Tietoturvallisuuden haasteet ovat väistämättömiä, mutta niiden ratkaiseminen ei aina ole yksiselitteistä. Yritykset ovat jatkuvasti tasapainottelemassa investointien ja riskien välillä, ja tietoturva on alue, jolla tällä tasapainolla on valtava merkitys. Tietoturvallisuuden toimiala on monesti osoittanut sormellaan yrityksiä, jotka eivät ole panostaneet riittävästi suojaamiseen, mutta tarkempi tarkastelu paljastaa, että tämän taustalla on monimutkaisia kysymyksiä, joita on vaikea yksinkertaistaa. Tietoturvan taakka siirtyy yrityksen hallitukselle.
Toimintamallit liian kalliita
Tietomurrot ovat niitä hetkiä, jolloin yritysten tietoturvapuutteet pääsevät valokeilaan. Jälkiviisaat ihmettelevät, miksi tietoturva-asioihin ei kiinnitetty enempää huomiota etukäteen. Tämä kritiikki on ymmärrettävää, mutta asia ei ole aina niin yksioikoinen. Tietoturva on enemmän kuin pelkät tekniset ratkaisut. Niels Provos, tietojenkäsittelytieteen tohtori, korostaa tämän seikan blogissaan. ”Teknologiset ratkaisut ovat osa vastausta, mutta suurimmat haasteet ovat usein inhimillisiä ja liittyvät teknologioiden käyttöönoton kustannuksiin. Tietoturvan vahvistaminen vaatii huomattavia resursseja asiantuntijoiden palkkaamiseen ja ratkaisujen sovittamiseen yksilöllisiin tarpeisiin”.
Johdon kannustinloukku
Omasta näkökulmastani olen havainnut saman ilmiön. Tietoturvateknologian markkina on kyllä täynnä vaihtoehtoja, mutta investoinnit eivät aina seuraa perässä. Nielsin havainnot vahvistavat ajatuksen siitä, että yritysjohdon kannustimet ovat harvoin suuntautuneet tietoturvan vahvistamiseen. Yritysten pyrkiessä tasapainottamaan kasvun ja turvallisuuden välillä, turvallisuus jää liian usein jalkoihin.
Tietoturvaan investoiminen ei kuitenkaan saisi olla vain kuluerä. Niels tuo esiin, että tietyissä yrityksissä, erityisesti internet-pohjaisissa ohjelmistokehitysyrityksissä, tietoturva on asetettu etusijalle ja siihen ollaan valmiita panostamaan. Mutta suurimmassa osassa yrityksiä pohditaan kompromissia liiketoiminnan kasvun ja turvallisuuden välillä. Tämä johtuu osittain johtajien kannustimista, jotka ohjaavat investoimaan enemmän kasvuun kuin tietoturvaan. Näin yritykset ajautuvat tilanteeseen, jossa tietoturvaan reagoidaan vasta murron tapahtuessa.
Sisäpiiririski on yksi keskeisimmistä tietoturvaan liittyvistä haasteista, johon tekniset ratkaisut eivät aina pysty vastaamaan. Ne harvat asiantuntijoiden miehittämät yritykset, jotka ovat saavuttaneet kypsän tietoturva-asennon, käsittelevät tätä riskiä tehokkaasti. Inhimilliset tekijät nousevat tässäkin keskiöön, ja ratkaisu sisäpiiririskiin on monimutkaisempi kuin suoraviivaiset teknologiset toimenpiteet. Kuitenkin vahva teknologinen turvallisuuspohja luo perustan tähän haasteeseen puuttumiselle.
Tietoturvan taakka siirtyy yrityksen hallitukselle
Kasvava paine yritysten hallituksille asetetaan tietoturvan saralla. Esimerkiksi Amerikkalainen Securities and Exchange Commission (SEC) on ajanut kybersääntelyä, joka lisää yrityshallitusten vastuita tietoturvan suhteen. Tämä heijastaa sitä, että vastuu tietoturvasta on siirtymässä yhä enemmän ylemmälle tasolle. Samalla kun hallinnolliset vaatimukset lisääntyvät, on tärkeää varmistaa, että ne eivät johda pelkkiin paperitöihin, vaan todelliseen parannukseen tietoturvan saralla.
Investointien taso on keskeinen kysymys. Tutkimusyhtiö Gartnerin mukaan yritysten IT-investoinnit ovat vaihdelleet 1,4 % – 8,6 % liikevaihdosta, ja tietoturva on saanut keskimäärin noin 10 % IT-budjetista. Tämä ei kuitenkaan ole ainoa mittari. Kokemukseni viittaa siihen, että pelkkä budjetin kasvattaminen ei takaa parempaa tietoturvaa, varsinkin jos perusasiat ovat jo kunnossa. Parempi strategia voi olla suunnata resursseja laadukkaisiin Cloud-, NaaS- ja SaaS-palveluihin, joissa tietoturva on sisäänrakennettuna ja joihin liittyvät tietoturvan investoinnit ovat mittavampia. Tällainen lähestymistapa tukee Nielsin ajatusta siitä, että parempi tietoturva voidaan saavuttaa vahvojen perusteknologioiden avulla, ja nämä teknologiat ovat usein sisällytettyinä laajempiin palveluihin. Suuryritysten hallituksille suunnattu tiivistelmä Perspectives on Security for the Board tiivistää asian.
Hallitukselle suurempi vastuu
Yritysten on aika tarkastella uudelleen johtamisen kannustimia tietoturvan suhteen. Vaikka liiketoiminnan kasvu on tärkeää, turvallisuus ei saisi jäädä sen varjoon. Tietoturva on moniulotteinen asia, joka vaatii sekä teknologisia että inhimillisiä ratkaisuja. Hallitusten jäsenten on otettava entistä suurempi vastuu, ja investointien tulisi ohjautua strategisesti laadukkaisiin palveluihin, jotka jo perusolemukseltaan ovat turvallisia. Vasta tällöin voimme toivoa näkevämme merkittäviä parannuksia tietoturvan maailmassa. Vai voimmeko todeta, että olemme alan toimijoina epäonnistuneet tehtävässä ainakin osittain, jos yrityksen hallitus joutuu nyt ottamaan ohjat?
Hannu Rokka, Senior Advisor
5Feet Networks Oy