Turvallisuuteen, tietosuojaan ja luottamuksen rakentamiseen panostavat organisaatiot ovat tulevaisuuden menestyjiä

5.11.2018  |  Blogi, Riskienhallinta

PwC haastatteli tuoretta Digital Trust Insights -selvitystä varten yli 3 000 eri sektorin liiketoimintajohtajaa 81 maassa ymmärtääkseen eri organisaatioiden tilannetta vahvasti muuttuvassa toimintaympäristössä.

Yritykset, regulaattorit ja kuluttajat tarvitsevat uusia mekanismeja luottamuksen vahvistamiseen kohdatessaan uusia haasteita liiketoiminnassa, riskienhallinnassa ja vaatimustenmukaisuudessa. Keskeisin havaintomme on, että organisaatiot, jotka panostavat luottamuksen rakentamiseen, ovat tulevaisuuden menestyjiä.

Datan merkitys eri organisaatioiden toiminnalle on yhä keskeisempi.

Datan hyödyntäminen luo huikeat mahdollisuudet organisaatioiden menestykselle, mutta vain silloin, kun luottamus tiedon käsittelyyn sekä organisaation toimintaan on riittävällä tasolla.

Luottamus rakentuu asiakkaista, henkilöstöstä, prosesseista ja teknologiasta, jotka ovat myös peruspilareita turvallista yhteiskuntaa rakennettaessa.

Miten vahvistaa luottamusta?

Tunnistimme selvityksen perusteella 10 isoa henkilöitä, prosesseja ja teknologiaa koskevaa mahdollisuutta luottamuksen vahvistamiseksi.

1. Ota turvallisuus- ja tietosuoja-asiantuntijat mukaan kehityshankkeisiin alusta lähtien

Selvitykseemme vastanneissa organisaatioissa on käynnissä laajamittaisia digitalisaatiohankkeita ja -projekteja, joissa hyödynnetään aktiivisesti uuden teknologian tuomia mahdollisuuksia. Hankkeiden tavoitteena on ratkaista nykyisiä ongelmia ja luoda parempaa asiakaskokemusta. Melkein kaikki selvitykseemme vastanneet organisaatiot kertovat osallistavansa turvallisuus- ja tietosuoja-asiantuntijoita kehityshankkeisiin, mutta vain vähän yli puolet koko kehityshankkeen alusta lähtien. Tämä asettaa haasteita uusien tuotteiden ja palveluiden turvallisuudelle ja tietosuojalle.

Turvallisuus- ja tietosuoja-asiantuntijat tulisi aktivoida mukaan kehityshankkeisiin niiden koko elinkaaren ajaksi. Organisaatioiden tulisi myös hakea kokemuksia vaihtamalla tietoa muiden toimijoiden kanssa vastaavista hankkeista sekä hyödyntää alan johtavaa osaamista keskittyen vaikuttavuuden varmistamiseen.

2. Uudista tietoturva- ja tietosuojaosaamista sekä johtoryhmätyöskentelyä

Ilman tarvittavaa osaamista uusien ja monimutkaisten tietoturvaan ja -suojaan liittyvien riskien hallitseminen tuntuu lähes mahdottomalta tehtävältä. Monilta organisaatioilta puuttuu edelleen turvallisuus- ja tietosuoja-agendan kannalta keskeisiä rooleja, kuten osaava tietoturva- tai riskienhallintajohtaja. Vain alle puolet selvityksessä mukana olleista organisaatioista toteaa, että kyberturvallisuus on selvästi vastuutettu johtotason henkilölle. Vain 38 % vastanneista organisaatioista kokee, että heidän nykyisessä henkilöstössään on riittävän kompetenssin omaavia turvallisuus- tai tietosuoja-asiantuntijoita.

Organisaatioiden tulisi varmistaa, että niistä löytyy kyberturvallisuusvastaava, jonka vastuulle kuuluu kyberturvallisuuden lisäksi tietosuoja ja eettinen datan käyttö sekä riittävä asiantuntijatason ymmärrys.

3. Kasvata organisaation turvallisuus- ja tietosuojatietoutta

Useat selvitykseen vastanneista organisaatioista voisivat tehdä huomattavasti enemmän turvallisuus- ja tietosuojatietouden kasvattamisessa. Vain 34 % vastanneista organisaatioista kertoo, että niillä on henkilöstön tietoisuusohjelma. Vain 31 % vastanneista sanoo koulutuksen olevan pakollinen koko henkilöstölle.

Organisaatioiden olisi nostettava henkilöstönsä tietoturvaan ja -suojaan liittyvää tietoutta tukeakseen toimintansa vaatimustenmukaisuutta sekä tavoitteiden saavuttamista. Edelleen organisaatioiden tulisi selvityksen mukaan keskittyä myös perusasioiden, kuten tietoon liittyvien käyttöoikeuksien ja -valtuuksien hallinnan kehittämiseen.

4. Kehitä kommunikaatiota ja sitouta hallitus

Selvitykseen vastanneista organisaatioista 80 % kertoo raportoineensa hallitukselle kyberturvallisuuden strategioistaan ja 83 % tietosuojastrategiastaan. Tästä huolimatta vain 27 % vastanneista kertoo raportoivansa turvallisuuden ja tietosuojan toteuman tilannekuvaa säännöllisesti toimivalle johdolle tai hallitukselle perustuen käytössä oleviin mittareihin.

Organisaatioiden tulisi luoda itselleen sopivat mittarit hallitukselle ja eri sidosryhmille raportointiin eri kohderyhmien tarpeiden mukaisesti sekä rakentaa raportointia varten tarvittavat kyvykkyydet. Organisaatioiden tulisi raportoida hallitukselle myös riskeistä liittyen mm. kolmansien osapuolien hallintaan. Kyberturvallisuudesta vastaavan henkilön tulisi myös jatkuvasti kehittää yhteistoimintaa hallituksen kanssa luottamuksen ja kommunikaation vahvistamiseksi.

5. Sido turvallisuustavoitteet liiketoimintatavoitteisiin

Organisaatioiden johto adaptoi aggressiivisesti teknologiapohjaisia liiketoimintamalleja, mutta yhä useammin turvallisuus- ja tietosuojaohjelmat eivät ole linjassa näiden tavoitteiden kanssa. Vain 23 % vastanneista organisaatioista kertoo sovittavansa kyberturvallisuusstrategiaansa yhteen liiketoimintatavoitteiden kanssa seuraavan vuoden aikana.

Organisaatioiden tulisi enenevässä määrin rakentaa turvallisuus ja tietosuoja osaksi tuote- ja palvelutarjontaansa. Edelleen organisaatioiden tulisi säännöllisesti arvioida liiketoimintaan liittyviä riskejä turvallisuus, tietosuoja ja vaatimustenmukaisuus huomioiden. Näiden lisäksi organisaatioiden tulisi kehittää kyberturvallisuuden kontrollikehyksiään niin, että ne tukisivat enemmän liiketoimintatavoitteita sekä päivittää turvallisuus ja tietosuojastrategioita niin, että ne varmasti tukevat organisaation toiminnan tavoitteita.

6. Tunnista ja turvaa kriittiset tietoaineistot

Datan määrän jatkuvasti kasvaessa organisaatiot etsivät kuumeisesti uusia tapoja sen hyödyntämiselle. Tästä huolimatta vain 40 % selvitykseen vastanneista organisaatioista kertoo, että ne olisivat tunnistaneet kriittisimmät tietovarantonsa. Vain 43 % vastanneista organisaatioista kertoo, että niillä on käytössään prosessit tämän toteuttamiseen.

Organisaatioiden tulisi ottaa käyttöön tietoaineiston hallinnan malli, joka linjaa kriittisen tietoaineiston lisäksi myös datan arvon organisaation toiminnalle. Organisaatioiden tulisi myös turvata tietoaineistonsa koko sen elinkaaren ajan.

7. Edistä kyberturvallisuuden resilienssiä

Kyberturvallisuuden resilienssi pitää sisällään sekä hyökkäyksien torjunnan että niistä toipumisen. Resilientit järjestelmät mahdollistavat liiketoiminnan jatkuvuuden kyberhyökkäystilanteissa sekä toipuvat nopeasti hyökkäyksistä. Vain puolet selvitykseen vastanneista kertoo systemaattisesti rakentavansa resilienssiin liittyviä kyvykkyyksiä kyberhyökkäyksien varalta. Vain puolet näistä organisaatioista kokee, että ne ovat testanneet riittävästi näitä kyvykkyyksiä.

Organisaatioiden tulisi kehittää ymmärrystä riskinottohalukkuudestaan liittyen kriittisiin liiketoimintaprosesseihin sekä ottaa käyttöön markkinoiden parhaita ratkaisuja resilienssin kasvattamiseksi. Nämä ratkaisut liittyvät mm. kehittyvään uhkaympäristöön ja jatkuvaan oman teknologiainfrastruktuurin monitorointiin korkean käytettävyyden, hyökkäyksistä toipumisen ja datan eheyden mahdollistamiseksi.

8. Tunne vihollisesi

Kyberuhkat vaihtelevat yrityksen koosta ja toimialasta riippuen. Viime vuonna esimerkiksi finanssisektori koki eniten huolta valtiollisten hyökkäyksien lisääntymisestä, kun esim. puhtaasti kuluttajamarkkinassa toimivat organisaatiot olivat eniten huolissaan kyberrikollisten aiheuttamista uhkista. Selvitykseen vastanneista organisaatioista kuitenkin vain 31 % kertoi tunnistaneensa ne tahot, jotka voisivat hyökätä omaa organisaatiota vastaan.

Organisaatioiden tulisi kehittää uhkatietouden hallinnan prosessejaan. Edelleen organisaatioiden tulisi rikastaa tunnistettuja riskiskenaarioitaan uhkatiedolla sekä käyttää tästä saatavaa tietoa osana kyberturvallisuuden kehittämisen investointipäätöksiä.

9. Hallitse vaatimustenmukaisuutta aktiivisesti

Moni vastanneista organisaatioista toteaa, että yksi digitalisaation keskeisimmistä haasteista liittyy regulaatiomuutosten seuraamiseen (41 %), itse vaatimustenmukaiseen toimintaan (37 %) sekä tuleviin regulaatiomuutoksiin varautumiseen (34 %).

Organisaatioiden tulisi keskittyä enemmän tulevien regulaatiovaikutusten arviointiin. Organisaatioiden olisi myös panostettava integroituun vaaatimustenmukaisuuden hallintaan siilomaisen toiminnan sijaan.

10. Pysyttele innovaatioiden kehittymisen vauhdissa

Räjähdysmäisen nopea teknologian kehitys ja datan määrän kasvu hämärtää loogisen ja fyysisen maailman rajoja samalla kun riskienhallinta on aivan uudenlaisten haasteiden edessä. Digitaalisia laitteita sisällytetään yhä enemmän kriittiseen infrastruktuuriin, kuluttajatuotteisiin, liikennevälineisiin sekä osaksi jokapäiväistä elämäämme. 81 % vastanneista toteaa IoT-laitteiden olevan tavalla tai toisella kriittisiä organisaation toiminnalle. Samaan aikaan vain 39 % vastanneista toteaa, että niillä on vaikuttava luottamusta ylläpitävä ja kehittävä kontrollimalli ja sen implementointi IoT-laitteiden osalta. Edelleen vain 30 % vastanneista kertoo kehittävänsä IoT-laitteiden turvallisuutta seuraavan vuoden aikana.

Selvitykseen vastanneista 70 % toteaa tekoälyn (AI) olevan toiminnalleen tavalla tai toisella kriittistä ainakin osittain, mutta vain 31 % vastanneista toteaa olevansa vakuuttunut kykenevänsä rakentamaan riittävät kontrollit AI-ratkaisuihin luottamuksen varmistamiseksi.

Organisaatioiden turvallisuus- ja tietosuojainvestointien tulisi painottua yhä enemmän IoT:ta, tekoalyä sekä muita kasvavia ja kehittyviä teknologioita koskeviin kehityshankkeisiin. Kun organisaatiot luovat uusia sovelluksia, tulisi organisaatioiden huolehtia myös riittävästä turvallisuudesta niiden toiminnallisuuksien lisäksi.

 

Lue lisää Digital Trust Insights -selvityksen tuloksista.

 

Me PwC:llä tuemme yrityksien menestystä digitaalisessa toimintaympäristössä kyberturvallisuuden ja tietosuojan osa-alueilla. Autamme asiakkaitamme löytämään oikein strategian sekä parhaat ratkaisut toiminnan tavoitteiden saavuttamiseksi. Tutustu palveluihimme.

Jani Arnell

Digitaalinen turvallisuus

+358 (0)20 787 8844

  

Leave a Reply

(* merkityt kentät ovat pakollisia. Sähköpostiosoitetta ei julkaista kommentin yhteydessä.)