Open search

    Kyberstrategialla turvaat digitalisaation investoinnit

    Monet teollisuusyritykset ovat jo pitkällä digitalisaatiossa. Digitalisaation seurauksena väistämättä kasvavien kyberriskien hallintaa ei kuitenkaan ole yleensä laskettu mukaan digitalisaatiohankkeiden business caseen. Tämä altistaa yritykset riskeille, mutta voi myös hidastaa uusien tuotteiden tai palveluiden tuontia markkinoille tai heikentää tuotteiden tai palveluiden käyttäjäkokemusta. Kyberturvastrategia on oiva työkalu riskien haltuunottoon.

    Monella teollisuudessa toimivalla johtajalla on jo vahva näkemys siitä, millaisia vaikutuksia kyberriskeillä voi olla yrityksen digitalisoituvalle liiketoiminnalle. Riskit ymmärrettyään he usein kyseenalaistavat organisaation totutun tavan toteuttaa kyberturvallisuutta. Näille johtajille keskeisiä kysymyksiä ovat esimerkiksi:

    • Millä investoineilla kyberriskejä voidaan hallita tehokkaimmin?
    • Kuinka paljon meidän on kulutettava rahaa kyberturvallisuuteen?
    • Kohdistuvatko nykyiset investoinnit riittävästi digitalisaatiohankkeisiin, digitaalisiin alustoihin ja palveluihin vai kuluuko suurin osa rahasta perus IT:n pyörittämiseen?
    • Onko minulla ja muulla yrityksen johdolla riittävä näkyvyys kyberriskeihin?
    Vastaukset näihin kysymyksiin tulisi löytyä yrityksen kyberturvastrategiasta.

    Mitkä ovat kyberstrategian hyödyt?

    Kyberturvastrategia määrittää suunnan toteutettavalle kyberturvallisuudelle. Strategian keskeisiä hyötyjä ovat:

    Kyberturvastrategian_hyodyt-2

    Ilman strategiaa kyberturvallisuuteen käytettävät resurssit käytetään yleensä edelleen samoin kuin ennen digitalisaatiohankkeitakin. Digitalisoituva liiketoiminta ei siis näy kyberturvainvestoinneissa, eikä digitalisaation seurauksena kasvavia kyberriskejä hallita. Yritys ei toteuta turvallista digitalisaatiota.

    Strategian avulla resurssit voidaan kohdistaa uudelleen liiketoimintaa tukevalla tavalla esimerkiksi IoT-laitteiden turvallisen identiteetin varmistamiseen, digitaalisiin alustoihin tai palveluihin.

    Miten uskottava kyberturvastrategia muodostetaan?

    Kyberturvastrategian työstämiseen ei tarvitse, eikä kannata, käyttää kuukausia tai viikkoja. Laajat nykytilan selvitykset eivät palvele strategian luomista, joten houkutusta nykytilan tarkkaan dokumentointiin kannattaa välttää.

    Strategiatyössä on sitä vastoin syytä keskittyä kyberturvallisuuden painopistealueiden valitsemiseen, näissä keskeisten ongelmien määrittämiseen ja merkittävimpien (strategisten, onhan kyse strategiasta) toimenpiteiden tunnistamiseen seuraavalle 1–2 vuodelle. Painopistealueiden valitseminen varmistaa, että kyberturvallisuuden tärkeimmät asiakkaat (esim. tietty tai tietyt liiketoiminta-alueet, yrityksen merkittävimmät asiakkaat) tunnistetaan ja resurssit kohdistetaan näiden mukaisesti.

    Strategiakausi on järkevää pitää lyhyenä: 1–2 vuotta on sopiva huomioiden liiketoiminnan nopea syke. Strategia on myös syytä nähdä dynaamisena, eli sitä voidaan muuttaa myös strategiakauden aikana.

    Olen havainnut, että seuraavat kysymyskokonaisuudet toimivat strategian muodostamisessa:

    Mitkä ovat organisaation tärkeimmät strategiset painopistealueet tai tavoitteet seuraavan kahden–kolmen vuoden aikana? Miten kyberturvallisuus voi edesauttaa tavoitteiden toteutumisessa? Millaista kyberturvallisuutta organisaatiossa tarvitaan, että tavoitteet saavutetaan? Onko jokin painopistealue sellainen, että yritys ei voi saavuttaa painopistealueen tavoitteitaan ilman kyberturvallisuuden vahvaa panosta? Mikäli tällainen painopistealue löytyy, tulee sen olla myös kyberturvallisuuden tärkein painopistealue strategiakaudella.

    Tukeeko nykyinen kyberturvastrategia em. tunnistettuja painopistealueita vai tarvitaanko strategiaan muutoksia? Usein havaitaan, että kyberturvaan suunnatut resurssit on kohdistettu yrityksen strategian kannalta vähäpätöisiin hankkeisiin tai jokin liiketoiminalle kriittinen palvelualue on jäänyt kokonaan tietoturvatyön ulkopuolelle. Samoin usein havaitaan, että yrityksellä ei ole tarvittavia kyberturvakyvykkyyksiä esimerkiksi uuden, liiketoimintastrategian mukaisen, liiketoiminta-alueen valloittamiseen.

    Mihin strategisiin painopistealueisiin kyberturvallisuuden pitää keskittyä? Missä strategisissa painopistealueissa kyberturvallisuuden merkitys on suurin? Pitäisikö kyberturvastrategiaan nostaa myös jokin alue, joka ei ole organisaatiolle strateginen? Onko painopisteitä liikaa?

    Millaisia ongelmia painopistealueissa pitää ratkaista? Mitkä ovat valittujen painopistealueiden kyberturvallisuuden päämäärät tai tavoitteet?

    Mitkä toimenpiteet tukevat parhaiten ongelmien ratkaisemista tai päämäärien ja tavoitteiden saavuttamista? Ovatko toimenpiteet mahdollisia huomioiden käytettävissä olevat tai strategian myötä hyväksytettävät resurssit? Ovatko toimenpiteet mahdollisia huomioiden yrityksen kulttuuri ja toimintatavat?

    Sopivalla porukalla, oikein johdettuna ja pohjatyöt tehtynä em. kysymyksiin pystytään vastaamaan muutaman tunnin keskustelujen jälkeen. Tämän jälkeen strategia kirjoitetaan auki ja hyväksytetään yrityksen kyberturvallisuuden tärkeimmillä asiakkailla.

     

    Ota yhteyttä, jos tarvitset toimivan kyberstrategian:

    Lue kyberturvallisuuden asiantuntijapalveluistamme

    Kirjoittaja

    Elina Niemimaa

    LinkedIn