Tietoturvapäällikön tai -johtajan työssä on epäkiitollisia hetkiä. Yksi niistä on tilanne, jossa esität IT-johdolle tai johtoryhmälle jonkin haavoittuvuushuolen. Saat vastaukseksi ymmärtäviä nyökkäilyjä, mutta budjettia tai kaistaa ei välttämättä löydy. Ratkot asian jotenkin.
CISOn arjessa on tavallista se, että kustannuksiin ja budjettiin liittyy epätietoisuutta ja ristiriitojakin. Juuri tässä kohtaa yksittäisen yrityksen CISO on usein heikoilla jäillä selittäessään, miksi valittu kustannustaso johtaa haluttuun riskitasoon, ainakin ajan myötä.
Luin konsulttiyhtiö Ernst & Youngin kyberturvallisuus-aiheisen tutkimuksen, jossa tarkasteltiin johdon näkemyseroja. Siinä otetaan kiinnostava näkökulma tietoturvainvestointeihin, ja tietoturvaan yleisesti. Löysin siitä mielenkiintoisia lukuja pohdittavaksi täällä meilläkin. Varauksena se, että tutkimuksessa haastateltiin suuria yhdysvaltalaisyrityksiä, mutta näkisin, että tietyt näkemyserot tietoturvapäällikön ja muun johdon välillä ovat tuttuja myös valtameren tällä puolella ja pienemmissä organisaatioissa.
Otetaan hyvät uutiset ensin.
EY:n mukaan 84 % johtajista sanoo organisaationsa panostavan kyberturvaan enemmän kuin kolme vuotta sitten. Lähes yhtä moni (85 %) uskoo panostusten kasvavan edelleen seuraavan vuoden aikana.
Näiden panostusten taustalla lienee se, että peräti 84 % tutkimukseen osallistuneista organisaatioista oli kohdannut vähintään yhden merkittävän kyberhyökkäyksen viimeisen kolmen vuoden aikana. Tietoisuus riskeistä on kasvanut, hyvä! Tutkimus paljastaa silti hienoisen eron tietoturvajohdon ja muun johdon ajattelussa. Tässä alla tiiviisti (voit lukea tarkemmin itse tutkimuksesta, linkki postauksen lopussa):
- 66 % tietoturvajohtajista arvioi, että organisaation kohtaamat kyberuhat ovat kehittyneempiä kuin käytössä olevat puolustuskeinot. Muusta johdosta näin ajattelee 56 %.
- 68 % tietoturvajohtajista kokee, että organisaation ylin johto aliarvioi kyberuhkien vakavuutta. Muusta johdosta vain 57 % tunnistaa saman.
EY:n raportissa lausutaan:
”For many CISOs, it’s a matter of when and how — rather than if — their organization will experience a cybersecurity incident.”
Tietoturvajohtaja näkee helpommin riskin, jota muu johto ei (vielä) hahmota. Tietoturvajohtajista 63 % kertoo, että kollegoiden saaminen kyberturvainvestointien taakse on vaikeaa.
Johto herää usein liian myöhään
Huoli kyberturvallisuudesta kasvaa monesti vasta hyökkäyksen jälkeen. Mitä enemmän omalle kohdalle on hyökkäyksiä osunut, sitä vakavammin niihin suhtaudutaan.
Kyllähän se turhautumista aiheuttaa, jos tietoturvapäällikkö on varoitellut matkan varrella asiasta, mutta viesti menee perille vasta kun vahinko on tapahtunut. Ja sitten budjettia löytyy.
Tämän taustalla on klassinen tilanne. EY:n mukaan 84 % johdosta pitää kyberturvaa kulueränä, ja 68 %:ssa organisaatioista kyberturvabudjetti on osa IT-budjettia. Tämä asettaa tietoturvan kilpailemaan operatiivisten IT-hankkeiden kanssa sen sijaan, että se rinnastuisi strategisiin investointien rinnalle. EY:n kyberturvallisuusjohtaja Jim Guinn II kuvaa raportissa tätä haastetta sanoin:
”Companies need to move beyond a ’check the box’ mentality and recognize cybersecurity as a strategic investment, not simply a cost center.”
Näen, että Suomessa ja Ruotsissa – ainakin Inton asiakkaissa – tässä on käynnissä muutos.
Tekoälyinvestointeja vai koulutusta?
Toinen mielenkiintoinen näkemysero koskee sitä, mitkä varautumiskonstit ovat toimivia. EY:n kyselyssä verrattiin kahta keskeistä keinoa, tekoälyinvestointeja ja henkilöstön koulutusta. Tietoturvajohtajista 75 % uskoo tekoälyinvestointien – kuten automaattisen uhkien tunnistamisen ja niihin reagoinnin – vähentäneen kybertapauksia. Muusta johdosta taas 77 % antaa kunnian henkilöstön koulutukselle.
Tottakai kumpikin on tärkeä. Mutta kieltämättä jos johto ja tietoturvajohtaja näkevät tehokkaat torjuntakeinot aivan eri tavalla, investointipäätöksissäkin on väistämättä kitkaa.
Uhkien lähteet nähdään eri tavalla
Tutkimus nostaa esille näkemyseron myös uhkien lähteistä. Tietoturvajohtajista 57 % kertoo organisaationsa kohdanneen kyberhyökkäyksen, joka aiheutui ulkopuolisista rikollisista – muusta johdosta näin raportoi 47 %. Ero on vielä suurempi sisäisten uhkien kohdalla eli tietoturvajohtajista 47 % tunnisti sisäisen uhan, kuten työntekijän tahallisen tietovuodon, muusta johdosta vain 31 %.
On selvää, että jos johto ei tunnista sisäisten uhkien laajuutta, niihin ei myöskään varauduta riittävästi.
Hyökkäyksen jälkipyykki
Entä jos CISOa ei kuunnella ja hyökkäys toteutuu? EY:n analyysi pörssiyhtiöistä osoittaa, että taloudelliset seuraukset eivät rajoitu vain välittömiin kustannuksiin. Hyökkäyksen kohteeksi joutuneiden yritysten osakekurssi laski vielä 90 päivää tapauksen julkitulon jälkeen.
Kustannuksiin tulee siis laskea sekä välittömät toipumiskulut (recovery) sekä yhtiön markkina-arvon muutokset. Ja vielä mahdolliset muut mainekolhut.
EY esittää neljä keinoa
- Nostakaa tietoturvapäällikkö mukaan strategiseen päätöksentekoon. CISO tarvitsee mandaatin ja kanavan, jossa hän voi vaikuttaa päätöksiin. Pelkkä ongelmien raportointi ei ole kovin tuloksekasta.
- Kytkekää kyberturva liiketoimintatavoitteisiin. Investointeja on helpompi perustella, kun ne liittyvät suoraan yrityksen riskienhallintaan, maineeseen ja kasvuun.
- Pysykää teknologiakehityksen mukana. Tekoäly muuttaa sekä uhkia että puolustuskeinoja. Tähän on syytä varautua.
- Rakentakaa tietoturvakulttuuria. Kyberturva koskee koko organisaatiota, ja jokaisen on ymmärrettävä oma roolinsa.
Kuulostaa tutulta! ISO 27001 -pohjainen johtamis- ja hallintajärjestelmä vastaa käytännössä juuri näihin. Se kytkee tietoturvan liiketoimintatavoitteisiin ja rakentaa kulttuuria koko organisaatioon.
Samoista teemoista olemme kirjoittaneet Inton blogissa. Laitan alle pari linkkiä.
EY:n tutkimus vahvistaa sen, mitä monet CISOt ovat Suomessakin nostaneet esille. Tietoturvapäällikkö näkee uhkakuvat muita selkeämmin, mutta haasteena on tämän tilannekuvan välittäminen liiketoiminnalle ymmärrettävällä kielellä.
Suomessa on puhuttu IT-alan osaajapulasta, ja tietoturvan suhteen näenkin, että kaivataan lisää ihmisiä, jotka ymmärtävät tietoturvan kokonaiskuvan. CISO-roolissa toimivilla on hyvä mahdollisuus olla tässä avainpelaaja.
Jos organisaatiossasi on jo tietoturvapäällikkö tai -johtaja, kannattaa kuunnella häntä. Jos roolia ei ole vielä täytetty – eli IT hoitaa tämänkin – kannattaa pohtia asiaa.
Intossa edistämme osaltamme tietoturvallisuutta mahdollisimman monessa organisaatiossa – ja siinä samalla kansallista turvallisuutta.
Soita tai viesti, keskustelen mielelläni aiheesta.
Ville
–
Ernst & Youngin tutkimus “2025 EY Cybersecurity Study: Bridging the C-suite disconnect” (PDF) → 2025 EY Cybersecurity Study: Bridging the C-suite disconnect
Linkit Inton blogeihin näistä aiheista →
Tekoälyn tietoturvariskit 2025
NIS2-direktiivi – mitkä ovat johdon velvoitteet ja sanktiot?