Tietoturva on ollut osa tietoteknistä kehitystä jo pitkään. Tämä on toki loogista, niin pitkään kuin on ollut tietojärjestelmiä on ollut myös niitä jotka ovat halunneet käyttää niitä väärin. IT-maailmassa vastuunjako olikin hyvin pitkään selkeä: Jos siihen tuli virtaa ja siinä pyöri laskentataulukko niin talon oma IT-osasto tai palvelutoimittaja otti homman hoitaakseen, mukaan lukien myös tietoturva. Virustorjunta tietokoneeseen, salasanat kuntoon ja palomuuri verkon reunalle niin homma oli kunnossa. IT-osasto hoitaa!

Vuosien saatossa tietotekniikka on muuttunut välttämättömästä pahasta arvokkaaksi osaksi organisaatioita ja ja jatkuvasti monimutkaistuvat tietojärjestelmät ovatkin nykypäivänä kriittinen osa liiketoimintaa. Myös pilvien esiinmarssi työelämässä on mullistanut työmaailman: Moderni, pilvipohjainen ympäristö mahdollistaa työn tekemisen ennen näkemättömällä tavalla jossa voimme valita mistä, milloin ja miten teemme töitä. Perinteinen kahdeksasta neljään toimistolla tapahtuva työ toteutuu nyt joustavasti katsomatta aikaa, paikkaa tai laitetta.

Vaikka modernin työn edut tuovat työntekoon tuottavuutta ja tehokkuutta, tämä tuo myös haasteita IT-ylläpidolle. Kun ennen työt tehtiin yrityksen sisäverkossa käyttäen yrityksen hallinnassa olevia laitteita, nyt työ tehdään käyttäen useita eri laitteita, sovelluksia ja verkkoja jotka ovat perinteisen IT-hallinnan ulottumattomissa. Myös organisaation data on hajautunut organisaation sisäverkossa, pilvessä ja sovellusten välissä olevan datan pirstaleiseksi palapeliksi jonka kokonaiskuvaa on haastavaa nähdä saati hallita.

Ongelmia aiheuttavat myös erilaiset kyberuhkat joiden uhka on noussut voimakkaasti viime vuosina ja vuosi 2021 olikin kyberrikollisuuden ennätysvuosi. Perinteisten virusten kaltaisten haitakkeiden lisäksi IT-osastolla on vastassaan jatkuvasti kehittyviä haittaohjelmia, edistyksellisiä kyberrikollisuusryhmittymiä ja valtiollisia toimijoita joilla on lähes rajattomat resurssit.

Ja yhtäkkiä, IT-osasto ei enää hoidakaan.

Kohti modernia kyberturvallisuutta

Moderni, proaktiivinen kyberturvallisuus ei ole enää vain virustorjunta tietokoneessa tai salasana joka vaihdetaan puolen vuoden välein. Kyberturvallisuus ei ole myöskään kasa teknisiä rajoituksia ja asetuksia joiden tarpeellisuudesta käydään jatkuvaa väittelyä loppukäyttäjien ja IT ylläpitäjien välillä. Toimiva kyberturvastrategia on huolella suunniteltu kokonaisuus joka koskettaa ja velvoittaa jokaista työntekijää.

Tehokas strategia koostuu ainakin seuraavista osista:

1. Tietoturvalinjauksista joka on organisaation johdon tukema ja koko organisaation noudattama
2. Teknisestä tietoturvasta joka rakennetaan strategian linjausten mukaisesti
3. Käytännöistä ja menettelytavoista joita organisaation henkilöstö noudattaa jokapäiväisessä työskentelyssään

Kaiken keskiössä on yhdessä luodut ja tunnistetetut linjaukset joita tarkastellaan säännöllisin väliajoin. Tietoturvalinjauksien tarkoituksena on tunnistaa organisaation painopisteet ja suojattavat resurssit sekä määrittää metodit kuinka vaadittava tietoturva saavutetaan. Linjausten luominen on prosessi joka hiotaan kuntoon sekä kuunnellen sekä teknisiä että liiketoiminnallisia näkökulmia. Linjaukset ovat tietoturvallisen toiminnan kulmakivi. On tärkeää huomata että kuten tietoturva yleisesti, myös tätä dokumenttia täytyy päivittää vastaamaan uusia vaatimuksia liiketoiminnan turvaamisessa.

Strategisten linjausten pohjalta voidaan ottaa käyttöön tekniset toimet tietoturvan parantamiseksi. Näitä voivat olla esimerkiksi:

• Salasanakäytännöt (salasanan vahvuus, vaihtovälit, monivaiheisen tunnistautumisen käyttö)
• Pääsynhallintakäytänteet (mobiililaitteet, yrityksen ulkopuoliset laitteet, sovellusten käyttötavat)
• Salaus ja suojauskäytännöt (päätelaitteiden salaaminen, yhteyksien salaus, tiedon luokittelu ja suojaaminen)

Pysy ajan tasalla

Rakennettaessa kyberturvallisuussuunnitelmaa on kriittistä tunnistaa että tietoturva ja kyberuhkat muuttuvat jatkuvasti. Tietoturvanäkymä tänään on varmasti erilainen kuin mitä se on vuoden päästä. Kuten monia muitakin liiketoiminnan osa-alueita, myös kyberturvallisuussuunnitelmaa täytyy säännöllisin väliajoin arvioida kriittisesti ja tehdä tarvittavat parannukset. Se mikä toimi eilen ei välttämättä päde enää huomenna.

Oikein rakennettuna ja käytettynä tietoturvastrategia ei ole vain kasa sääntöjä ja ohjelmia vaan organisaatiossa on tietoturvakulttuuri jonka jäsenet ottavat tietoturvan huomioon päivittäisessä työskentelyssä. Nykypäivän digitalisoituneessa maailmassa onnistunut kyberhyökkäys saattaa asettaa organisaation toimintakyvyn, maineen ja organisaatiodatan vaaraan. Yrityksen kyberturvallisuuteen onkin syytä panostaa. Se saattaa osoittautua arvokkaammaksi kuin uskotkaan.