Elina Niemimaa

5 - 11 - 2020 - Näkemyksiä

Miksi riskinottajat voittavat (ja miksi kyberriski on otettavissa)

Liiketoiminnassa riskit liittyvät yleensä suoraan liiketoimintamahdollisuuksiin. Riskien ottaminen onkin usein liiketoimintamahdollisuuksin hyödyntämisen ja innovaatioiden hinta. Esimerkiksi uuden yritysasiakkaille tarkoitetun palvelun tuominen markkinoille sisältää riskejä: täyttääkö palvelu asiakkaiden odotukset, ottavatko asiakkaat palvelun käyttöön ja tuoko palvelu odotettua liikevaihtoa. Onnistuessaan uusi palvelu tuo kilpailuetua. Riskinottaja siis voittaa. Samoin datan ja analytiikan hyödyntäminen esimerkiksi osana älykkäitä palveluita ja kilpailukykyistä asiakaskokemusta sisältää riskejä liittyen datan saatavuuteen ja laatuun. Toisaalta asiakkaiden kasvavat odotukset digitaalisia palveluita kohtaan luovat väistämättä painetta kehittää näitä palveluita. Riskin ottaminen on siis hyvän asiakaspalvelun edellytys.   Palveluiden markkinoille tuomiseen ja kehittämiseen sisältyy myös kyberriskejä.

Tietoturva TietosuojaKyberturvallisuus

Menestyvä liiketoiminta on riskien ottamista. Kyberriski on verrattavissa muihin liiketoimintariskeihin. Kyberriskejäkin voi siis ottaa.

Mikä on kyberriski?

Kyberriski on riski, joka johtuu jonkinlaisesta digitaalisen palvelun häiriöstä, ja aiheuttaa yritykselle taloudellista vahinkoa, mainehaittaa tai muuten vaikeuttaa yrityksen normaalia toimintaa. Asiakastietojen tai IPR:n menettäminen hakkeroinnin tai muun kyberrikollisuuden seurauksena, tahalliset ja tahattomat tietovuodot ja palveluiden toimimattomuus sekä puutteet tietosuojavaatimusten noudattamisessa ovat esimerkkejä keskeisistä kyberriskeistä.

Palveluiden ja palveluketjujen monimutkaistuminen, yritysten riippuvuudet toisistaan, yritysostot ja hakkeroinnin ammattimaistuminen ovat kasvattaneet kyberriskin liiketoimintamerkitystä viime vuosina. Esimerkiksi Allianzen vuoden 2019 barometri liiketoimintariskeistä nostaa kyberriskin merkittävimmäksi liiketoimintaan kohdistuvaksi uhaksi liiketoiminnan keskeytymisen (engl. business interruption) rinnalle. Riskin merkitystä korostaa vielä se, että kyberriski on usein keskeinen taustatekijä liiketoiminnan keskeytymisen takana.

Kyberriski ei aina kohdistu suoraan tiettyyn yritykseen tai yrityksen palveluun, vaan yritys tai sen palvelu voi kärsiä välillisesti kumppani- tai toimittajaverkostoon tai toimitusketjuun kohdistuvasta riskistä.

Kyberriskejä ei voi täysin välttää vaan niitä kannattaa ottaa tietoisesti riskikartoituksen pohjalta. Ajatus, että yrityksellä olisi nollatoleranssi kyberriskeille ei ole kestävä. Nollatoleranssi tarkoittaisi, että riskien hallintaan kaadettaisiin rahaa ja muita resursseja rajatta.

Kyberriskikartoitus

Kartoituksen tärkein lisäarvo on:

  • Kyberriskien hallitseminen ennen kuin ne realisoituvat asiakkaiden luottamuksen tai liiketoiminnan menetyksenä. Kartoitus tunnistaa ja priorisoi riskit sekä tarjoaa suositukset riskien ottamiseen ja hallitsemiseen.

  • Kyberturvallisuuden ja tietosuojan potentiaalin tunnistaminen myynnin edistäjänä ja konkreettisten toimenpiteinen määrittäminen näiden myynninedistämispotentiaalin kasvattamiseksi. Kartoitus arvioi millä toimenpiteillä esimerkiksi digitaalisen palvelun kyberturvallisuus helpottaisi asiakashankintaa.

Kyberriskikartoitus nostaa usein esiin näennäisesti teknisiä riskejä liittyen kartoitetun palvelun tai siihen liittyvien operatiivisten prosessien toimintaan häiriötilanteessa, asiakastietojen puutteelliseen suojaamiseen tietovuotojen varalta tai keskeisten IT-järjestelmien epävarmaan toimintaan. Riskien liiketoimintavaikutus näyttäytyy kuitenkin palvelukatkoksien, toimintahäiriöiden ja lopulta asiakkaiden luottamuksen vähenemisen kautta.

Suoremmin liiketoiminnallisia riskejä tunnistetaan yleensä esimerkiksi tilanteissa, missä yritys on hankkinut toisen yrityksen yrityskaupassa ja tämän yrityksen palveluita käydään läpi. Vaikka ostettavalla yrityksellä olisi paperilla ”hyvän näköiset” tietoturvapolitiikat ja monet tekniset suojauskeinot, voivat yrityksen palvelut sisältää tunnistamattomia riskejä (tutustu kyberturvallisuuden due diligenceen yrityskaupoissa ja yritysjärjestelyissä täältä).

Tunnistettujen riskien merkitys liiketoiminnalle vaihtelee. Näin ollen osa riskeistä voidaan ottaa ja osaa kannattaa hallita.

Miksi valittuja kyberriskejä kannattaa hallita?

Joskus kyberriskin hallitseminen on kalliimpaa kuin liiketoimintavaikutus riskin toteutuessa. Tällöin riskin ottaminen sellaisenaan on helppo päätös. Toisinaan riskin todennäköisyys on pieni tai taloudellinen vaikutus sen toteutuessa merkityksetön. Tällöinkin päätös riskin ottamiseen on yleensä helppo. Sitä vastoin todennäköisyydeltään suuren tai liiketoimintavaikutukseltaan merkittävän riskin ottaminen vaatii riskin ja sen hallintamahdollisuuksien analysointia ja selkeää päätösehdotusta liiketoimintajohtajalle.

Riskin ottamista voi arvioida ajan, kustannusten ja riskin näkökulmista:

  • Kuinka nopeasti liiketoimintamahdollisuuteen pitää tarttua? Olemmeko valmiita ottamaan enemmän riskiä, jotta saamme palvelun ennen kilpailijoita markkinoille?

  • Mitä kustannuksia (ts. aikaa, rahaa, työtä) riskin hallitseminen vaatii? Miten nämä kustannukset suhteutuvat mahdollisuuden liiketoiminta-arvoon? Onko mahdollisuus vielä taloudellisesti kannattava, jos hyväksymme kustannukset? Ovatko kustannukset hyväksyttävissä liiketoimintatavoitteiden saavuttamiseksi?

  • Voiko riskin toteutuminen aiheuttaa katkoksen liiketoimintaan? Voiko riski aiheuttaa merkittävää asiakkaiden menettämistä? Osalla kyberriskejä on toteutuessaan merkittävä vaikutus yrityksen liiketoiminnan jatkuvuuteen. Tyypillisesti näitä riskejä ei voida ottaa, vaikka riskien hallitseminen hidastaisi palvelun markkinoille tuontia tai esimerkiksi robotiikan käyttöönottoa.

Pahimmillaan kyberriskin toteutuminen tarkoittaa sitä, että yritys ei pysty tarjoamaan asiakkaille tuotteitaan ja palveluitaan tai asiakkaat yksinkertaisesti kaikkoavat, millä on luonnollisesti merkittävä vaikutus yrityksen liikevaihtoon. Osa kyberriskeistä on kuitenkin sellaisia, että ne voidaan ottaa tietoisesti kyberriskikartoituksen pohjalta. Ajoissa tunnistetut riskit voidaan hallita ilman, että niillä on vaikutusta tavoiteltuihin liiketoimintamahdollisuuksiin.

Elina Niemimaa
Kirjoittaja

Elina Niemimaa

Liiketoimintajohtaja

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.