Kyberuhkien torjumiseen tarvitaan osaamista. Uhkien ja niiden vaikutusten ymmärtäminen oman liiketoiminnan kannalta onkin monen organisaation ykkösprioriteetteja.
Yhä useammat yksityisen ja julkisen sektorin organisaatiot arvioivat kyberturvallisuusstrategioita ja -ratkaisuja osana oman toimintansa jatkuvuuden turvaamista. Kyberuhkien määrän, esiintymistiheyden ja monimutkaisuuden kasvaessa, on entistä tärkeämpää tunnistaa, ymmärtää ja hallita kaikki kyberturvallisuuden osa-alueet. Kyberuhkien vaikutusten ymmärtäminen oman liiketoiminnan kannalta onkin monen organisaation ykkösprioriteetteja.
CGI:llä on maailmanlaajuinen kyberturvallisuuden asiantuntijaverkosto ja osaamiskeskus, joka auttaa asiakkaita eri puolilla maailmaa turvaamaan sähköisessä muodossa olevaa tietopääomaa. Kyberturvallisuudesta vastaava johtaja John Proctor kertoo, mitä yritysten tulee huomioida kyberturvallisuutensa parantamiseksi.
Mitä kyberturvallisuushaasteita nykypäivän organisaatiot kohtaavat?
Haasteita on paljon. Muutamia keskeisiä ovat muun muassa hyvien kyberturvallisuusosaajien vähäisyys, turvallisuusuhkien kasvava monimutkaisuus ja käytettävissä olevien panosten niukkuus. Organisaatioilla on tarve säästää, mutta samalla kasvavat uhkat edellyttävät entistä suurempia panostuksia. On myös pystyttävä vastaamaan kysynnän ja tarjonnan haasteisiin, kuten ammattitaitoisen turvallisuushenkilöstön saatavuuteen.
Mistä koostuu toimiva kyberturvallisuusstrategia?
Yksi tärkeimmistä seikoista on riskien tunnistaminen. Arvioimalla riskit huolella ja kohdentamalla torjuntakeinot viisaasti, turvallisuuden tasoa voi nostaa merkittävästi jopa nykyistä pienemmillä kustannuksilla. Säästyneet voimavarat voi sitten käyttää vaikkapa henkilöstön tietoisuuden lisäämiseen. Se on usein kaikkein kustannustehokkain tapa nostaa turvallisuuden tasoa.
Harvalla organisaatiolla on rajattomasti varoja kyberturvallisuuden parantamiseen. Toisaalta kukaan ei voi luvata sataprosenttista turvaa. Tästä syystä on tärkeää arvioida potentiaalisia uhkia ja niiden vaikutuksia organisaation toiminnalle. Vaikeutena on monesti vaikuttavuuden arviointi, esimerkiksi maineriskien osalta. Organisaatioiden olisi syytä etsiä tapoja pienentää riskejä esimerkiksi hankkimalla osaamista ja palveluja, joiden kehittäminen omassa organisaatiossa olisi liian kallista.
Onko kyberuhkien torjumiseen olemassa teknologiaratkaisuja?
Kyberuhkia torjuvia teknologiaratkaisuja on tietoturvatapahtumavirtojen analytiikasta verkkokäyttäytymisen seurannan työkaluihin. Kehitys tuo jatkuvasti tullessaan uusia ja parempia teknologioita. Inhimillistä tekijää ei voida kuitenkaan unohtaa. Kyberturvallisuudesta puhuttaessa keskitytään helposti teknologiaan eikä ihmisten toimintaan. Uusia teknologioita käyttöönotettaessa tulisi huomioida ihmisten rooli näiden käyttäjinä ja ohjaajina. Jos turvamekanismi hankaloittaa toimintaa, ihmiset ohittavat niitä – joko vahingossa tai tahallisesti. Sellaista taianomaista teknologiaa ei ole, joka pystyy torjumaan kaikki kyberturvallisuusuhkat. Meidän täytyy ymmärtää kehittyvää teknologiaa ja ottaa huomioon inhimilliset tekijät.
Millaista kyberturvallisuuspalveluiden asiantuntemusta kannattaa ostaa?
Valintatilanteessa korostaisin kokonaispalveluosaamista. Toimittaja voi tarjota korkealaatuista turvallisuusteknologiaa, mutta jos sitä tukevat palvelut puuttuvat, palvelussa on merkittävä aukko. Hankintavaiheessa kannattaa tarkastella tarjoajan palveluprosessia ja -historiaa. Miten tarjoaja hoitaa kriittiset ongelmatilanteet? Millainen on tarjoajan muutoshallintaprosessi tai resurssien riittävyys?
Kysyisin myös seuraavaa: Millaisia teknologiavaihtoehtoja toimittaja tarjoaa? Missä toimittajan asiatuntijat sijaitsevat ja missä palvelut tuotetaan? Mitä taustaselvityksiä henkilöstölle on tehty ja millaista koulutusta henkilöstö on saanut? Pitääkö toimittaja itseään turvallisuuden asiantuntijayrityksenä ja palveluosaajana vai teknologiatoimittajana? Varmistaisin myös toimittajan ketteryyden eli pystyykö palveluntarjoaja riittävän nopeasti reagoimaan ja toimimaan muuttuvissa tilanteissa ja uhkien kasvaessa?
Juttu on alunperin julkaistu Ratkaisu-lehdestä 1/2014
Lue lisää CGI:n kyberturvallisuuspalveluista