Miten yritys voi kartoittaa kyberturvallisuusriskinsä?

Organisaation tulee käydä omaa toimintaansa läpi kokonaisvaltaisesti ja tunnistaa olemassa olevat puutteet ja heikkoudet – olivat ne sitten palveluissa, järjestelmissä tai osaamisessa. Voidaan sanoa, että kyberturvallisuus rakentuu ’ihmiset, prosessit, teknologia’ -kehikon varaan, jossa kaikki kolme tekijää ovat yhtä lailla tärkeitä. On nimittäin harhaluulo, että kyberturvallisuus on vain teknologiaan liittyvä haaste.

Kenen vastuulla tietojen suojaaminen yrityksessä on?

Viime kädessä yrityksen johto vastaa kaikesta yrityksen toiminnasta eli myös siitä, että kyberturvallisuudesta on pidetty asianmukaisesti huolta. Käytännössä kyberturvallisuus toimii parhaiten, kun se hoidetaan eri toimijoiden sujuvana yhteistyönä organisaation sisällä. Roolit toki vaihtelevat: esimerkiksi HR-päällikön näkökulma kyberturvallisuuteen on eri kuin IT-päällikön ja vastuukenttä on myös erilainen. Hyvä ohjenuora on muistaa, että tiedolla on aina oltava omistaja ja tieto on aina suojattava.

Miten valita sopiva kyberturvallisuuskumppani yritykselle?

Palveluja hankittaessa yrityksen täytyy aina määritellä vaatimukset myös tietoturvalle, tarvittaessa asiantuntijan avustuksella, ja sitten etsiä tarpeisiinsa sopiva palveluntoimittaja. Kun palveluntoimittajia vertaillaan, on hyvä muistaa, että alalla on erilaisia sertifiointeja, mutta niiden soveltuvuus ja kattavuus on aina syytä varmistaa. Hyvä keino varmistua palveluntoimittajan pätevyydestä on kolmannen osapuolen tekemä auditointi. Lisäksi itse sopimukseen on hyvä kirjata riittävän konkreettisia vaatimuksia vaaditun palvelutason suhteen.

Miten työyhteisölle viestitään kyberturvallisuudesta?

Kyberturvallisuuden kannalta on äärimmäisen tärkeää, että jokainen työntekijä tuntee organisaation toimintatavat ja noudattaa niitä. Tämän saavuttamiseen ei riitä, että taloon tulijoille järjestetään aiheeseen liittyvä perehdytys ja sitten asia unohdetaan. Ihannetilanteessa työntekijöille järjestetään erilaisia tietoturvakoulutuksia pitkin vuotta – ja tehokas viestintä varmistaa, että kaikki pysyvät kärryillä.  

Voiko uhka tulla työyhteisön sisältä?

Voi – ja usein tuleekin. Varsin tavallista on ainakin se, että työntekijä tahattomalla laiminlyönnillä jättää ikään kuin ”portin auki” ja kyberrikollisille avautuu mahdollisuus toimia. Esimerkiksi hyvin yleiset kalastelu- tai niin sanotut CEO-huijaukset voivat onnistua johtamaan henkilöstöä harhaan, etenkin jos ne ovat taitavasti tehty. Uhka saattaa myös seurata tietoisesta pahantahtoisesta toiminnasta työyhteisön sisällä, kun joku organisaation sisäinen henkilö käyttää tieten tahtoen asemaansa ja tietojansa väärin.