Kyberturvan riskienhallinta on keskeinen osa yrityksen kokonaisriskien hallintaa

Blogi
Tietoturvapäällikkö Kimmo Juntunen
Kimmo Juntunen
Tietoturvapäällikkö
Viime kuukausina, erityisesti joulukuussa, palvelunestohyökkäykset, tietomurrot ja kiristyshuijaukset ovat kasvaneet räjähdysmäisesti. Se on osoittanut meille kyberturvan riskienhallinnan ja ennakoivan toiminnan tärkeyden sekä varautumistarpeen.

Tietomurrot sekä muut kyberhyökkäykset ovat olleet arkipäivää jo vuosia ja aiheuttaneet yrityksille merkittävää vahinkoa sekä taloudellisesti että henkilöiden yksityisyyteen liittyen.

Kyberturvariskienhallinta alkaa siitä, että ymmärrämme riittävästi aiheesta. Tämä tarkoittaa sitä, että tunnemme uhkat ja erilaiset kyberhyökkäysten muodot, meillä on riittävä tieto siitä, ketä vastaan taistelemme, miten voimme havainnoida uhkia ja millä keinoilla voimme pienentää uhkapinta-alaa. 

Erityisesti kiinnitän huomiotani uhkatiedon saamiseen, jotta voimme luoda riittävän tarkan kyberturvan tilannekuvan omaan organisaatioomme kohdistuvista kyberturvariskeistä. Teknisen uhkatiedon lisäksi tärkeimpiä tiedonlähteitä ovat tiedonjakoryhmät ja luotettavat yhteistyökumppanit.  

Kyberturvan kokonaisuus on jaettava usealle vastuuhenkilölle

Kyberturvariskienhallinta on helpompaa, kun on luotu toimintamalli, jolla varmistetaan säännöllinen kyberriskien arviointi. Carunalla tämä tarkoittaa sitä, että kyberturvan kokonaisuus on jaettu pienempiin osa-alueisiin arkkitehtuurin mukaisesti, ja näille osa-alueille on nimetty omat vastuuhenkilöt. Vastuuhenkilöiden tehtävänä on asiantuntijoiden kanssa listata oman vastuualueensa kyberuhkat ja arvioida niiden vaikutus ja todennäköisyys. Arvioinnin perusteella päätetään uhkapinta-alaa pienentävät toimenpiteet ja varmistetaan niiden toteuttaminen.

Toimintamallin toteutusta helpottaa eri uhka- ja vastuutasojen luominen, jolloin päätöksenteko saadaan mukautumaan organisaation vastuisiin. Tällä luodaan myös luontainen yhteys organisaation muuhun riskienhallintaan.

Ilman kyberturvariskien hallintaa ei organisaatiolla voi olla kokonaisvaltaista riskienhallintaa. On mielekästä hoitaa omaa tehtäväkenttää yhteiskuntakriittisen yrityksen kyberturvallisuuspäällikkönä, kun henkilöstö on sitoutunut yhteiseen turvallisuustavoitteeseen ja sekä yrityksen operatiivinen johto että omistajat ovat kiinnostuneita omalla panoksellaan toteuttamaan yhdessä onnistuneen kyberturvallisuuden riskienhallinnan.

Lue lisää