Viikon vinkki: Tietoturvan käsittely

Digiloikassa askelten pidentyessä yritysten on nyt ryhdyttävä toimiin turvatakseen tietohallintajärjestelmänsä. Liian monet yritykset ja yhteisöt ovat viivästyttäneet sijoittamista turvajärjestelmiin ja siksi ne ovat jääneet alttiiksi hyökkäyksille. Liiketoimintaa on kyllä automatisoitu, digitalisoitu ja se on verkossa, mutta ei ole välttämättä ajateltu  mahdollisia tietoturvahukia. Onneksi tietoturvan hallintajärjestelmän (ISMS) saatavuus ja järjestäminen on Suomessa kunnossa. On siis ryhdyttävä toimiin.

Kyberuhat

Digitaalisen muutoksen tärkein kysymys on tietosuoja, etenkin tietoverkkohyökkäyksiä vastaan. Televiestinnän jättiläinen Verizon suoritti tutkimuksen suurimmista yritysten tietoturvallisuusriskeistä ja totesi, että hakkerointi aiheuttaa 40% tietoturvarik-komuksista, ja haittaohjelmien osuus on 30%. Yksi esimerkki on viime kesän massiivinen verkkohyökkäys logistiikkayritys Maerskin vastaan Los Angelesin satamassa. Kun hyökkäys sammutti tietokoneet ja palvelimet, oli  työntekijät pakotettuja improvisoimaan Twitterin, Whats-Appin ja Post-Itin -lappujen avulla toiminnan jatkuminen. Petya-ransomware-hyökkäys maksoi Maerskille 300 miljoonaa dollaria ja se häiritsi toimintaa kahden viikon ajan osoittaen, että jopa globaalit yritykset ovat alttiita hyökkäyksille.

Liiketoiminnassa pyörien on pyörittävä, ja samalla on varauduttava tietojen kalasteluun tai muihin lurjuksiin. Käytännössä tämä tarkoittaa, että ei voi koskaan levätä laakereillaan, kun on varmistettava, että käytössä on kaikki tarvittavat työkalut ja järjestelmät tietojen suojaamiseksi.

Hyvin suunniteltu tietoturvan hallintajärjestelmä (ISMS) parantaa yrityksen sietokykyä tietoverkkohyökkäyksille. Mutta kyse ei ole vain turvatekniikoiden kytkemisestä päälle laitteissa. Oikean ISMS: n luominen vaatii paljon pohdintaa ennen toimintaperiaatteiden ja asiaankuuluvien tekniikoiden valitsemista. Yritysten on tehtävä riskinarviointi, joka tunnistaa keskeiset haavoittuvuudet ja miten ne vaikuttavat  liiketoimintaan. On päätettävä, onko olemassa olevalla henkilöstöllä teknisiä valmiuksia vai onko tarpeen rekrytoida, ja asetettava tavoitteet kehitykselle. Turvallisuusriskit muuttuvat nopeasti ja ISMS-järjestelmien on kehityttävä vastaamaan uusiin uhkiin. Yritysten tulisi hakea riskianalyysiään koskevia ohjeita käytettävissä olevista monista standardeista, muun muassa COBIT tai Kansainvälinen standardointijärjestö (ISO) 27000 -sarja.