Yritysjohtaja rakentaa tietoturvakulttuuria

Ensin huonot uutiset. Tietoturvan haasteet kasvavat kovaa vauhtia, ja uusia uhkia havaitaan lähes päivittäin. Täydellisestä suojaa ei ole olemassa, ja parhaassakin tapauksessa pyritään vain minimoimaan menetykset vahingon sattuessa.

Sitten hyvät uutiset. Paljon on silti tehtävissä. Yrityksen tietoturvan perustan muodostaa se kulttuuri, jolle turvallisuusajattelu rakennetaan. Tämä tarkoittaa kokonaisvaltaista suhtautumista tietoturvaan osana yrityksen mainetta ja brändiä. Tietoturvariskien hallinta täytyy tehdä liiketoimintalähtöisesti siten, että tietoturva on osa yrityksen ydinprosesseja. Ja vastuu tämän jalkauttamisesta kuuluu jokaisen yrityksen johdolle.

Netoxin kehitysjohtaja Niko Candelin on perehtynyt yritysten tietoturvariskeihin koko työuransa ajan. Teknologian kehittyminen ja uhkien lisääntyminen on johtanut siihen, että jatkuva henkilökohtainen oppiminen on välttämätöntä, ja tämä koskee kaikkia tietoturvan kanssa työskenteleviä. Candelin itse suoritti kesän aikana Harvardin yliopiston opintokokonaisuuden, johon kuului muun muassa konkreettisten tietoturvauhkien tunnistamista, riskien hallintaa ja kyberhyökkäysten torjuntaa. ”Yli kaksi kuukautta täysipäiväistä opiskelua oli iso panostus, mutta ehdottomasti kannattava”, Candelin sanoo. ”Tietoturvan eteen täytyy tehdä töitä kaiken aikaa.”

Hallitut tietoturvapalvelut on osa Netoxin hallittujen IT-palveluiden kokonaisuutta. ”Päivitimme palvelupakettia elokuussa. Suosittelen jokaista yritystä tarkistamaan esimerkiksi oman CTI-tilanteensa”, Candelin muistuttaa. CTI on lyhenne sanoista Cyber Threat Intelligence. Netoxin hallittuna palveluna se tarkoittaa, että asiakasyritys saa säännöllisesti haavoittuvuusanalyysin IT-ympäristöstään ja ohjeistuksen löydettyjen heikkouksen korjaamiseksi.

”Eurooppalaisten yritysten tietoturvaa kehitetään määrätietoisesti. Ranska, Iso-Britannia ja Hollanti näyttävät olevan suunnannäyttäjiä. Ero Yhdysvaltoihin näkyy lähinnä siinä, että siellä yrityksillä on useimmiten täysin erillinen budjetti tietoturvallisuudelle. ”Etenkin Suomessa se on upotettu yleiseen IT-budjettiin tai ei ole huomioitu juuri lainkaan”, arvioi Niko Candelin. ”Asenteissa olisi tässä suhteessa korjattavaa.”