Kyberturvallisuus jää etäiseksi, jos emme kerro siitä tarpeeksi hyvin

Kun mielessä käväisee oman työpaikan kyberturvallisuus, ajattelet ehkä IT-osastoa ja yrityksen johtoryhmää. Ajattelet luultavasti heitä, jotka varmasti ovat osanneet tehdä viisaita valintoja. Peilistä saattaa myös katsoa takaisin kokenut ja viisas johtaja, joka juuri ja juuri uskaltaa myöntää itselleen, ettei oikeastaan tiedä kyberturvallisuudesta tarpeeksi.

Ei hätää – on itse asiassa melko yleistä, että jopa yrityksen ylin johto kokee olevansa hukassa kyberturva-asioiden kanssa, kertoo Elina Niemimaa, Ronan neuvonantaja ja Insta Secrays Oy:n liiketoimintajohtaja. Hän on työskennellyt vuosien ajan johdon konsulttina tietoturva- ja kyberturva-asioiden parissa.

Jargonia ja mystiikkaa – kyberturvallisuutta pidetään vaikeaselkoisena

“Kyberturvallisuuden ympärillä on paljon mystiikkaa ja myös pelkoa. Median perusteella tiedetään, että kyberriskejä on olemassa ja ne voivat uhata myös omaa yritystä. Samalla kaikkea ympäröi epätietoisuus – mitä kyberriski oikeastaan tarkoittaa?” kuvailee Niemimaa tyypillistä tilannetta yrityksissä. 

Moni asia voi olla selvä ja simppeli tietoturva-ammattilaisille, mutta näyttäytyä muille vaikeaselkoisena termien tulvana: miten tietosuoja eroaa yksityisyyden suojasta, entä kyberturvallisuus tietoturvasta? Miten varmistamme, että jokaisella työntekijällä on riittävät valmiudet toimia oikein?

Tietojen turvaaminen on koko organisaation asia

Ovatko IT-osaajat siis sulkeutunut, umpimielinen heimo, joka on kehittänyt oman salakielen? Olisi stereotyyppistä ajatella näin. On kuitenkin välttämätöntä selkeyttää viestejä ja välittää niitä aiempaa paremmin eri asiantuntijoiden välillä. Yhteiskunnan ja liiketoiminnan verkottuessa päätösvaltaa kyberturvallisuuden isoista linjoista ei voi jättää pelkästään turvallisuustiimille.

Myös työntekijät haluavat toimia oikein: kukaan ei lähtökohtaisesti halua olla tietoturvariski. Mutta jos kyberturvallisuus verhotaan muiden vastuulla olevaksi, erilliseksi vyyhdeksi, ei se ehkä tule riittävästi osaksi jokaisen työpäivää.

Teknologia vai ihmiset?

Tietoturvaa voidaan lähestyä tyypillisesti kahdesta suunnasta: 

  • joko vahvistetaan teknologiaa eli erilaisia IT-ratkaisuja, kuten pilvipalveluita ja palomuureja tai
  • etsitään ratkaisuja siihen, miten yrityksen työntekijät eivät vahingossa aiheuttaisi riskejä yrityksen toiminnalle.

“Yritysten johdolle on jo pitkään puhuttu, että teknologiaan panostaminen on tärkeää. Toisaalta mediassa kyberturvasta puhutaan paljon ihmisten kautta. Mihin panostaa?” tiivistää Elina Niemimaa tyypillisiä pohdintoja yritysten johdossa. 

Tarvitaan strategian ja suunnan määrittely, jotta voidaan löytää tasapaino näiden kahden välille. Kun suunta on valittu, pitää myös valita oikeat työkalut matkan varrelle.

Päättäjä – ymmärrätkö varmasti, mitä olet hankkimassa?

Usein johtotehtävissä työskentelee vahvoja osaajia, jotka ovat tottuneet olemaan perillä asioista. On helpompaa ostaa IT-ratkaisuja ja sälyttää asian hoitaminen tietoturvasta vastuulliselle tiimille kuin myöntää ääneen, ettei oikeastaan ymmärrä paljoa itse ongelmasta.

Oikein tehdyt, strategiset investoinnit ovat kuitenkin elintärkeä kysymys mille tahansa organisaatiolle. Viime kädessä yrityksen investoinneista, budjeteista ja myös strategiasta päättää ylin johto. ”Panostaako teknologisiin ratkaisuihin vai henkilöstön osaamiseen? Mikä on yrityksemme suunta?” summaa Niemimaa.

Panostaako teknologisiin ratkaisuihin vai henkilöstön osaamiseen? Mikä on yrityksemme suunta?

Elina Niemimaa, Rona Finland Oy:n neuvonantaja.

Tarina ei lopu tähän – tietoturva on käytännön tekoja

Data ja palvelut ovat turvassa vasta silloin, kun jokainen työntekijä ymmärtää roolinsa niiden turvaamisessa. Inhimillisinä ihmisinä tarvitsemme oikea-aikaista tietoa ja neuvoja päätösten tueksi – olivat päätökset sitten isoja tai aivan pieniä.

Kyberturvallisuuden abstrakti konsepti pitää purkaa pienemmiksi paloiksi ja teoiksi. Niitä voi verrata liikennemerkkeihin. Tunnemme riskit yleisellä tasolla, mutta tarvitsemme silti merkkejä näyttämään meille, missä meidän tarvitsee olla erityisen varovaisia.

“Jos kyberturvaa ei ymmärretä, niin me ammattilaiset emme ole selittäneet asioita tarpeeksi hyvin”, painottaa Elina Niemimaa.