Rasti ruutuun ja homma hanskassa – vai sitten ei?

IBM julkaisi vuosittaisen Tietoturvajohtaja-tutkimuksen, johon osallistui nelisenkymmentä suurten organisaatioiden tietotekniikka- ja tietoturvajohtajaa neljältä eri toimialalta: terveydenhuolto, pankki- ja vakuutusala, vähittäiskauppa ja valtionhallinto. Haastatelluista 31 oli yhdysvaltalaisia, muut kansainvälisiä toimijoita. Paljastamatta kaikkia tutkimustuloksia, tässä muutama hajahuomio.

Tietoturvasta on tullut yritysten ja yhteisöjen riski numero yksi. Ja ihmekkös tuo. Sähköisten toimitusketjujen ja kaupankäynnin yleistyttyä tietoturvasta on tullut merkittävin liiketoiminnan jatkuvuuden riskitekijä. Ja mikä tärkeintä, liiketoiminnan jatkuvuudella on suora yhteys yrityksen luotettavuuteen ja maineeseen, joista löytyy tälläkin hetkellä surullisia esimerkkejä mediassa. Näin ollen voikin sanoa, että tietoturvasta on tulossa kovaa vauhtia olemassaolon keskeisiä peruspilareita.

Tutkimus osoittaa, että ainakin haastateltujen edustamien yritysten johtoryhmissä ollaan ajan hermolla. 81 prosenttia haastateltavista kertoi, että heidän ylin johtonsa suhtautuu tukien tietoturvahankkeisiin ja peräti 85 prosentilla yrityksistä tuki ja ymmärrys on kasvanut. Vain muutama vuosi sitten tietoturvajohtamisen tilanne oli se, että alan parhaita teknologioita otettiin käyttöön tekemättä kokonaisvaltaisia riskianalyysejä. Samalla kokonaiskuva tuppasi hämärtymään ja tietoturvaihmiset eivät pystyneet perustelemaan budjettiesityksiä. Tietoturvahan oli jo niin sanotusti ”kunnossa” eli rasti ruutuun ja menoksi. Sittemmin tilanne on muuttunut dramaattisesti ja haastattelujen perusteella tietoturva on noussut johtoryhmien ja kulmahuoneiden agendalle.

Tämän päivän tietoturva-ammattilaisten kolme keskeisintä haastetta ovat:

1. Vaatimustenmukaisuus vastaan strategia. Vähättelemättä lainkaan kasvavaa tietoturva- ja yksityisyydensuojavaatimusviidakkoa on syytä muistaa, että vaatimukset määrittelevät vain minimitason. Lisäksi lainsäädäntö tuppaa laahaamaan aina hieman jäljessä. Hyvin määritelty strategia puolestaan on ennakoiva, joustava ja analytiikkaan pohjautuva.
2. Tietoturva, jos mikä, vaatii viestintää ja kansantajuistamista. Jos johtoryhmä tai yksittäinen työntekijä ei ymmärrä hänelle annettavien tietoturvatyökalujen ja toimenpiteidn syitä ja tavoitteita, projekti on jo alkujaan tuhoon tuomittu.
3. Vain toteutettu strategia toimii. Tietoturvarikollisuus pyrkii aina etsimään heikointa lenkkiä ja aukkoja puolustuksessa. Puolustus on toki hyvä ja välttämätön, mutta aktiivinen havainnointi ja proaktiivinen hyökkäyksenesto vielä parempi ratkaisu. Suureksi haasteeksi muodostuukin uusien työkalujen nopea käytäntöönpano koko organisaation laajuisesti sekä tuki ja opastus niitä tarvitseville.

On tässä kaikessa kuitenkin hyvätkin puolensa – nimittäin meille alalla työskenteleville ja siitä kiinnostuneille. Globaalin ennusteen mukaan vuoteen 2020 mennessä alalle odotetaan syntyvän jopa satoja tuhansia työpaikkoja.

Kirjoittaja:

Tero Rauhala

Markkinointijohtaja, tietoturvaratkaisut, IBM