Ennaltaehkäisyä vai jälkien korjaamista?

Aon Finland Oy:n Jukka Jaakkola osuu asian ytimeen kirjoituksessaan Kauppalehden debatissa, että pelkkä puolustus ei auta kybertaistelussa (KL 23.02.).

Kyberrikollisuuden torjunnassa ja tietoturvassa on kyse liiketoiminnan suojaamisesta ja riskienhallinnasta. Panostuksia on kasvavassa määrin kannattavampaa kohdentaa jälkien korjaamisen sijasta, mahdollisuuksien mukaan toki, uhkien ennaltaehkäisyyn.

Koko turvaketjun heikoin lenkki on monen asiantuntijan mukaan loppukäyttäjä, eli ihminen. Onko yrityksen riskienhallinnan näkökulmasta järkevää siis ylipäätään antaa loppukäyttäjille mahdollisuutta hallita organisaation tietoturvaa edes osittain?

Esimerkiksi sähköpostiviestinnässä roskapostikansion/ karanteenin hallinnan muodossa: käyttäjät vapauttelevat roskapostikansioon menneitä hyötyposteja sekä luovat jatkuvasti uusia sääntöjä haittapostien torjumiseksi. Tietoturvan hallinta on siltä osin siirtynyt käyttäjärajapintaan.

Vaikka kyberuhista uutisoidaankin varsin laajasti, muodostaa uhkaympäristön jatkuva muutos melkoisia haasteita jos ne näin sysätään loppukäyttäjien harteille. Yksilöiden resurssit reagoida jatkuvassa muutoksessa olevaan kyberuhkaympäristöön ovat jokatapauksessa rajalliset.

Olen täysin samaa mieltä Jaakkolan kanssa siitä, että kyberriskien hallinnan tulee olla yrityksen johtoryhmän ja hallituksen agendalla. Jotta tietoturvaa voidaan johtaa, on sillä oltava tavoite. Mitä suojataan, miltä suojataan ja miten suojataan? Sitä kautta organisaatio voi määritellä itselleen strategian, joka jalkauttamalla ja jatkuvalla mittaamisella voi mahdollistaa tavoitteiden saavuttamisen.

Iso askel kyberuhkien ennaltaehkäisyssä on valita sellaisia tietoturvakumppaneita, joiden tarjoamat ratkaisut tukevat yrityksen tavoitteita sekä kohottavat koko organisaation resilienssiä ja riskienhallintaa.

Sataprosenttista tietoturvaa ei ole mahdollista toteuttaa, mutta ennaltaehkäisemällä inhimillisten virheiden mahdollisuus poistamalla koko roskapostikansion loppukäyttäjäylläpito ollaan ainakin lähellä sitä.

 

Juha Oravala

Hallituksen puheenjohtaja

D-Fence Oy