TIETOTURVAOPAS YRITYKSILLE 5 LUE TÄMÄ ENSIN Organisaation tietoturvallisuutta voidaan parantaa riskienhallintaprosessilla, jossa painotetaan nimenomaisesti hallintaa. Jatkuvasti muuttuva tekniikka sekä uhkien moninaiset leviämisreitit ovat syy miksi yritysten tietojärjestelmät eivät ole koskaan valmiita tai täysin turvallisia. Tehokas toiminta muuttuvassa ympäristössä edellyttää sitoutumista pitkäjänteiseen päättymättömään riskienhallintaan. Yritysjohtajat saattavat turhautua tietoturvahankkeisiin, jos he eivät lähesty tehtävää oikein odotuksin. Ilman asianmukaista suunnitelmaa yritykset taas saattavat käyttää liikaa resursseja tietoturvariskien hallintaan. Siksi onkin välttämätöntä luoda sellainen tietoturvallisuusriskien hallintaprosessi, joka auttaa ymmärtämään ja priorisoimaan organisaation fyysisen ja tieto-omaisuuden kannalta tärkeät seikat. On ratkaisevan tärkeää olla tietoinen, että internet, yritystietoverkot ja laitteet eivät ole turvallisia ilman asianmukaisia varotoimia. Nykyaikaiset yritystietojärjestelmät ovat monenlaisten vihamielisten toimijoiden kohteena. Tietoturvariskien hallintaan osallistuville voidaan odotusarvoksi asettaa yksinkertainen sanonta: "Jos verkossa on jotain arvokasta, se on uhattuna ja todennäköisesti jo vaarantunut.” Onneksi yrityksen arvokkaana pitämä omaisuus (kuten raha, liikesalaisuudet ja asiakastiedot) ei välttämättä ole aina arvokasta yksittäiselle vihamieliselle toimijalle. Vaikka tietojen vaarantumisen riskiä voidaan vähentää erilaisilla tekniikoilla ja prosesseilla, määrätietoinen vihamielinen toimija voi hyödyntää toisiinsa liitettyjen järjestelmien heikointa lenkkiä. Yrityksessä voi olla lukuisia organisaatioon, ihmisiin ja tekniikkaan liittyviä haavoittuvuuksia. Teknologiatoimittajien, palveluntarjoajien ja oman henkilöstön hyvästä työstä huolimatta täydellistä turvallisuutta ei voida saavuttaa. Kyberturvallisuusriskien hallintaprosesseissa onkin arvioitava juuri oman yrityksen heikkouksia ja siihen kohdistuvia uhkia ja suhteutettava ne organisaation tärkeimpiin omaisuuksiin. Edellä maalaillusta synkästä näkymästä huolimatta kaikenkokoiset yritykset voivat pyrkiä hallitsemaan kyberturvallisuusriskejä kehittämällä ja ylläpitämällä riskienhallinnan keskeisiä elementtejä omassa organisaatiossaan. Ensinnäkin yritysjohdon on toteutettava organisaation riskianalyysi ja priorisoitava ensisijaisesti suojattavat kohteet. Toiseksi johdon tulee ryhtyä tarvittaviin toimiin varmistaakseen, että yrityksessä noudatetaan parhaita tietoturvakäytäntöjä. Kolmanneksi organisaation on varauduttava havaitsemaan häiriöt tietoturvassa ja vastaamaan niihin – sekä sisäisesti että ulkoisesti – koko organisaatioon vakiinnutetuilla prosesseilla. Vastatoimet edellyttävät entistä parempaa viestintää vertaisryhmien, asiaankuuluvien viranomaisten, asiakkaiden ja jopa kilpailijoiden kesken. Varautumalla kaikenlaisiin tietoturvahäiriöihin voidaan varmistaa, että ongelmatilannetta ei pahenneta entisestään niitä ratkaistaessa tekemällä estettävissä olevia virheitä. Loppujen lopuksi tietoturvariskien hallinnan parhaiden käytäntöjen jalkauttaminen koko yritykseen edellyttää institutionaalista muutosta, jonka aikaansaamiseksi tarvitaan järjestelmällisiä keinoja ottaa oppia verkkohyökkäyksistä ja mukauttaa käytäntöjä.
RkJQdWJsaXNoZXIy Mjk0MTY=