Kyberturvallisuuteen liittyvien kysymysten myötä hallituksen rooli organisaation riskienhallinnan valvomisessa tulee jatkuvasti haasteellisemmaksi. Hallitusten jäsenten on pysyttävä ajan tasalla kyberturvallisuuteen liittyvien vaatimusten ja riskien suhteen sekä tiedettävä, miten riskeihin tulee reagoida.
Digitalisaatiokehityksen myötä perustoiminnot nojaavat yhä enenevässä määrin tietoliikenteen, viestintäyhteyksien ja tietojärjestelmien häiriöttömään toimintaan. Lähes kaikki liiketoiminnot ovat riippuvaisia ICT-järjestelmistä ja niiden toimintojen luottamuksellisuudesta, eheydestä ja saatavuudesta.
Kyberturvallisuus on tietoturvallisuutta laajempi kokonaisuus
Kun puhutaan kyberturvallisuudesta, puhutaan yhteiskunnan- ja liiketoiminnan kannalta elintärkeiden toimintojen turvaamisesta joko sisäisiltä tai ulkoisilta häiriötekijöiltä. Kyberturvallisuus on laajempi kokonaisuus kuin tietoturvallisuus, sillä kyberturvallisuus pyrkii huomioimaan myös arvoketjut.
Kyberturvallisuudessa kyse ei ole siitä jos jotakin tapahtuu, vaan siitä, että kun jotakin tapahtuu, miten nopeasti asia huomataan ja siihen reagoidaan, sekä miten siitä toivutaan. Riskienhallinnalla ja kontrolleilla pyritään minimoimaan hyökkäysmahdollisuuksia ja maksimoimaan yrityksen turvallisuutta, järjestelmien saatavuutta ja turvaamaan tuottavuutta.
BDO:n kyberturvallisuuden asiantuntijat Yhdysvalloissa ovat laatineet listan kysymyksiä, jotka auttavat hallitusten jäseniä organisaationsa kyberturvallisuuden riskien arvioinnissa. Näitä kysymyksiä voidaan käyttää sekä kyberturvallisuuden alkuarvioinnissa että silloin, kun halutaan luoda keskustelua kyberriskeistä operatiivisen johdon ja hallituksen välille.
Kysymyksiä kybertuvallisuuden arvioinnin tueksi
Yleisiä kysymyksiä
- Mitkä ovat organisaatioon kohdistuvat potentiaaliset kyberuhat?
- Kokevatko hallituksen jäsenet tällä hetkellä olevansa ajan tasalla organisaation kyberturvallisuusasioista?
- Onko hallituksen jäsenillä kyberturvallisuuden arviointiin tarvittavaa osaamista?
- Mihin kyberturvallisuuden osa-alueeseen hallituksen tulisi keskittyä?
- Mitä toimintamallia kannattaa soveltaa ylimmän johdon ja hallituksen välillä kyberturvallisuusasioihin liittyen?
- Onko hallituksen vastuu kyberturvallisuuden sääntelystä lisääntynyt viime aikoina? Jos on, mistä lisääntynyt tarve johtuu?
Yleinen kyberturvallisuuden strategia
- Tarvitseeko hallituksen osallistua aktiivisemmin organisaation kyberturvallisuusstrategian määrittelyyn?
- Mistä elementeistä kyberturvallisuusstrategia koostuu?
- Käyttääkö operatiivinen johto ja hallitus (tai valittu johtokunta) kyberturvallisuusasioihin riittävästi aikaa ja resursseja?
- Miten johto ja hallitus (tai valittu johtokunta) voivat liittää tämän prosessin osaksi koko organisaation hallintoa?
- Miten johto ja hallitus (tai valittu johtokunta) voivat tukea kyberturvallisuuden arviointiprosessien kehittämistä?
Riskiarvio ja riskien profilointi
- Onko todennäköistä, että organisaatio joutuu suoraan kyberhyökkäysten kohteeksi?
- Mitä kyberturvallisuuden arvioinnin tulokset merkitsevät organisaation riskiprofiilille?
- Mitkä ovat organisaation todennäköisimmät riskit?
- Päivittääkö johto organisaation todennäköisten riskien profiilia toiminnan, palvelujen ja tuotteiden muutosten mukaan?
Miten löytää tietojen turvaamisen oikean tason?
Jotta voimme varmistua organisaatiomme turvallisuuden tasosta, on suositeltavaa tehdä kattava analyysi toimintaympäristöstä ja liiketoiminnan tarpeista, jos niitä ei vielä ole tehty. Tämän avulla saamme paremman ymmärryksen siitä, mitä olemme suojaamassa ja miksi.
Pohjimmiltaan kustannustehokas kyberturvallisuuden hallinta edellyttää tarkkaa harkintaa siitä, miten identifioidaan, suojataan ja palautetaan kriittiset assetit, miten arvioidaan organisaatioon kohdistuvat uhat sekä miten havaitaan ja vastataan tietoturvapoikkeamiin. Riskien arviointi ja hallinta, poikkeamien hallinta ja hyvä hallintotapa ovat keskeisiä asioita organisaation tietojen turvaamisessa. Kaikki alkaa oikeiden kysymysten esittämisestä.