Open search

    Tietoturvastrategia: Epäonnistumisista vaikuttavaan strategiaan

    Tietoturvastrategia ei useinkaan tuota toivottuja tuloksia. Näin ei kuitenkaan tarvitse olla, sillä oikein johdettuna, sopivalla porukalla ja pohjatyöt tehtynä vaikuttavan tietoturvastrategian muodostaminen ei ole vaikeaa.

    Junassa Turusta Helsinkiin tapahtuu mielenkiintoisia kohtaamisia. Heinäkuun alussa tapasin parin kuukauden tauon jälkeen uudelleen keskikokoisen yrityksen toimitusjohtajan, joka oli miettinyt yrityksensä tietoturvan tilaa viime tapaamisemme jälkeen. Hän oli päätynyt johtopäätökseen, että yrityksen tietoturvalle pitäisi tehdä jotakin, mutta hän ei tiennyt mistä aloittaa. Hän kysyikin minulta: ”mistä yrityksemme pitäisi aloittaa?”

    Vastaukseni oli yksinkertainen: muodostamalla tietoturvastrategia, joka selkeästi määrittää mihin yrityksen tietoturva on menossa ja miten se sinne pääsee. Vastoin odotuksiani, hän innostui. Strategian tekeminen oli jotakin mitä hän on tehnyt työkseen muutenkin. Innostus erottaa hänet monista muista tapaamistani johtajista, sillä usein saan vastaukseksi: ”me emme tarvitse tietoturvastrategiaa”. Perusteluna innottomuudelle saan kuulla esimerkiksi:

    • ”Emme tee strategista työtä.”
    • ”Liiketoiminnalla on strategia ja tietoturva vain tukee sitä.”
    • ”Tietoturva on tukifunktio, eikä sillä tarvitse olla strategiaa.”
    • ”Meillä ei ole riittävästi resursseja.”
    • ”Meillä on kädet täynnä työtä muutenkin, emme ehdi tekemään strategiaa.”   

    Kaksi viimeistä perustelua, kokemus resurssien riittämättömyydestä ja enemmän työtä kuin ehditään tehdä, ovat parhaita argumentteja tietoturvastrategian muodostamiselle.

    Miksi tietoturvastrategia?

    Ilman strategiaa, tietoturvaan käytettävät rahat ja työaika jakautuvat liian laajasti, eikä toivottuja tuloksia juuri synny. Syntyy kierre, jonka olen nähnyt konsultoidessani yhä uudelleen ja uudelleen: tietoturvaan pitäisi budjetoida aina vain enemmän ja enemmän rahaa ja liiketoiminnan kallista aikaa, joka taas on poissa yrityksen varsinaisesta liiketoiminnasta ja yrityksen johto ja liiketoiminta muuttuvat yhä tyytymättömämmiksi.

    Se, että yrityksellä ei ole tietoturvastrategiaa on virhe. Tästä virheestä johtuen monet suomalaiset yritykset joko käyttävät tietoturvaan (ja välillisesti liiketoimintaprojekteihin, jotka hidastuvat tietoturvasta johtuen) tarpeettomasti resursseja, kohdentavat resurssit väärin tai eivät pysty tarttumaan uusiin liiketoimintamahdollisuuksiin kankean tietoturvan takia.

    Epäonnistuva tietoturvastrategia

    Jokaisella yrityksellä on strategia huolimatta siitä, onko strategiatyötä tehty vai ei tai onko strategia kirjoittamaton tai auki kirjoitettu. Aivan samoin jokaisella yrityksellä on tietoturvastrategia. Tietoturvastrategia on valitettavan usein kirjoittamaton, mutta sen voi tunnistaa yrityksen toiminnasta eli siitä mitä tehdään ja mitä jätetään tekemättä.   

    Työssäni olen havainnut kolme usein toistuvaa strategiatyyppiä, joita kutsun tässä:

    • Nykytila-analyysistrategiaksi
    • Tee kaikkea mitä liiketoiminta toivoo -strategiaksi
    • Kasvata tietoturvan merkitystä muusta organisaatiosta välittämättä -strategiaksi

    Olen myös saanut nähdä miten nämä strategiat pidemmällä aikavälillä lähes väistämättä epäonnistuvat.

    Nykytila-analyysistrategia

    Nykytila-analyysistrategia perustuu olettamukseen, että yrityksen nykytilasta voidaan rakentaa polku jollain lailla määritettyyn tietoturvan tavoitetasoon. Yrityksen nykytilaa selvitetään perusteellisesti ja verrataan kansainvälisiin tietoturvan ns. parhaisiin käytäntöihin (esim. ISO27001-standardiin). Yritykselle määritetään tavoitetaso suhteessa useaan parhaissa käytännöissä määritettyyn osa-alueeseen (esim. tietoturvan hallinta, järjestelmien ja haavoittuvuuksien hallinta, tietoturvapoikkeamien käsittely) ja valitaan toimenpiteet näihin tavoitetasoihin pääsemiseksi yleensä jälleen näistä parhaista käytännöistä.

    Tällainen tietoturvastrategia on ikään kuin sisäänpäin kääntynyt, koska sekä tavoitetasot että toimenpiteet määritetään puhtaasti tietoturvan näkökulmasta ja suhteessa tietoturvan parhaisiin käytäntöihin nähden. Tavoitetasoa ei siis määritetä yrityksen liiketoiminnan prioriteettien, strategisten hankkeiden tai esim. toimintaympäristön perusteella.

    Nykytila-analyysistrategia on inhimilliseltä kannalta katsottuna ymmärrettävä: strategia on helppo tehdä valitsemalla valmiista parhaiden käytäntöjen listoista sopivat osa-alueet, tietoturvasta vastaavat kokevat ulkoista painetta parhaiden käytäntöjen omaksumiseen ja riskien realisoituessa yritys voi vedota toteuttaneensa parhaita käytäntöjä eli tehneensä parhaansa. Parhaissa käytännöissä ei olekaan sinänsä mitään vikaa, mutta vaikuttavassa tietoturvastrategiassa ne ovat työkaluja, eivät itse strategia. Samoin tietoturvan nykytila-analyysi puolustaa paikkaansa esim. yritysoston jälkeen tai kun yrityksessä ei ole koskaan ennen tehty tietoturvatyötä. Nykytila-analyysi ei kuitenkaan ole strategia.

    Olen itsekin ollut tekemässä nykytila-analyysistrategioita. Ja joskus uskonutkin niihin, mutta käytännön kokemus on osoittanut, että olen ollut väärässä.

    Strategia epäonnistuu

    Nykytila-analyysistrategia epäonnistuu, koska se ei huomioi riittävästi yrityksen liiketoiminnan erityispiirteitä vaan tasapäistää yrityksessä toteutettavan tietoturvan ns. parhaiden käytäntöjen mukaiseksi. Ketterään ja riskejä mielellään ottavaan yritykseen voidaan rakentaa laaja ja monimutkainen tietoturvan hallintamalli, joka perustuu vahvasti hierarkkisten organisaatioiden raportointilinjoihin. Tietoturvasta tuotetaan kattavasti erilaista dokumentaatiota miettimättä kuka sitä hyödyntäisi, koska parhaissa käytännöissä listataan mitä dokumentaatiota yrityksellä tulisi olla. Liiketoiminnalle tärkeitä projekteja strategia ei tyypillisesti mainitse lainkaan. Monet riskit jäävät hallitsematta ja mahdollisuudet hyödyntämättä, koska niitä ei ole syystä tai toisesta huomioitu tietoturvan parhaissa käytännöissä.

    Tee kaikkea mitä liiketoiminta toivoo -strategia

    Tee kaikkea mitä liiketoiminta toivoo -tietoturvastrategia on tyypillisesti kirjoittamaton. Strategia ilmenee yrityksen tietoturvasta vastaavien puheesta, jossa toistuu vahva halu ”palvella liiketoimintaa mahdollisimman hyvin”. Halu palvella on yleensä aito ja strategia perustuu olettamukseen, että tietoturva on tukitoiminto, jonka tarkoituksena on tukea liiketoimintaa. Sekä halu palvella liiketoimintaa että näkemys tietoturvan suhteesta liiketoimintaan ovat sinänsä oikeita ja kannatettavia.

    Strategia epäonnistuu

    Tee kaikkea mitä liiketoiminta toivoo -strategia epäonnistuu, koska tietoturvasta vastaavat päätyvät palvelemaan vähän jokaista liiketoimintajohtajaa/-aluetta ja usein ”parasta palvelua” saa johtaja, joka sitä äänekkäimmin vaatii. Tietoturvaan käytettäviä resursseja ei siis yleensä kohdisteta yrityksen toiminnan kannalta tärkeimpiin palveluihin tai toimintoihin. Kaikkien palveleminen tarkoittaa lähes väistämättä huonoa palvelua lopulta suurimmalle osalle. Samalla tietoturvasta vastaavat ylikuormittuvat, toiminta muuttuu reaktiiviseksi ja tietoturva päätyy ainaiseen (koettuun) resurssipulaan.

    Seuraa kierre, missä palvelu huononee entisestään tai tietoturvaan on käytettävä yhä enemmän resursseja. Samalla tietoturva pyrkii yhä enemmän ulkoistamaan omia tehtäviään liiketoimintayksiköihin. Tietoturvasta vastaavien puheessa toistuu toive siitä, että ”liiketoiminta ymmärtäisi paremmin tietoturvaa” tai että ”liiketoiminta itse vastaisi tietoturvastaan”.

    Kasvata tietoturvan merkitystä muusta organisaatiosta välittämättä -strategia

    Kasvata tietoturvan merkitystä muusta organisaatiosta välittämättä -strategialle on nimensä mukaisesti tunnusomaista halu (jatkuvasti) kasvattaa tietoturvan merkitystä yrityksessä. Tätä, lähes aina kirjoittamatonta, strategiaa noudattavat näkevät tietoturvan jollakin tapaa yrityksen elinehtona. He eivät erityisemmin välitä siitä, tukevatko tietoturvaan käytetyt resurssit ja tehty työ yrityksen liiketoimintaa tai muuta yrityksen sisäistä toimintaa. Tietoturvasta vastuussa olevat hankkivat esimerkiksi erilaisia teknisiä ratkaisuja, koska ne ovat juuri sillä hetkellä trendikkäitä tietoturvapiireissä. Riskikartoituksia varten laaditaan monimutkaisia malleja tai hankitaan ainoastaan tietosuoja- ja tietoturvariskeihin erikoistuneita työkaluja, jotka sitten pyritään sisällyttämään liiketoiminnan toimintatapoihin arvioimatta mallien tai työkalujen hyötyjä yrityksen toiminnalle.

    Strategiaa noudattavat johtajat kokevat, että he palvelevat yritystä parhaalla mahdollisella tavalla ja että tietoturvakulut ovat perusteltuja ja tarkoituksenmukaisia. Kysyttäessä he eivät yleensä kuitenkaan pysty perustelemaan näitä kuluja. Päinvastoin, kysyessäni perusteluja saan tyypillisesti vastaukseksi jotakin seuraavan kaltaista:

    • ”Näin tehdään suuremmissakin yrityksissä.”
    • ”Nämä hankinnat nyt vaan on pakko tehdä.”
    • ”Tietoturva monimutkaistuu jatkuvasti, pysyäksemme mukana meidänkin on panostettava X:ään tai Y:hyn.”

    Vertaamalla omaa yritystä suurempiin yrityksiin unohdetaan oman yrityksen erityispiirteet. Pakkoon vetoaminen taas on epäanalyyttista ja sillä perustellaan usein hankintoja tai kuluja, joilla ei juuri ole tarttumapintaa yrityksen toimintaan, joka kasvattaa yrityksen markkina-asemaa. Tietoturvan monimutkaistumiseen vetoaminen taas yleensä lisää yrityksen johdon ja liiketoiminnan ahdistusta, koska johto ja liiketoiminta odottavat tietoturvalta ratkaisuja.

    Strategia epäonnistuu

    Kasvata tietoturvan merkitystä muusta organisaatiosta välittämättä -tietoturvastrategia epäonnistuu, koska tässäkään strategiassa resursseja ei kohdenneta yrityksen kannalta järkevästi–esimerkiksi hankkeisiin, jotka lisäävät yrityksen markkina-arvoa tai parantavat kilpailuasetelmia. Yrityksen johto ja liiketoimintajohtajat kokevat, että tietoturvaan käytetyt resurssit eivät palvele organisaatiota ja että tietoturva vaikeuttaa uusiin mahdollisuuksiin tarttumista. Pidemmällä aikavälillä strategiasta seuraa, että tietoturva palvelee lähinnä itseään – ei yritystä.

    Tietoturvastrategian ei tarvitse epäonnistua. Tietoturva voi myötävaikuttaa yrityksen liiketoiminnan kehittämiseen ja tuottaa osaltaan yritykselle kilpailuetua. Onnistuminen kuitenkin edellyttää tietoisesti mietittyä, selkeää ja rajattua strategiaa, joka kuvaa miten tietoturva tukee yrityksen kilpailuetua ja toimintaa.

    Miten luot vaikuttavan tietoturvastrategian?

    Tietoturvastrategian työstämiseen ei tarvitse, eikä kannata käyttää kuukausia tai viikkoja. Liian laajat nykytilan selvitykset eivät palvele strategian luomista, joten houkutusta nykytilan tarkkaan dokumentointiin kannattaa välttää.

    Sitä vastoin strategiatyössä kannattaa keskittyä tietoturvan painopistealueiden valitsemiseen, näissä keskeisten ongelmien määrittämiseen ja merkittävimpien (strategisten, onhan kyse strategiasta) toimenpiteiden tunnistamiseen seuraavalle 1-3 vuodelle. Strategiakausi on järkevää pitää lyhyenä: 1-3 vuotta on sopiva huomioiden liiketoiminnan nopea syke ja tietoturvan alati muuttuva toimintaympäristö. Strategia on myös hyvä nähdä dynaamisena eli sitä voidaan muuttaa myös strategiakauden aikana.

    Painopistealueet tietoturvastrategian perustana

    Painopistealueet ja alueiden ongelmat, jotka on ratkaistava strategiakauden aikana, ovat strategian perusta. Niiden valitseminen pakottaa valitsemaan tietoturvan tärkeimmät asiakkaat (esim. tietty tai tietyt liiketoiminta-alueet tai johtajat, yrityksen merkittävimmät asiakkaat) ja niiden avulla kohdistetaan resurssit.

    Mikäli tietoturvalle halutaan määrittää missio, se voidaan kuvata painopistealueiden ja tärkeimpien asiakkaiden mukaisesti.

    Painopistealueiden keskeisten tai keskeisimmän ongelman määrittäminen taas auttaa kuvaamaan tietoturvalle vision, jos sellainen halutaan kuvata. Visio kuvaa siis tilannetta, missä tärkein tai tärkeimmät ongelmat ovat ratkaistuja (esim. ”Vuonna 2020 yrityksen asiakkaat kokevat asiakkaille tarjottujen palveluiden tietoturvaratkaisut sujuviksi käyttää.”).

    Kysymykset strategiatyön apuna

    Strategiatyötä voi hahmottaa kysymyksien kautta. Olen havainnut, että seuraavat kysymyskokonaisuudet toimivat hyvin:

    1. Millainen on yrityksen nykyinen (kirjoittamaton) tietoturvastrategia? Nykyinen tietoturvastrategia ilmenee menneistä valinnoista. Ne kertovat ketä/keitä tietoturva on palvellut eniten ja mihin liiketoiminta- tai tukitoimintoihin panostanut ahkerimmin.
    2. Mitkä ovat yrityksen tärkeimmät strategiset painopistealueet seuraavan kahden-kolmen vuoden aikana? Miten tietoturva liittyy näihin painopistealueisiin? Miten tietoturva voi edesauttaa painopistealueiden tavoitteiden toteutumista? Millaistatietoturvaa yrityksessä tarvitaan, että painopisteiden tavoitteet voidaan saavuttaa? Onko jokin painopistealue sellainen, että yritys ei voi saavuttaa painopistealueen tavoitteitaan ilman tietoturvan vahvaa panosta? Mikäli tällainen painopistealue löytyy, tulee sen olla myös tietoturvan tärkein painopistealue strategiakaudella.
    3. Tukeeko yrityksen nykyinen tietoturvastrategia em. tunnistettuja painopistealueita vai tarvitaanko strategiaan muutoksia? Usein havaitaan, että tietoturvaresurssit on kohdistettu yrityksen strategian kannalta vähäpätöisiin hankkeisiin tai jokin liiketoiminnalle kriittinen palvelualue on jäänyt kokonaan tietoturvatyön ulkopuolelle. Samoin usein havaitaan, että yrityksellä ei ole tarvittavia tietoturvakyvykkyyksiä esimerkiksi uuden, liiketoimintastrategian mukaisen, liiketoiminta-alueen valloittamiseen.
    4. Mihin strategisiin painopistealueisiin tietoturvan pitää keskittyä? Missä strategisissa painopistealueissa tietoturvan merkitys on suurin? Pitäisikö tietoturvastrategiaan nostaa myös jokin alue, joka ei ole yritykselle strateginen? Onko painopisteitä liikaa?
    5. Millaisia ongelmia painopistealueissa pitää ratkaista? Mitkä ovat valittujen painopistealueiden tietoturvan päämäärät tai tavoitteet?
    6. Millaiset toimenpiteet tukisivat parhaiten ongelmien ratkaisemista tai päämäärien/tavoitteiden saavuttamista? Ovatko toimenpiteet mahdollisia huomioiden käytettävissä olevat tai strategian myötä hyväksytettävät resurssit? Ovatko toimenpiteet mahdollisia huomioiden yrityksen kulttuuri ja toimintatavat?

    Sopivalla porukalla, oikein johdettuna ja pohjatyöt tehtynä em. kysymyksiin pystytään vastaamaan muutaman tunnin keskustelun jälkeen.

    Esimerkiksi, jos yrityksen strategiana on ostaa pienempiä yrityksiä pois markkinoilta tai kasvaa yritysostoin, voi yritysostojen tietoturva olla yksi tietoturvastrategian painopisteistä. Tällöin toimenpiteenä voi olla laatia due diligence -prosessi ostoille ja määrittää tapa ostettujen yritysten tietoturvatason saattamiseen halutulle tasolle. Jos taas yrityksen strategiana on kasvattaa tiettyä asiakassektoria kumppanuuksien avulla, tietoturvan yksi luonnollinen painopiste on kumppaneihin liittyvien riskien tunnistaminen ja hallitseminen. Vastaavasti jos kasvua haetaan B2B-liiketoiminnassa entistä sujuvammalla palvelukokemuksella, joka perustuu automatisaation kasvattamiseen, voi painopisteenä olla tietoturvan rakentaminen sisään sujuvaan palvelukokemukseen.

    Avullamme laadit vaikuttavan tietoturvastrategian.

    Lyhyesti

    Ongelma

    Tietoturvaan käytetyt resurssit kohdistetaan liiketoiminnan kannalta vääriin kohteisiin, tai tietoturvaan investoidaan ilman odotettavaa liiketoimintahyötyä.

    Mistä ongelma johtuu

    Yrityksillä ei yleensä ole yrityksen liiketoimintaan räätälöityä, kirjoitettua tietoturvastrategiaa. Ilman strategiaa tai vääränlaisella strategialla, tietoturvaan käytetyt resurssit jakautuvat liian laajasti eri tarpeiden välillä.

    Ratkaisu

    Johtajien tulee edellyttää, että yritykseen laaditaan vaikuttava tietoturvastrategia ja valita oikeat henkilöt johtajamaan ja tukemaan strategiatyötä.

    Lisätietoja

    elina_niemimaa-2

    Elina Niemimaa

    Instan visio on olla edelläkävijä turvallisessa digitalisaatiossa

    Lue vuoden 2018 vuosikertomus

    Tutustu Instaan työnantajana