BUSINESS BYTES

Miten tietohallintojohtajat voivat saavuttaa tasapainon turvallisuuden vähentämisen ja hyväksyttävän riskin välillä?

  • Julkaistu 1 vuosi sitten
  • 3 min/ lukukerta

Uusimman Gartner CIO Agenda Report -tutkimuksen löydöksien mukaan tietohallintojohtajien investointiprioriteetit ovat muuttumassa. Viime aikoina tietoturva on menettänyt sijoitustaan tärkeimpien tavoitteiden listalla analytiikan, liiketoimintatiedon hallinnan, pilvi-infrastruktuurin ja mobiilitekniikan hyväksi. Ensisilmäyksen perusteella tämä voi vaikuttaa ymmärrettävältä: yritysten on paljon järkevämpää tehdä investointeja alueilla, jotka antavat niille korkeaa tai välitöntä tuottoa. Tietoturva ei ole koskaan ollut yksi näistä alueista. Investoinnit perinteisiin suojausmenetelmiin, kuten palomuureihin, sähköpostin turvallisuustyökaluihin ja verkon suodatusvälineisiin, tekevät aivan liian helpoksi tarkastella turvallisuutta ennaltaehkäisevänä investointina pikemminkin kuin konkreettisena hyötynä.

Tämä ei kuitenkaan ole välttämättä huono lähestymistapa verkkouhkiin. Kuten Gartnerin luvut osoittavat, monet tietohallintojohtajat ovat jo huomanneet, että monivivahteisempi lähestymistapa tietoturvaan voi olla tehokkaampi tapa hallita riskejä pitkällä aikavälillä. Käytännössä tämä lähestymistapa alkaa siitä, että muodostetaan selkeämpi käsitys tietoverkkojen turvallisuusriskeistä ja niiden mahdollisesta vaikutuksesta liiketoiminnalle.

Tietoturvan ammattilaisten tulisi nähdä itsensä liiketoiminnan mahdollistajina, olla läsnä alusta lähtien, ja pyrkiä suojaamaan tärkeimpiä resursseja sekä ennen tietoturvaloukkauksia että niiden jälkeen. Mutta tietoturvariskit on nähtävä hallittavissa olevana kokonaisuutena, eikä sen suurempana ongelmana kuin muitakaan liiketoiminnan riskejä. Toisin sanoen tietoturvaan liittyvien riskien hallinta edellyttää sen myöntämistä, että tietyt riskit ovat aina läsnä ja että tiettyjä tietoturvan rikkomuksia tapahtuu väistämättä, joten yrityksillä on oltava strategia niitä varten. Uhkien vähentämisen sijaan monet tietohallintojohtajat keskittyvätkin nykyisin uhkiin liittyvään koulutukseen.

Ensimmäinen vaihe riskin hallinnassa on ymmärtää riski. Siksi tehokkaan riskienhallinnan ensimmäinen vaihe on tunnistaa yritykseen kohdistuvat välittömät riskit, kertoa niistä yhtiön hallitukselle ja vanhemmille toimihenkilöille ja selventää, mitä ne voivat merkitä yhtiölle. Tehokas riskienhallinta on kaikkien vastuulla. Tietomurto voi aiheuttaa valtavia vahinkoja yhtiön taloudelle ja maineelle, joten johtohenkilöiden ja toimialan työntekijöiden tulisi tuntea murtoihin liittyvät potentiaaliset kustannukset ja murtojen todennäköiset etenemisvaiheet.

Jotkut organisaatiot käyttävät tähän apuna tapahtuman tai kriisitilanteen simulointia. Tämä lähestymistapa ei ainoastaan paljasta mahdollisia heikkoja kohtia, vaan se myös valmentaa tiimejä ja voi antaa niille paremmat eväät luottaa itseensä tietomurron sattuessa.

Toinen vaihe on ymmärtää, että riskienhallinta ei pääty siihen, että yhtiö on sopinut sovellettavista käytännöistä. Aivan kuten verkkouhkat kehittyvät, myös niihin liittyvien kontrollointitoimien ja toimintaohjeiden on kehityttävä. Vaikka riskienhallintastrategian muuttaminen onkin lähinnä johtotason tehtävä, organisaation jokaisella työntekijällä on oltava mahdollisuus osallistua, esittää ehdotuksia ja auttaa yhtiötä luomaan parhaat mahdolliset selviytymiskeinot. Muista, että laajempi liiketoimintastrategia voi muuttua nopeastikin. Laajentuminen uusille markkinoille voi tuoda mukanaan uusia yhtiön rahoitukseen ja tietoihin kohdistuvia riskejä. Digitaalitekniikalla, kuten sosiaalisella medialla ja pilvellä, voi myös olla vaikutuksia. Riskienhallintastrategian on skaalauduttava yrityksen kasvupyrkimysten mukana.

Lopuksi on syytä huomata, että riskinottohalukkuus liiketoimintayksiköiden välillä voi vaihdella suuresti. Tästä syystä suojauskäytännöissä on sallittava ja hyväksyttävä tietyn suuruinen riski, jotta säilytetään yhtenäisyys organisaation sisällä. Tietoturvaloukkauksia voi tapahtua ja tapahtuukin. Aivan yhtä tärkeää kuin niiden estäminen on se, että niiden tapahtuessa käytetään sovittua prosessia, joka perustuu ymmärrykseen asiaan liittyvistä tekijöistä.