02.12 2022

Kaikkien yritysten koosta riippumatta tulee huomioida tietoturva ja sen hallinta

 Tietoturvapäällikkö (englanniksi Chief Information Security Officer, CISO) on toimihenkilö, joka vastaa yrityksessä arvokkaiden tietojen turvallisuudesta. It-pohjaisen turvallisuuden lisäksi CISO:n tulee varmistaa yrityksen omaisuuden fyysinen suojaus (aitojen rakentamisesta tärkeiden paperiasiakirjojen turvalliseen säilytykseen), kartoittaa tietoturvariskit, joilla voi olla merkittävä vaikutus yrityksen ydinliiketoimintaan ja luoda organisaatiossa asianmukaisten politiikkojen ja prosessien avulla järjestelmällinen lähestymistapa tietoturvaan. Näin ollen CISO:n tehtävät eivät rajoitu It-alaan, vaan ne kattavat koko yrityksen turvallisuuden varmistamisen uhkien luonteesta riippumatta. Tietoturva koskee kaikenkokoisia yrityksiä ja sisältää paljon muutakin kuin tietotekniseen turvallisuuteen liittyviä tekijöitä. "Tietoturvapäällikkö on asiantuntija, jonka tehtävänä on kartoittaa systemaattisesti mahdollisia sekä teknologisia että organisatorisia riskejä, jotka voivat vaikuttaa negatiivisesti yrityksen toimintaan, ja suunnitella riittäviä suojatoimenpiteitä. CISO:n työtä luonnehtii erittäin hyvin lause: paras pelata varman päälle, KPMG:n kyberturvallisuusasiantuntija Igmar Ilves sanoi.

CISO:n tulee huolehtia siitä, että yhtiöllä on sisäiset tietoturvaohjeet, jotka hyväksytään yrityshallituksen päätöksellä. Säännöissä tulee teknisten (tietotekniikkaan liittyvien) ohjeiden lisäksi esitellä muun muassa vaatimukset miten toimihenkilöiden on suojattava yrityksen tietoja yhtiön tilojen ulkopuolella sekä ohjeet, joita yrityksen tiloissa vierailevien on noudatettava. CISO:n tulee säännöllisesti tarkistaa ja pitää tietoturvaohjeita ajan tasalla, sillä teknologia ja siten rikollisten käyttämät menetelmät muuttuvat jatkuvasti.

"Monissa yrityksissä on melko yleinen käsitys, että tietoturva vaatii paljon rahaa, vaikka todennäköisyys, että jotain tapahtuu, on pieni. Siksi turvallisuuteen kiinnitetty huomio ja siihen osoitetut resurssit jäävät melko vähäisiksi. On totta, että jotkut yritykset voivat toimia pitkään ilman tietoturvahäiriöitä. Hyökkäyksen uhriksi joutuminen on todellakin vähän "onnenkauppa". Olemme kuitenkin nähneet useita tapauksia, joissa tunnetun yrityksen maine vahingoittuu kyberhyökkäyksen tai sen infrastruktuuriin kohdistuvan fyysisen hyökkäyksen seurauksena. Tietoturvapoikkeamia ei muuten pidä nähdä johtuvan pelkästään ulkoisista uhista, sillä voi myös käydä niin, että joku yrityksen toimihenkilö luovuttaa tietoisesti tai tahattomasti yrityksen arkaluonteisia tietoja kolmansille osapuolille esimerkiksi sosiaalisessa mediassa. Siksi on syytä muistaa, että tietoturva on todellinen ja tärkeä asia, joka voi vaikuttaa yrityksen liiketoiminnan kestävyyteen ja minkä tahansa kokoisen yrityksen kannattaa miettiä siihen liittyviä riskejä. Muutoin voi tapahtua, että menetetään asiakkaiden luottamus, voitot laskevat ja maine vaurioituu, Igmar Ilves sanoi.

"Olemme muuten myös huomanneet, että kyberhyökkäyksen kokeneilla yrityksillä ei useinkaan ole CISO:a tai vastaavia tehtäviä hoitavaa muuta toimihenkilöä", Ilves lisäsi. Yritykset, jotka ovat perustaneet CISO-aseman tai joilla on toimihenkilö hoitamassa niitä tehtäviä, ovat yleensä paremmassa asemassa. Ilveksen mukaan monilla yrityksillä on kuitenkin tapana pahentaa tilannettaan asettamalla CISO tietohallintopäällikön alaisuuteen.

"Kun otetaan huomioon It-ratkaisujen merkitys yrityksen eri prosesseissa nykyään, on historiallisesti ymmärrettävää, miksi tällaisia päätöksiä (CISO tietohallintopäällikön alaisena) on tehty. Tällainen järjestely johtaa kuitenkin todennäköisesti ristiriitaisiin tilanteisiin. Ensinnäkin tietoturvan tulee sisältää kaikkien yritystietojen suojaaminen, eikä se rajoitu tietotekniikka-alaan. Toisin sanoen CISO:n tehtävänä on suojella liiketoimintaa kokonaisuutena, ei vain It-laitteita ja dataa. Siksi CISO:n toimialakohtainen osaaminen on paljon laajempi kuin tietohallintopäälliköllä. Toiseksi, työ tietohallintopäällikön alaisuudessa vaikeuttaa resurssien kohdentamista tietoturvaan, koska tietohallintopäällikön painopisteet ja prioriteetit eivät välttämättä ole samat kuin CISO:n. Kolmanneksi, tietohallintopäällikön vastuulla on varmistaa, että tietojärjestelmät on rakennettu turvallisuuden parhaiden käytänteiden mukaisesti, kun taas CISO on toimihenkilö, jonka tulee tarkistaa nämä järjestelmät turvallisuuden näkökulmasta. Kolmas kohta osoittaa selkeän ristiriidan – on enemmän kuin todennäköistä, että CISO:n täytyisi antaa käskyjä tietohallintopäällikölle, eli esimiehelleen. Jotkut CISO:t eivät ehkä uskalla viitata ongelmiin tällaisessa tilanteessa. On selvää, että jokainen yritys on erilainen, ja sen erityispiirteet tulee ottaa huomioon rooleja ja hierarkkisia suhteita luotaessa. Tämän sanottuani uskon, että useimmat yritykset hyötyisivät rakenteesta, jossa CISO raportoi suoraan ylimmälle johtajalle. Tilanne, jossa tietohallintopäällikkö hoitaa CISO:n roolia, on kuitenkin vielä ongelmallisempi, koska on selvää, että tietohallintopäälliköllä ei todellakaan ole aikaa suorittaa CISO:n tehtäviä kunnolla ja lisäksi heiltä puuttuu usein myös vaadittu pätevyys."

Turvallisuuskysymykset on käsiteltävä viisaalla ja resurssintehokkaalla tavalla

Igmar Ilvesin mukaan useimmille pienille ja jopa monille keskisuurille yrityksille ei todennäköisesti ole mahdollista palkata kokopäiväistä CISO:ta. Silti monet CISO:n tehtävät ovat edelleen erittäin tärkeitä myös näille yrityksille, ja niitä pitäisi hoitaa jollain tavalla. Ensinnäkin mikä tahansa kokoinen yritys pystyy varmasti toteuttamaan joitakin toimintoja itse ilman, että heidän tarvitsee palkata joku henkilö. Esimerkiksi sisäinen tietoturva-arviointi on mahdollista tehdä yksinkertaistetussa muodossa, jossa yrityksen avainhenkilöt järjestävät epävirallisia aivoriihejä ja selvittävät skenaarioita, joiden toteutuminen on todennäköisintä ja joilla voi olla yritykseen suurin vaikutus. Paljon hyödyllistä tietoa mahdollisista riskeistä löytyy helposti Internetistä ja täysin ilmaiseksi. Näin yrityksellä on ainakin jonkinlainen käsitys liiketoimintaansa mahdollisesti vaikuttavista uhista ja siitä, mitä turvatoimia tulisi harkita. "Tietysti, jos yrityksellä ei ole asianmukaista osaamista, se voi tällaisen riskianalyysin perusteella arvioida tilanteen puutteellisesti, mutta sellainen arvio on silti parempi kuin ei mitään," Ilves sanoi.


"On olemassa monia organisaatioita ja yrityksiä, joissa CISO:n vastuut jaetaan eri toimihenkilöjen kesken, mutta todellisuus osoittaa, että heillä ei ole paljon aikaa käsitellä turvallisuusasioita päätoimisen työnsä ohella. Tämän seurauksena tietoturvatilanne pysyy huonona", Ilves kuvaili. Vaikka yrityksellä olisikin riittävä tietoturvapolitiikka ja -säännöt (esim. toisen yrityksen avustuksella kehitetyt), CISO:n puuttuminen tarkoittaa, että yrityksellä ei ole pätevää toimihenkilöä, jolla olisi aikaa ja resursseja valvoa sääntöjen noudattamista. Ja jos valvontamekanismia ei ole olemassa, sääntöjä joko ei noudateta tai niitä noudatetaan epäjohdonmukaisesti.

Tietoturvapäällikkö-palvelu (CISO as a Service -palvelu) – järkevä valinta monille yrityksille

Oletetaan, että yrityksellä ei ole omaa CISO:a, mutta se tarvitsee sellaisen asiantuntijan (tai sen nykyinen CISO tarvitsee tukea). Siinä tapauksessa vaihtoehtona on ulkoistaa CISO:n tehtävät ulkopuoliselle palveluntarjoajalle.

"Yksi palveluista, joita KPMG tarjoaa asiakkailleen, on tietoturvapäällikkö-palvelu (CISO as a Service -palvelu). Tämä tarkoittaa olennaisesti sitä, että hoidamme CISO:n tehtäviä asiakkaan yrityksessä. Tarjoamamme palvelun työmäärän vakiovaihtoehdot vaihtelevat 10 tunnista viikossa kokopäivätyöhön, mutta kaikki on neuvoteltavissa riippuen asiakkaan tarpeista. Tarjoamme tukea niin kauan kuin yritys sitä tarvitsee. Esimerkiksi yritys voi tarvita tietoturvapäällikkö-palvelua vuodeksi. Siinä tapauksessa hoidamme CISO:n tehtäviä yhden vuoden, jonka jälkeen yritys voi jatkaa työtä omin voimin", Ilves sanoi. Hän lisäsi, että toinen peruste tietoturvapäällikkö-palvelun käyttöön on se, että CISO:n tehtävään on erittäin vaikea löytää sopivia ja päteviä ehdokkaita.

"Tilaamalla tietoturvapäällikkö-palvelun yrityksen ei tarvitse käyttää resursseja rekrytointiin, palkkaan ja sosiaalimaksuihin. Myös toimihenkilön osaamisen ylläpitämiseen ei ole tarvetta panostaa."

Tietoturvapäällikkö-palvelua ei tarjoa ainoastaan yksi henkilö, vaan KPMG:n palvelussa on kokenut tiimi, jolla on vankan kokemuksen lisäksi myös erilaisia kansainvälisesti tunnustettuja ammattitodistuksia. "Meidän vahvuutemme on ihmisemme. Kaikki tiimin jäsenet ovat läpäisseet tiukan rekrytointiprosessin varmistaakseen, että olemme löytäneet tiimin parhaista parhaat. On myös tärkeää huomata, että tiimimme jäsenten kokemus on monipuolinen, mikä lisää palvelun arvoa asiakkaillemme. Tiimiin kuuluu tietokoneverkkojen turvallisuuden testaajia, verkkosovellusten turvallisuuden testaajia, pilvipalvelujen testaajia, It-tarkastajia, analyytikkoja, digitaalisen forensiikan asiantuntijoita, entisiä CISO:ita, järjestelmänvalvojia, ohjelmistokehittäjiä ja monia muita", Ilves sanoi. Siksi tietoturvapäällikkö-palvelu tarjoaa varmasti enemmän arvoa yritykselle kuin yhden asiantuntijan palkkaaminen.

"On erittäin vaikea löytää hyvätasoista CISO:a, joka tuntee erinomaisesti sekä organisaation että teknisen turvallisuuden; tällaisen asiantuntijan kuukausipalkka on vähintään 5 000 euroa. Kannattaa myös muistaa, että itse rekrytointi vie aikaa ja rahaa. Rekrytoinnin jälkeen CISO:lle maksetaan palkkaa työvoimaveroineen, ja heidän on ylläpidettävä taitojaan laadukkailla tietoturva- ja kyberturvallisuuskoulutuksilla. Pitkällä aikavälillä toimihenkilön palkkaaminen on todennäköisesti kalliimpaa ja arvoltaan vähäisempää kuin esimerkiksi KPMG:n tarjoaman tietoturvapäällikkö-palvelun ostaminen", Ilves sanoi.


Igmar Ilves
Vanhempi kyberturvallisuusneuvoja
KPMG Baltics OÜ

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Käännä uhat mahdollisuuksiksi

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
 ${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

Käyttäjäanalyysi

Käyttäjäanalyysi keskittyy kyberturvallisuuden heikoimman lenkin - käyttäjän, toimihenkilön — osaamisen kartoittamiseen ja lisäämiseen.
Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.
Email again: