Olethan huomioinut kyberturvallisuuden sisäisessä valvonnassa?

Olen viimeisen puolen vuoden aikana käynyt mielenpainuvia keskusteluja yhtiöiden hyvästä hallinnointitavasta, riskienhallinnasta ja sisäisestä valvonnasta. Keskustelukumppaneina ovat olleet alan vankat ammattilaiset − hallitusammattilaiset, ylintä johtoa sekä sisäisen tarkastuksen ja riskienhallinnan johtoa.

Keskusteluissa on noussut esille keskeisiä teemoja, joilla on vaikutusta yritysten riskienhallintaan ja sisäiseen valvontaan. Näitä ovat kyberturvallisuus, EU:n tietosuoja-asetuksen (GDPR) implementointi, whistleblowing-kanavan implementointi, ulkomaan liiketoimintojen hallinta sekä palveluntarjoajan toiminnan vastuullisuus.

Käsittelen näistä ensimmäisenä kyberturvallisuutta, ja palaan muihin teemoihin tämän artikkelisarjan jatko-osissa. Haastattelen juttuihin kunkin teeman parhaita asiantuntijoita. Näkökulmanani on erityisesti riskienhallinta, hyvä hallintotapa ja raportointi, sisäinen valvonta.

Kyberturvallisuuden toimintaympäristö muuttuu jatkuvasti

Kyberturvallisuuteen liittyy monia epävarmuuksia ja kybertoimintaympäristö muuttuu jatkuvasti. Olemme viime vuosina kuulleet monista hyvin merkittävistä kyberhyökkäyksistä tai tietovuodoista, niin yksityisen sektorin puolella (mm. Yahoo, MySpace, LinkedIn, Tumblr, Dropbox) kuin myös julkisella sektorilla (mm. USA:n presidenttivaaleihin liittyvät hyökkäysepäilyt). Kotimaisiakin esimerkkejä riittää.

Kasvavan toimialojen murroksen ja digitalisaation myötä moni yritys etsii aktiivisesti uusia toiminta- ja ansaintamalleja. Prosessien sekä tuotannon ohjaaminen verkkoon on luonut valtavasti mahdollisuuksia, mutta samalla se on synnyttänyt uudenlaisia uhkia, kuten ongelmat tiedon saatavuudessa, varastamisessa tai sen muuttamisessa. Yritysten tilanteesta kyberturvallisuuden osalta voit lukea enemmän täältä.

Keskustelin teemasta kollegani Jani Arnellin kanssa. Janilla on pitkä ja monipuolinen kokemus kansallisesta ja kansainvälisestä kyberturvallisuudesta. Hän on työskennellyt mm. kansallisen tietoturvallisuusviranomaisen Viestintäviraston CERT-FI:n ja Euroopan verkko- ja tietoturvaviraston ENISAn palveluksessa, vastannut Viestintäviraston riskienhallinnasta, turvallisuudesta sekä jatkuvuus- ja valmiusasioista sekä johtanut OP Ryhmän kokonaisturvallisuutta. Nyt Jani työskentelee PwC:llä vastuullaan asiakkaille tarjottavat digitaalisen turvallisuuden ja riskienhallinnan palvelut.

Enel: Mitkä ovat keskeiset kyberturvallisuuteen liittyvät haasteet johtamisen näkökulmasta?

Jani: Yksinkertaistettuna ja yleistäen, tietoturvallisuus on koettu usein yrityksen sisäisenä, tietohallintomaisena tukitoimintana, jossa korostuu tiedon luokittelu ja turvaaminen. Kyberturvallisuus on liiketoiminnan turvaamista uhkia vilisevässä kybertoimintaympäristössä, joka ei rajoitu yrityksen sisäiseen toimintaan vaan on pääosin ulkoista ja vieläpä verkostomaista. Tässä maailmassa korostuu ennen kaikkea asiakaskokemus, palveluiden saatavuus, luottamus ja yhteiskuntavastuu.

Kyberturvallisuus on aina yrityksen toimivan johdon asia, jonka toteumasta yrityksen hallituksen on myös kannettava huolta. Kyberturvallisuutta voidaan johtaa ja ohjata monella eri tavalla, edelläkävijät nostavat kyberturvallisuuden organisaation ytimeen. Rohkea turvallisuusjohtajuus kantaa myös itse vastuun kyberturvallisuuden lopputulemasta ylimmän johdon mandaatilla sekä mandaatin luomilla toimintaedellytyksillä.

Kyberturvallisuuden seurannan ja raportoinnin tulisi perustua ennalta sovittuihin ja yrityksen tai organisaation hallituksen, ylimmän johdon, henkilöstön ja sidosryhmien raportointitarpeet täyttäviin mittareihin ja niiden toteumiin sisältäen historiatietoa sekä mahdollisesti arvion tulevaisuuden näkymistä. Raportoinnin tulee olla säännöllistä, laadukasta ja luonnollinen osa yrityksen tai organisaation raportointikäytäntöjä.

Enel: Mitä hallituksen tulisi kysyä yhtiön ylimmältä johdolta?

Jani:

1. Koska saamme säännöllisesti kokonaisvaltaista, sovittuihin mittareihin perustuvaa, kyberturvallisuuden tilannekuvaa?

2. Miten johdamme ja hallitsemme yrityksemme kyberturvallisuutta? Onko johtamis- ja hallintamallimme tehokas?

3. Olemmeko tunnistaneet kriittiset arvo- ja toimitusketjumme ja niihin liittyvät riskit?

4. Olemmeko asiakkaidemme ja sidosryhmiemme mielestä luotettava toimija?

5. Olemmeko menettäneet euroja suoraan tai välillisesti kyberhyökkäysten tai kyberturvallisuuspuutteiden vuoksi?

6. Miten olemme huolehtineet sidosryhmiemme ja yhteistyökumppaniemme kyberturvallisuuden varmistamisesta mukaan lukien yritysostot?

7. Mikä on vaatimustenmukaisuutemme tila?

8. Miten hyödynnämme kyberturvallisuustyötä liiketoimintamahdollisuuksien kasvattamisessa sekä brändimme vahvistamisessa?

9. Harjoitteleeko yritys tai organisaatio säännöllisesti kyberhyökkäystilanteessa toimimista?

Enel: Miten sisäisen tarkastuksen tulisi lähestyä kyberturvallisuutta?

Jani: Suurella vakavuudella sen tärkeyden vuoksi. Organisaatioissa, joissa sisäistä valvontaa toteutetaan eri puolustuslinjoissa, sisäinen tarkastus sijoittautuu ns. kolmanteen puolustuslinjaan operatiivisen toiminnan ja riskienhallinnan jälkeen. Tällaisessa asetelmassa olisi tärkeää löytää luonnollinen ja samaan tahtotilaan tähtäävä yhteistyö kyberturvallisuuden, riskienhallinnan ja sisäisen tarkastuksen kesken.

Sisäisen tarkastuksen tehtävä on ennen kaikkea toimia yrityksen hallitukselle riippumattomana osapuolena relevantin tiedon tuojana. On tärkeää, että tarkastus tekee tarkastustoimintaa kyberturvallisuuden viitoittamassa kontekstissa. Tämä konteksti on usein myös kompleksinen ja jatkuvasti muuttuva. Vaikuttava sisäinen tarkastus käyttääkin työssään joko yhtiön sisältä tai ulkopuolelta löytyvää alan parasta asiantuntemusta ja pyrkii ajan hengen mukaiseen ajattelutapaan.

Keskustelu Janin kanssa laittoi minut miettimään, miten kyberturvallisuus poikkeaa johtamisen ja sisäisen valvonnan näkökulmasta muista toiminnoista.

Uusien digitaalisten liiketoimintojen nopea kasvu yhdistettynä kyberturvallisuuden riskeihin on kompleksinen kokonaisuus ymmärtää ja johtaa. Nopea kehitystahti muuttaa jatkuvasti uhkia ja siten riskikarttaa sekä haastaa sisäisen valvonnan rakentumista ja tehokkuutta. Johdon raportoinnin ja sisäisen valvonnan on kehityttävä systemaattisesti rinnakkain liiketoiminnan ja kyberturvallisuuden kanssa. Liiketoiminnan muutosten ja sisäisen valvonnan rakentamisen ja varmentamisen välisen aikajänteen on lyhennyttävä merkittävästi.

Kirjoittaja Enel Sintonen toimii partnerina PwC Suomen sisäisen tarkastuksen palveluiden johtajana. Hän johtaa asiakasrajapinnassa varmennuspalvelutoimeksiantoja, ml. sisäisen tarkastuksen, tilintarkastuksen ja vastuullisuusraportoinnin varmentamisen toimeksiantoja.