Mitä talousjohtajan tulee vähintään tietää kyberturvallisuudesta?
BDO on tämän vuoden aikana haastatellut satoja globaalien yritysten talousjohtajia kyberturvallisuuteen liittyen. Haastattelujen tulokset osoittavat selkeästi, että tietotaidon ja käytännön tekemisen välinen kuilu on monelle talousjohtajalle varsin turhauttava. Kuilun olemassaolo on ymmärrettävä, sillä suurin osa yritysten ylimmän johdon tai hallituksen jäsenistä ei ole koskaan saanut asianmukaista kyberturvallisuuskoulutusta.
Kyse ei ole siitä, että talousjohtajien tulisi ryhtyä sertifioiduiksi tietoturva-ammattilaisiksi. Heidän tulisi kuitenkin hallita kyberturvallisuuden perusteet hahmottaakseen paremmin tietoturvariskien strategiset vaikutukset sekä sen, mihin olisi tärkeintä käyttää aikaa ja suunnata resursseja.
Olemme laatineet talousjohtajille kymmenen kohdan muistilistan, jonka avulla he voivat parantaa yrityksensä sietokykyä kyberuhkia vastaan.
Talousjohtajan kyberturvallisuuden TOP 10
1. Tunnista organisaation arvokkaimmat sähköiset tietovarannot. Verkkohyökkäykset ja tietoturvaloukkaukset voivat tulla kalliiksi − kyberhyökkäyksen keskimääräinen kustannus on nykyään 7,5 miljoonaa dollaria Yhdysvaltain arvopaperimarkkinoiden valvontaviranomaisen (SEC) laskelmien mukaan.
2. Arvioi, tarvitseeko organisaatiosi kybervakuutusta. Jos tarvitsee, kuinka laaja sen tulisi olla talouden suojaamiseksi?
3. Tutki, kuinka suuri riski organisaatiollasi on joutua kyberhyökkäyksen kohteeksi. Useiden kyberturvallisuutta koskevien kyselyjen mukaan yli 60 prosenttia kaikista tietomurroista saa alkunsa organisaation nykyisen tai entisen työntekijän, tai ulkopuolisen alihankkijan luvattomasta pääsystä tietoihin.
4. Selvitä, onko organisaatiosi varautunut organisaation sisältä tulevan kyberhyökkäyksen varalta.
5. Tietoturvasertifikaattien, kuten ISO 27001, NIST 800-171, HIPAA, NYDFS ja AICPA- SOC vaatiman tietoturvatason saavuttaminen on hyvä asia, mutta se ei riitä todellisen kyberturvallisuuden varmistamiseksi. Ota selvää, mitä organisaation tulisi tehdä varmistaakseen todellisen kyberturvallisuuden.
6. Suorita riippumaton sähköposti- ja verkkouhkien arviointi. Mikäli tällainen on äskettäin tehty, mitkä olivat arvioinnin tulokset?
7. Hanki puolueeton arvio organisaation kybervakuutustason sopivuudesta. Kybervakuutusten hinnat ovat vahvassa nousussa, ja ne eivät aina kata kaikkia kyberhyökkäysten aiheuttamia vahinkoja.
8. Huolehdi, että hallittu valvonta-, havainnointi- ja reagointipalvelu sekä ulkoistettu tietoturvapalvelu nähdään yhtenä kokonaisuutena. Arvioi, ovatko sisäiset resurssit riittäviä, vai onko palvelut syytä ulkoistaa? Paljonko tämä kaikki maksaa?
9. Selvitä, onko organisaatiolla tietoturvapoikkeamien varalta kattavat reagointi- ja toipumissuunnitelmat sekä jatkuvuussuunnitelmat.
10. Miltä seuraava skenaario näyttäisi organisaatiossasi: Mikäli joutuisitte kiristyshaittaohjelman kohteeksi, maksaisitteko lunnaat? Jos maksaisitte, paljonko tämän varalle tulisi budjetoida? Korvaako kybervakuutus tämän?
Kyberturvallisuusstrategian arvoa harvoin ymmärretään ennen haavoittuvuuden löytymistä. BDO haluaa olla apuna varmistamassa, että organisaatiosi ei koskaan joudu tähän tilanteeseen. Asiantuntijoillamme on erityisasiantuntemusta kyberturvallisuuden haasteisiin. Lisätietoja saat sekä Suomen BDO:n asiantuntijoilta että kansainväliseltä kyberturvallisuustiimiltämme.