PWC Uutishuone

Mitä hallituksen tulee tietää tietoturvasta?

Kyberuhkien kehittyessä yritysten hallitusten on syytä etsiä uusia ja tehokkaampia tapoja uhkilta suojautumiseen. Hallitukset kyllä tiedostavat hyökkäysten aiheuttamat potentiaaliset vahingot, mutta tieto ja käytännön toimenpiteet eivät aina kohtaa.

Oikeat kysymykset kysymällä hallitus voi selvittää, onko yrityksellä kyberhyökkäyksiltä suojautumiseen tarvittava tieto, ja kuinka tehokas yrityksen kyberturvallisuusohjelma on. Onkin ehdottoman tärkeää, että hallitus keskustelee yrityksen johdon ja tietoturva-asioista vastaavan tahon kanssa säännöllisesti.

Voi olla, että johdon tulee kouluttautua tunnistamaan organisaatiota potentiaalisesti uhkaavat riskit. Lisäksi saatetaan joutua harkitsemaan lisätoimenpiteitä, kuten tietoturvavakuutuksen hankkimista ja kyberhyökkäyksien varalle laaditun toimintasuunnitelman luomista.

Kuusi kysymystä, jotka hallituksen on hyvä kysyä

1. Onko meillä tarpeeksi tietoa varautuaksemme kyberuhkiin?

Varmistaakseen riittävän tiedon saamisen hallituksen on syytä keskustella säännöllisesti esim. yrityksen tietohallintojohtajan tai tietoturvapäällikön kanssa tietoturvavalmiudesta ja turvallisuuden mittaamisesta sekä kokonaisvaltaisesta tietoturvan ja -suojan tilannekuvasta. Yritysten kannattaa hyödyntää lisäksi ulkopuolisia asiantuntijoita saadakseen lisätietoa kyberturvallisuuden uusimmista trendeistä ja riskeistä.

2. Kuinka tehokkaasti kyberturvastrategiamme vastaa liiketoiminnan kohtaamiin riskeihin?

Useat yritykset panostavat keskeisten liiketoimintojen turvaamiseen puolustautuakseen paremmin alati kehittyviltä uhilta – osa kasvattaa tietoturvabudjettiaan, osa taas panostaa strategisiin turvallisuushankkeisiin. Hallituksen on syytä kysyä, onko yrityksellä kokonaisvaltaista ja tehokasta tietoturvallisuuden johtamis- ja hallintamallia? Entä onko yrityksellä käytössään teknologiaa uhkien monitoroimiseen, identifioimiseen ja kyberhyökkäyksiin vastaamiseen?

3. Kuinka suojaamme kolmansien osapuolten käsittelemää arkaluontoista tietoa?

Yrityksen dataa käsittelevät ulkopuoliset toimijat saattavat altistaa yrityksen mahdollisille tietoturvariskeille. Hallituksen täytyy ymmärtää, millä perustein yritys valitsee, tutkii ja valvoo kolmansia osapuoliaan sekä miten kolmannet osapuolet suojaavat yrityksen arkaluontoisia tietoja. Sama koskee mahdollisia fuusio- tai yritysostotilanteita.

4. Onko meillä tietoturvavakuutus?

Tietoturvavakuutuksiin panostetaan myös entistä enemmän. On hyvä olla perillä siitä, mitä kyberturva- tai rikosvakuutus kattaa ja ei kata, ja kuinka vakuutusala tällä alueella kehittyy.

5. Kuinka pysymme ajan tasalla mahdollisista riskeistä?

Yhä useammat yritykset jakavat keskenään tietoa kyberuhista ja tavoista puolustautua niitä vastaan. Hallituksen kannattaa selvittää, mitä yritys tekee oppiakseen toisilta. Kukaan ei selviä yksin. Yhdessä olemme vahvempia.

6. Kuinka testaamme toimintasuunnitelmaamme kyberhyökkäysten varalle?

Tietoturvahyökkäyksellä voi olla kauaskantoisia vaikutuksia yrityksen maineeseen ja taloudelliseen asemaan. Hallituksen kannattaa kysyä johdolta, miten kyberhyökkäysten torjumiseen luotua toimintasuunnitelmaa ja kykyä voidaan testata, tehostaa ja jatkuvasti parantaa?