberkulttuurin rakentaminen organisaatioissa osana yrityksen strategiaa.
Yrityskulttuuri syö taasen strategian aamupalaksi liiketoimintaguru Peter Druckneria lainatakseni ja ilman strategiaa muodostuu jalkautuksesta haaste.
Monesti kyberkulttuurin kuvitellaan muodostuvan ruohonjuuritasolla ilman yritysjohdon tai hallituksen panosta tietoturvajohtajien ja tietosuojavastaavien avulla. Tosiasiassa jokaisen kulttuurin muodostaminen lähtee roolimalleista ja sponsoreista, joita yritysjohto ja hallitus edustaa. Ilman ylemmän johdon roolimallia ja sponsorointia, ei myöskään jalkautumista kyberkulttuurille tapahdu.
Piilottelukulttuuri on historiaa; läpinäkyvä, oletusarvoinen ja sisäänrakennettu tulevaisuutta
Jokin aika sitten luin aiheesta, kun eräs tietoturvajohtaja oli muuttanut traditionaalisen “tietoturvapoliisin, joka jakaa sisäisiä rikkomuslappuja” -roolin ohjaavaksi kannustajaksi, voitti yritys lopulta riskienhallintapalkinnon neljässä eri maassa, koska henkilökunta osasi tunnistaa ja raportoida riskejä eri organisaation tasoilla.
Kun yritysten elinkaarta ja mahdollisuuksia nykymarkkinassa katselee sijoittajan ja osakkaan silmin, on erittäin selkeää, että nykypäivänä kybertapahtumien maton alle lakaisu ja piilottelu aiheuttaa oleellisen liiketoiminnallisen riskin yrityksille.
Riskilähtöisen ajattelun tulisi ohjata yritysjohtoa ja hallitusten jäseniä huomioimaan ohjelmissaan turvaan ja suojaan liitännäiset asiat, jotta riskit tunnistettaisiin ajoissa ja niiden mahdollinen vaikutus talouteen olisi tiedossa. Tällöin voidaan rakentaa riskienhallintasuunnitelma talouden pohjalta. Mitä oletusarvoisempi, sisäänrakennettu ja läpinäkyvämpi toimintakulttuuri, sitä paremmin myös riskit ovat tiedossa reaaliajassa ja siten myös hallittavissa yhteistyöllä.
Seuraava kuva kertoo tietovuotojen vaikutuksista yritysten talouteen, joita yritysjohtajat Euroopan komission strategiakeskuksen kyselyssä ovat antaneet. Alaskirjaukset ovat mittavia; eivät pelkästään suuryrityksille, mutta myös pienille. Sen vuoksi ei riitä, että asiat pelkästään määritellään strategiaan, ne on hyvä jalkauttaa yrityskulttuuriin ja työntekijät mukaan tunnistamaan paremmin riskejä.
Kuva 1 Lähde: European Commission Strategy Center – Building an Effective European Cyber Shield 3.2 Financial impact of cyber breaches according to detection time (otannassa 4000 erikokoisen yritysjohtajien selvitys 25 eri maasta)
Nykypäivän liiketoimintaviidakossa tarvitaan työkalujen lisäksi ihmislähtöistä tapaa jalkauttaa myös turvallisuus kulttuuriin ja rakentaa tekniikka tukemaan kulttuuria. Näin saadaan turvattua yritykselle tärkeät varat, kuten maine, henkilöstö, asiakkaat, sopimukset, älyllinen pääoma jne. Tällöin riskiä joutua kyberketun saaliiksi voidaan vähentää huomattavasti.
Modernin työpaikan kyberkulttuuritiimi on monimuotoinen
Kyberkulttuuritiimi, champions-tiimi, teknologiat ja ylempi johto, hallituksen jäsenet mukaan lukien, muodostaa hyvän kombinaation kulttuurimuutoksessa. Selkeä prosessi mahdollistaa myös sen, ettei yrityksen johto ole housut kintuissa, vaan niskan päällä median, osakkaiden tai sijoittajien soittaessa, mikäli se ikävin tapahtuu. Kun ihmiset ja teknologiat tukevat toimintaa, mahdollistetaan parhaassa tapauksessa pienin mahdollinen liiketoiminnallinen haitta yrityksissä.
Modern workplace cyber security culture
Kyberkulttuuritiimissä on yleensä mukana eri liiketoimintayksiköiden johtavia edustajia, jotta he pystyvät ohjaamaan kulttuuria eteenpäin ylhäältä alaspäin.
Champions-tiimi jalkauttaa kulttuurimuutoksen sponsoreilta tulleen strategian mukaisesti, hyödyntäen teknologioita; kuten esimerkiksi Microsoft kyberturvallisuus-, tietoturvallisuus- ja compliance-palveluita ja kokonaisvaltainen tilannetietonäkymä esim. Azure Sentinel SIEM ratkaisulla. Kyseiset palvelut mahdollistavat läpinäkyvyyden sponsoreille asti, ilman manuaalista raportointia.
Ilman toimitusjohtajan tai hallituksen jäsenen roolimallia ei kyberkulttuuri jalkaudu. Sen vuoksi myös turvallisuuden perusteissa onkin, että yrityksen ylempi johto ja hallituksen jäsenet ohjaavat omalla toiminnallaan kulttuuria oikeaan suuntaan sponsoreina ja roolimalleina.
Ponnistetaan heikosta nykytilasta seuraavalle tasolle yhdessä!
Nykytilan näyttäessä hieman synkälle, uskon kuitenkin, että mallimme auttaa yrityksiä saamaan täyden hyödyn oman toimialansa markkinassa kyberkulttuurin tukiessa liiketoimintaa ja teknologioiden taas tukiessa ja suojatessa työntekijöitä.
Kuva 2 Enisa Cyber Security Report 2018
Starttaa kyberkulttuurimuutos kanssamme sulavasti, tuemme teitä mielellämme tässäkin muutoksessa! myynti@sulava.com
Azure Sentinel Siem päivässä tutuksi – Kuinka rakentaa toimiva kybertilannenäkymä?
Tule oppimaan kurssillemme pilvipalvelupohjaisesta Azure Sentinel Security Information Event Management eli tietoturvatietojen ja tapahtumien hallinnasta.
Kurssilla käydään läpi kyberturvallisuuden poikkeamatietonäkymän rakentamista organisaatiosi tarpeisiin SIEM-ratkaisua hyödyntäen, sekä kuinka keräät tietoa eri lähteistä reaaliaikaiseen poikkeamakuvaan, mukaan lukien kolmannen osapuolen lähteet, kuten esimerkiksi palomuurit.
Järjestämme kattavasti erilaisia yrityksesi tietoturvaa kehittäviä koulutuksia. Katso tietoturva-aiheiset koulutuksemme täältä.