Miksi ja miten kehittää yrityksen kyberturvallisuusosaamista?

22.7.2019  |  Blogi, Riskienhallinta

Kyberturvallisuusasiantuntijoiden kysyntä kasvaa voimakkaasti. Erään tutkimuksen mukaan maailmanlaajuinen vaje kyberturvallisuusasiantuntijoista kasvaa 1,8 miljoonaan työpaikkaan vuoteen 2022 mennessä. Asiantuntijoiden määrän lisääminen ei kuitenkaan kokonaan poista uusien digitaalisten ratkaisujen alttiutta uusille riskeille.

Pelissä on paljon: yritykset investoivat digitalisaatioon nykyaikaistaakseen organisaatioitaan, luodakseen uusia kyvykkyyksiä sekä toimiakseen nopeammin ja tehokkaammin. Yritykset uskovat digitalisaation tuovan kasvua ja parantavan asiakaskokemusta. Mutta mikä on digitalisaation suurin riski? Kyberturvallisuus, sanovat johtajat tutkimuksesta toiseen. Pelkkä kyberturvallisuusosaajien määrän lisääminen ei riitä. Yritysten on määriteltävä kyberturvallisuusasiantuntijoiden rooli ja työskentelytapa uudelleen. 

Kyberturvallisuuden on oltava liiketoimintalähtöistä. Se tarkoittaa turvallisuustiimin tehtävän linjaamista uudelleen niin, että se tukee yrityksen strategisia tavoitteita. Kuinka moni yritys on jo alkanut omaksua tällaista lähestymistapaa? Saavuttavatko tällaiset yritykset parempia tuloksia? Mitä näiden yritysten kyberturvallisuusasiantuntijat tekevät eri tavalla? 

PwC:n Digital Trust Insights -selvitys tunnisti edelläkävijät – 25 % vastaajista – joiden digitalisaatio ja kyberturvallisuus ovat paremmalla tolalla kuin muiden alan toimijoiden. Lukuisilla yrityksillä on paljon opittavaa edelläkävijöiltä, ja nyt siihen on mahdollisuus. 

Mistä tunnistaa edelläkävijän?

Edelläkävijät työskentelevät yleensä organisaatioissa, joiden liiketoiminnan tulos on tavallista parempi. Kaikkien niiden vastaajien joukosta, jotka mainitsivat digitalisaation päätavoitteeksi liikevaihdon kasvattamisen, lähes 90 % kertoi digitalisaation tuoton täyttävän tai ylittävän heidän odotuksensa (muista vastaajista näin vastasi kaksi kolmasosaa). 

Tällaiset yritykset kertovat olevansa proaktiivisempia, ennakoivampia ja nopeampia kuin muut alan yritykset, mikä vähentää kyberuhkien vaikutusta liiketoimintaan. Esimerkiksi useampi kuin kahdeksan kymmenestä edelläkävijästä sanoi ennakoineensa digitalisaatioprojekteihinsa kohdistuvan uuden kyberriskin ja ottaneensa sen hallintaan ennen kuin riski ehti vaikuttaa yrityksen kumppaneihin tai asiakkaisiin (muut vastaajat: kuusi kymmenestä). 

Edelläkävijäyrityksissä kyberturvallisuustiimien koetaan erittäin usein olevan yritykselle hyvin arvokkaita. 86 % edelläkävijöistä kertoi kyberturvallisuustiimiensä tuottavan organisaatiolle merkittävää lisäarvoa (muista vastaajista 50 %). 58 % edelläkävijöistä kertoi kybertiimiensä olevan erittäin tehokkaita hallitsemaan digitalisaatiossa ilmeneviä akuuteimpia riskejä (muista vastaajista 21 %).

Edelläkävijät ovat ennen kaikkea huomattavasti optimistisempia liikevaihdon ja voittomarginaalin kasvun mahdollisuuksien suhteen. 57 % edelläkävijöistä odotti liikevaihdon kasvavan keskimäärin vähintään 5 % seuraavien kolmen vuoden aikana (muista vastaajista 31 %). 53 % edelläkävijöistä odotti voittomarginaalin kasvavan vähintään 5 % (muista vastaajista 28 %). 

Mitä edelläkävijät tekevät toisin?

Edelläkävijöissä kyberturvallisuustiimi on todennäköisesti erottamaton osa liiketoimintaa, jotta se tukisi yrityksen strategisia tavoitteita. Edelläkävijäyrityksissä kyberturvallisuustiimin tehtävä on muutettu omaisuuden suojaajasta organisaation strategiseksi kumppaniksi.

Kyberturvallisuustiimi on tiiviissä yhteydessä strategiasta vastaaviin tahoihin (toimitusjohtaja), digitalisaation toimeenpanijoihin (digitalisaatiojohtaja, innovaatiojohtaja, markkinointijohtaja, teknologiajohtaja), riskienhallinnasta vastaaviin tahoihin (riskienhallintajohtaja) ja liiketoimintaa valvoviin elimiin (yhtiön hallitus). 

Seuraavassa esitellään kolme esimerkkiä, joissa edelläkävijöiden yhteys liiketoimintaan käy erityisen hyvin ilmi.

Yhteys strategiatasolla

Edelläkävijöiden kybertiimit tuntevat yrityksen strategian erittäin hyvin. Esimerkiksi tuotekehityksessä tämä voi ilmetä niin, että kyberturvallisuusasiantuntijat ovat aktiivisesti mukana jo tuotteiden suunnitteluvaiheessa varmistamassa, että tuotteista tulee kyberturvallisia. 65 % edelläkävijöistä on vahvasti sitä mieltä, että heidän kyberturvallisuustiiminsä on erottamaton osa liiketoimintaa, tuntee yrityksen strategian ja on luonut kyberturvallisuusstrategian, joka tukee yrityksen toimintaa (muut vastaajat: 15 %).

Riskiperustainen lähestymistapa

89 % edelläkävijöistä kertoi yrityksen kyberturvallisuustiimin olevan jatkuvasti mukana hallitsemassa yrityksen liiketoiminnan muutoksiin ja digitalisaatioon olennaisesti liittyviä riskejä (muut vastaajat: 41 %).

Toteutuksen koordinointi

Edelläkävijäyritysten kybertiimit osallistuvat täysivaltaisina osapuolina keskusteluihin yrityksen riskinottohalukkuudesta, minkä vuoksi riskejä ja uhkia voidaan hallita koordinoidusti. 77 % edelläkävijöistä on voimakkaasti sitä mieltä, että kyberturvallisuustiimi on riittävän paljon tekemisissä ylimmän johdon kanssa, jotta tiimi ymmärtää yrityksen riskinottohalukkuuden sen ydinliiketoimintaan liittyen (muut vastaajat: 22 %).

Miten saavuttaa edelläkävijöiden taso?

Jos yritys haluaa saavuttaa edelläkävijöiden tason, sen on parannettava toimintaansa kolmella edellä mainitulla alueella, joilla edelläkävijät erottuvat. PwC:n Digital Trust Insights sisältää myös tiekartan asioista, joihin yritysten on kiinnitettävä huomiota. Tiekartta perustuu siihen, miten kyselyymme vastanneet IT-ammattilaiset arvioivat organisaationsa sijoittumista yhdysvaltalaisen NIST:n Cybersecurity Framework -kehyksen mukaisiin moniin eri luokkiin. Näiden luokkien perusteella kehykseen on luotu viisi toimintoa: tunnista, suojaa, havaitse, vastaa ja toivu. Pyysimme IT-vastaajia luokittelemaan organisaationsa CMMI-kypsyystasojen mukaisesti. Tuloksiin voi tutustua tarkemmin täällä.

Yritykset, jotka tekevät kyberturvallisuudesta erottamattoman osan jokaista liiketoimeaan, kykenevät hyötymään digitalisaatiosta täysimittaisesti, hallinnoimaan siihen liittyviä riskejä ja rakentamaan luottamusta. 

Jani Arnell

Digitaalinen turvallisuus

+358 (0)20 787 8844

  

Jätä kommentti

(* merkityt kentät ovat pakollisia. Sähköpostiosoitetta ei julkaista kommentin yhteydessä.)