Organisaation tietoturvasta huolehtimiseen vaikuttavat monet inhimilliset syyt.
1. Kieltäminen
- Yrityksillä on luja usko henkilöstönsä kykyihin puolustautua kyberrikollisia vastaan. Jopa kolme neljästä organisaatiosta* uskoo pystyvänsä havaitsemaan kyberhyökkäykset itse. Silti jopa 70 prosenttia ennustaa joutuvansa hyökkäyksen kohteeksi seuraavan vuoden aikana. Ristiriita kertoo enemmän tiedon puutteesta kuin osaamisesta.
- Opetus: Tunnusta todellinen uhka. Jos olit eilen suojattu, se ei riitä tänään.
2. Puutteellinen johtaminen
- Suuri osa suomalaisyrityksistä luottaa verkkotason valvontaan, vaikka vain 40 prosenttia haittaohjelmista jää viruksentorjuntaohjelmistoihin ja palomuureihin.
- Opetus: Nimitä ylimpään johtoon tietoturvasta vastaava henkilö. Tietoturvaa johdetaan strategisesti.
3. Vajavainen riskienhallinta
- Tyypillisesti kyberhyökkääjät etsivät arvoketjun heikoimman lenkin pyrkien näin arvokkaimpaan toimijaan. Vakavan tietomurron myötä voi pörssiyrityksen arvo laskea jopa 15 prosenttia.**
- Opetus: Kyberturvallisuus on liiketoimintariski. ”Oman tontin” suojaus ei riitä. Vaadi myös palveluntarjoajia noudattamaan tietoturvavaatimuksianne.
4. Huono kyberhygienia
- 83 % tietoturvatapahtumista johtuu huonosta kyberhygieniasta eli perusasioiden puutteellisesta hallinnasta.
- Opetus: Tietoturvakulttuuri vaatii pitkäjänteistä työtä. Kouluta henkilöstöä, harjoittele ja testaa. Määritä tietoturvalle tavoitteidesi mukaiset resurssit ja hanki tueksi kumppani, joka auttaa teknologiavalinnoissa sekä konsultoi ja kouluttaa.
5. Sokea usko teknologiaan
- Teknologiakehityksen harhassa voi kuvitella, että pian tietoturvahaasteisiin saadaan ratkaisu. Todellisuudessa kyberturvallisuusriskejä ei voi hallita pelkällä teknologialla.
- Opetus: Turvallisuusriskit edellyttävät älykästä teknologiaa, relevanttia ja ajantasaista uhkatietoa sekä inhimillistä asiantuntemusta.
6. Heikko reagointivalmius
- Varotoimista huolimatta noin 10 prosenttia hyökkäyksistä onnistuu. Jos kyberhyökkäys osuu – kenties keskellä yötä - miten nopeasti saat tilanteen hallintaan?
- Opetus: Varmista toimintakyky poikkeustilanteissa. Kouluta, harjoittele ja testaa. Tee varautumissuunnitelma ja perusta tietoturvapoikkeamien hallintatiimi.
7. Jatkuvan kehittämisen unohtaminen
- Kyberturvallisuus ei ole yksittäinen hanke vaan organisaation toimintatapojen pitkäjänteistä kehittämistä.
- Opetus: Tunnista kehitystarpeet, luo tiekartta ja suunnitelma jatkuvaan seurantaan, mittaamiseen ja kehittämiseen. Seuraa tietoturvan toteutumista myös arvoketjussa.