KPMG:n yleiskatsaus kyberturvallisuuteen vuonna 2022

Strateginen muutos

Kyberturvallisuus koskee nykyään lähes kaikkia teknologiayritysten liiketoiminnan osa-alueeIta ja vaikuttaa niihin. Kyberturvallisuus ei ole enää alue, jota käsittelevät vain turvallisuushenkilöstö ja It-ammattilaiset. Siksi on ymmärrettävää, ettei yksinomaan It-ammattilaiset ole vastuussa kyberturvallisuudesta, vaan se on yrityksen yhteinen vastuu. CISO:lla pitää olla monta eri hattua päässään ja hänen on kyettävä linjaamaan yrityksen liiketoimintastrategia kyberstrategian kanssa. Siksi on tärkeää, että tietoturva sisällytetään liiketoimintaprosessiin. CISO:n pitäisi auttaa johdon jäseniä tekemään siirrosta mahdollisen.

X-tekijä: kriittiset kyvyt ja taidot

Tarve nopeuttaa markkinoille saattamista yhdistettynä siihen liittyvien riskien analysointiin lisääntyi Covid-kriisin vauhdittamana, mutta oli tärkeä sitä ennenkin. Nykyisin osaavista kyberturvallisuuden ammattilaisista on kova pula. KPMG suosittelee etsimään vaihtoehtoisia ratkaisuja siihen tarpeeseen vastaamiseksi ottamalla mukaan esimerkiksi freelance-työntekijät ja automatisoimalla kyberturvallisuustoimintoja. Lisäksi CISO:ja kehotetaan katsomaan kykyjenetsinnässä perinteisiä osaajaryhmiä kauemmas ja poistamaan ammattiin pääsyä hankaloittavat esteet houkutellaakseen alalle kasvavan määrän kyvykkäitä työntekijöitä.

Kybersuojauksen mukauttaminen pilvipalveluihin sopivaksi

Kyberturvallisuusympäristöä on muuttanut myös kasvava organisaatioiden määrä, jotka ovat siirtyneet pilvipalveluihin. Perinteisen kyberturvallisuuden edellyttämät prosessit ja osaaminen eivät välttämättä enää sopii pilviympäristössä. KPMG:n raportin mukaan 90 % organisaatioista voi olla alttiina turvallisuusuhille, jotka liittyvät pilvipalveluiden asetusten virheellisiin määrityksiin. CISO:jen on autettava tiimiensä ymmärtämään pilviympäristön kyberturvallisuusvaatimukset ja mukauttamaan kybersuojausta pilvipalveluihin sopivaksi. Tämä tulisi tehdä pitäen silmällä alaa sääntelevää oikeudellista kehystä ja ottaa huomioon se, miten säädökset kuten yleinen tietosuoja-asetus tai Yhdysvaltain sairausvakuutusten siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (Health Insurance PortabilIty and AccountabilIty Act, HIPAA) vaikuttavat pilviturvallisuuteen.

Identiteetin hallinta on nollaluottamus-mallin ytimessä

Miljoonat työntekijät siirtyvät etätyöhön ja ostavat puhelimillaan tavaroita mistä päin maailmaa tahansa. Siksi on yhä tärkeämpää asettaa identiteetin hallinta ja nollaluottamus-malli (englanniksi Zero Trust Security) liiketoimintaprosessien ytimeen. Nollaluottamus-mallia ei pitäisi enää nähdä teknologiana tai lisäominaisuutena, vaan pikemminkin tietoturvastandardina, joka kaikkien CISO:jen tulisi ottaa käyttöön. Identiteetin hallinnan pitäisi olla keskeinen osa nollaluottamus-mallia.

Turvallisuusjärjestelmien automaatio

Automaatio auttaa usein vapauttamaan resursseja, jotka voidaan käyttää paremmin kuin yksitoikkoisiin, toistuviin tehtäviin. Tämä koskee myös kyberturvallisuutta, jossa esimerkiksi järjestelmien skannaus haavoittuvuuksien varalta, lokianalyysi ja vaatimustenmukaisuuden arviointi suoritetaan automaattisesti.

Automaatio auttaa tietoturva-ammattilaisia keskittymään todella kriittisiin tilanteisin sen sijaan, että he käyttävät aikaa alemman tason uhkiin, joita voidaan käsitellä automatisoidusti. CISO:ita kannustetaan hyödyntämään automaatiota täysimääräisesti.

Tietosuoja

Tällä hetkellä kyberturvallisuutta ja tietosuojaa käsitellään eri aloina, jotka toimivat usein erillään toisistaan. Tietosuojatietoisuuden ja tietosuojan tärkeyden ymmärtämisen lisääntyessä kasvaa tarve pitää tietosuojaa toimintona, joka ei ole pelkästään itsenäinen oikeustieteen ala, vaan toimintona, joka yhdistää useita aloja. Tietosuojan ja kyberturvallisuuden pitäisi olla voimakkaasti sidoksissa toisiinsa, mikäli yritykset noudattavat liiketoiminnassaan sisäänrakennetun tietosuojan periaatteita.

Kyberturvallisuus, joka ulottuu yrityksen rajojen ulkopuolelle

Yritykset ovat nykyään useammin riippuvaisia toimitusketjujen luotettavuudesta ja useista liikekumppaneista. Tällaisien riippuvuuksien takia 79 % kyberturvallisuustiimeistä ymmärtää, että yrityksen liikekumppanin ekosysteemin ja toimitusketjun suojeleminen on yhtä tärkeää kuin oman kyberpuolustuksen rakentaminen. Siksi ovat kehittyneet yritysverkostot, jotka toimivat yhdessä ja edellyttävät riittäviä valvontajärjestelmiä omien ja kumppaniensa tietojen suojaamiseksi samanaikaisesti. Tarvitaan vahvaa riskienhallintajärjestelmää, joka sopii kyberuhkien hallintaan organisaatiossa ja sen ulkopuolellakin. Tämä edellyttää CISO:lta ennakoivaa toimintaa: automaation, jatkuvan valvonnan ja nollaluottamus-mallien avulla hän voi auttaa varmistamaan turvallisuuden yrityksen rajojen ulkopuolellakin.

Keskustelun aiheena on kyberresilienssi