Valmetin IT-infrapalvelujen tietoturvapäällikön Sakari Koikkalaisen mukaan riskiarvioon pohjautuva kyberturvanhallinta auttaa pitämään tietoturvan perusasiat kustannustehokkaasti kunnossa.

”Ympäristöt, jotka eivät aiemmin olleet tietoteknisen maailman kanssa tekemisissä, ovat sitä nykyään ja tulevaisuudessa. Tämä luo uusia liiketoimintariskejä muun muassa kyberturvan osalta. Se tarkoittaa, että kyberturvallisuuden vaikutus liiketoimintaan kasvaa koko ajan”, sanoo Valmetin IT-infrapalvelujen tietoturvapäällikkö Sakari Koikkalainen.

Uusien haasteiden myötä kyberturvallisuus on ulotettava operatiivista toimintaa pidemmälle. Riittävä kyberturvan taso saavutetaan kun kyberturvan uhat otetaan mukaan liiketoiminnan ohjaukseen ja päätöksentekoon. Kyberturvastrategia ja -hallintamalli sekä tekniset ja hallinnolliset kontrollit kannattaa rakentaa tukemaan liiketoimintaa ja toimimaan osana riskienhallintaa. Turvakontrollien lisäksi käyttäjien tietoisuus kyberturvasta ja turvauhista on avainasemassa hyvää tietoturvakulttuuria luotaessa.

”Kybersuojaus vaatii aina rahallista panostusta. Tämän vuoksi riskiarvioon pohjautuva kyberturvanhallinta tuottaa kustannustehokkaimman tuloksen”, muistuttaa Koikkalainen.

Pitkään tietoliikenteen ja tietoturvallisuuden hallinnan kehitystehtävissä toiminut Koikkalainen aloitti uransa vuonna 1997 teleoperaattorisektorilla ja siirtyi vuonna 2006 Metson kautta Valmetin tietohallinnon palvelukseen. Koikkalaisen nykyiset työtehtävät kohdistuvat Valmetin IT-tietoturvan kehittämiseen.

Riskiarvioon pohjautuva kyberturvanhallinta tuottaa kustannustehokkaimman tuloksen.

 

Päivitykset ja paikat ajallaan

Kyberturvanhallinnan kannalta on aina tärkeää ymmärtää, mitä suojataan ja miltä. Valitut ratkaisut eivät itsessään saa luoda kyberuhkia, joten ne on toteutettava turvallisesti ja pidettävä ajan tasalla.

”Kyberturvallisuudessa pitää paneutua identiteettien ja datan suojaamiseen. Ennaltaehkäisevinä kontrolleina haavoittuvuuksien hallinta on tärkeää sekä teknisessä että hallinnollisessa mielessä”, sanoo Koikkalainen.

Kun riskiarviot on tehty ja strategiat laadittu, on huolehdittava, että kyberturvallisuuspolitiikkaa toteutetaan kaikilla alueilla valitulla tasolla – keittiön ovea ei jätetä huolimattomuuden takia auki kyberrotille. Jos jossain on reikä, on vain ajan kysymys, milloin hiiret ja rotat löytävät siitä tiensä sisään. Kun esimerkiksi ohjelmistojen ja sovellusten kehittäjä julkaisee päivityksiä ja paikkauksia, tulee niiden asentamisen tapahtua ilman turhia viiveitä.

Oman mausteensa kyberturvan hallintaan tuovat jatkuvasti yleistyvät pilvipalvelut. Niiden hyödyntämisessä on noudatettava samaa tietoturvastrategiaa ja -politiikkaa yrityksen sisäisten järjestelmien ja sovellusten kanssa. Siksi ennen pilvipalveluiden käyttöönottoa on syytä käyttää riittävästi aikaa ja osaamista suunnitteluun sekä riskiarviointiin. Pilvipalvelujen hyödyntämistä on mietittävä myös liiketoiminnan jatkuvuuden ja riskienhallinnan, ei pelkästään kustannussäästön tai ketteryysominaisuuksien kannalta.

 

Parempaa hallintaa ja havainnointia

Koska resurssien rajallisuus on usein arkea myös IT-hallinnossa, resurssien järkevä allokointi on keskeinen osa kustannustehokasta kyberturvaa. Siksi hallintapalvelujen ulkoistus ammattilaisille on Koikkalaisen mukaan kannatettava asia, kun se on tehty liiketoimintalähtöisesti ja suunniteltu riittävän tarkasti. Näin yritys voi kohdistaa omat IT-ammattilaiset, joita on usein rajatusti, suunnittelemaan ratkaisuja liiketoiminnalle ja varmistamaan laadukkaan palvelun tuoman lisäarvon yritykselleen.

”Tänä päivänä yksi tärkeimpiä kyberturvapalveluja ovat mielestäni SOC-palvelut. Niiden avulla varmistetaan ajantasainen näkyvyys kyberturvan tilannekuvaan. Sitä kautta saadaan myös arvokasta tietoa kyberturvan tehokkaaseen kehitykseen ja ohjaukseen”, sanoo Koikkalainen.

Ulkoistamisen osalta suomalaiset yritykset ovat menneet merkittävästi eteenpäin. Palveluiden ostamiseen on opittu ja hallinta- sekä muiden palveluiden hankkiminen oman talon ulkopuolelta on arkipäiväistynyt.

”Tulevaisuudessa suurimmat uudistukset kyberturvapalveluissa tulevat näkymään poikkeamien havainnoinnissa big dataan ja keinoälyyn pohjautuvien kyberturvapalvelujen avulla”, arvioi Koikkalainen.

4 vinkkiä kyberturvassa onnistumiseen

  1. Huomioi kyber­uhat liiketoiminnan ohjauksessa ja päätöksenteossa.
  2. Lisää käyttäjien tietoisuutta kyberturvasta.
  3. Hallitse haavoittuvuuksia sekä teknisesti että hallinnollisesti.
  4. Tee IT-ulkoistukset suunnitelmalli­sesti ja liiketoiminta­lähtöisesti.

 

CGI tarjoaa huolettomia hallintapalveluja

Kyberturvallisuuden konsultointipalvelujen johtaja Stefan Anderson tunnistaa Koikkalaisen esille nostamat kyberturvan perusasiat, joista huolehtiminen ei ole läheskään kaikissa yrityksissä arkipäivää. Puutteet ovat usein seurausta siitä, että asioita ei ole vastuutettu riittävän selkeästi tai ne vain yksinkertaisesti unohtuvat. Tilanteeseen joudutaan helposti esimerkiksi silloin, kun organisaatiossa ei ole dedikoitua henkilöä, joka huolehtii kyberturvallisuuden hallinnasta ja hankinnoista, vaan päädytään hankkimaan yksittäisiä palomuureja ja muita tietoturvalaitteita ja -ratkaisuja.

”Monet asiakkaat ovat ratkaisseet ongelman ulkoistamalla perusasioista huolehtimisen meille joko palvelusopimuksina tai osana laajempaa infra- tai sovellusulkoistusta. Näihin sopimuksiin voidaan kattavasti sisällyttää kyberturvallisuuden hallintaan liittyviä kokonaisuuksia”, sanoo Anderson.

Heräsikö kysymyksiä?

Stefan Anderson

+358401608686

stefan.anderson@cgi.com

Teksti Ari Rytsy. Kuvat Kristiina Kontoniemi.

Tutustu myös