Organisaatiot, joiden ylin johto priorisoi kyberturvallisuutta, eivät pelkästään minimoi riskejä vaan myös edistävät ja mahdollistavat yrityksen liiketoiminnallisia tavoitteita.

Tutkimusten mukaan vähiten toteutettujen toimenpiteiden on arvioitu olleen vaikuttavimpia toimenpiteitä edistämään tietoturvallisuutta yrityksessä. Vastavuoroisesti eniten toteutetuilla menetelmillä arvioidaan olevan vähemmän vaikuttavuutta yrityksen tietototurvallisuuden edistämisessä.

Mitä nämä vähiten toteutetut mutta eniten vaikuttavat toimenpiteet ja vice versa ovat? – Se käy ilmi seuraavasta:

Yritykset ovat riippuvaisia digitaalisista ympäristöistä niin tuotannon, myynnin, markkinoinnin kuin esimerkiksi logistiikan hallinnankin kannalta. Yrityksen liiketoiminta voidaan syrjäyttää digitaalisesti uusien disruptiivisten toimijoiden toteuttamana, mutta digitaalisissa ympäristöissä piilee muitakin riskejä. Kyberturvallisuuteen tulee kiinnittää jatkuvasti enemmän huomiota, sillä myös hyökkääjät ja uhkien takana olevat toimijat kehittävät menetelmiään jatkuvasti. Vielä 20 vuotta sitten voitiin todeta yrityksen tietoturvallisuuden olevan kunnossa ja riittävällä tasolla, kun virustorjunta oli asennettu ja epäilyttävien sähköpostiviestien käsittelyyn oli annettu ohjeet. Tänä päivänä kun tietojärjestelmien ja -ympäristöjen uhkat voivat vaikuttaa myös fyysisen maailman puolelle, täytyy niihin myös varautua eri tavalla.

Kyberturvallisuus suojaa juuri niitä kohteita, joissa tietojärjestelmät ovat vastuussa reaalimaailman fyysisistä laitteistoista, järjestelmistä ja kokonaisuuksista. Esimerkkejä löytyy jokaiselta toimialalta lukuisia, kuten esimerkiksi tehtaiden prosessiohjatut tuotantolinjat, verkkokaupan tilauksia käsittelevät robotit, mobiilisovelluksella ohjatut talotekniikan järjestelmät tai vaikkapa maatalousyrittäjän lypsyrobotit, joita hallitaan kätevästi internetin yli mistä tahansa ja milloin tahansa.

Yritysstrategiassa (engl. corporate strategy) on perinteisesti käsitelty yrityksen koko olemassaolon kannalta keskeisiä asioita, kuten visiota, missiota sekä näiden tavoittelemiseen ja toteuttamiseen tähtäävää strategiaa. Jopa yksi keskeisimmistä elementeistä yrityksen menestykselle eli liiketoimintastrategia on alisteinen yritysstrategialle, jota myös kokonaisstrategiaksi kutsutaan. Voidaan sanoa, että kokonaisstrategiaan sisällytetyt elementit ovat yrityksen ylimmän johdon allekirjoittamia, tukemia ja koko yrityksen henkilöstön tulisi tuntea yrityksen vision ja mission lisäksi se, miten niitä toteutetaan.

Kyberturvallisuuden asema yritysstrategiassa tulisi edellä mainittujen havaintojen perusteella olla kiistaton yrityksen jatkuvuuden, menestyksen ja olemassaolon kannalta. Näin ei kuitenkaan aina ole, ja siihen on monia syitä. Kyberturvallisuuden onnistunut ja tuloksekas integraatio yritysstrategiaan vaatii että yrityksen ylin johto kantaa siitä vastuun, ja on sitoutunut sen implementointiin koko yrityksen laajuudessa. Erityisesti sitoutuneisuus ja esimerkillä johtaminen ovat tärkeitä elementtejä, jotta kyberturvallisuuden käytännöt jalkautuvat ja tulevat osaksi jokaisen työntekijän jokapäiväistä toimintaa.

Kyber- ja tietoturvallisuutta on perinteisesti johdettu muodollisilla menetelmillä, kuten kyber- ja tietoturvallisuuspolitiikoilla (engl. information security policy), sekä -käytännöillä ja -valvonnalla. Tutkimukset ovat kuitenkin osoittaneet ristiriidan: Vaikka muodolliset menetelmät ovat eniten käytettyjä ja toteutettuja, niillä on lopulta pienempi vaikutus kyber- ja tietoturvallisuuden tasoon yritysorganisaatioissa, kun ns. tietoisuutta lisäävillä menetelmillä. Ja vastavuoroisesti: Tietoisuutta lisäävillä menetelmillä on suurempi vaikutus yritysorganisaation kyber- ja tietoturvallisuuden tasoon kuin muodollisilla menetelmillä, vaikka niitä toteutetaan vähiten.

Tietoisuutta lisäävät menetelmät ovat emergenttisiä, koko henkilöstön sosiaalisen pääoman ja tiedon kasautumisen kautta nousevia uusia ideoita ja ajatuksia. Käytännön esimerkkeinä tietoisuutta lisäävistä menetelmistä mainittakoon erilaiset kyber- ja tietoturvallisuuteen liittyvät työpajat, esitykset ja koulutukset sekä henkilöstön omasta vastuunkannosta ja sitoutumisesta syntyvä tuki turvallisuusasioiden hallinnointiin ja implementointiin. Modernin strategiakehityksen näkökulmasta on tehty samantyyppisiä havaintoja, mutta siten että myös tietoisuutta lisäävät menetelmät on huomioitu tasavertaisina lopullisessa strategiakehityksessä. Tämä näkökulma tulisi ottaa huomioon myös kyber- ja tietoturvallisuuden yritysstrategisessa suunnittelussa.

Emergenttiset elementit tuovat strategiasuunnitteluun erilaisen näkökulman, joka voi aiheuttaa päänvaivaa aiemmin enemmän perinteisen strategiakehityksen painotuksella toimineille yritysjohtajille. Tästä voi seurata myös kollektiivista epätietoisuutta ja uusia haasteita strategiatyöhön. Strategiatyö on jatkuvasti tutkimuksen ja kehityksen alla, mutta tutkimusten mukaan yritysjohtajat ovat olleet kaikesta huolimatta varsin konservatiivisia etenkin yritysstrategisella tasolla tuomaan mitään kovin innovatiivisia elementtejä lopullisiin strategioihin. Syynä tähän voi olla esimerkiksi vanhentunut näkemys siitä, että kyber- ja tietoturvallisuus voitaisiin vain siirtää yrityksen tietohallinnon tehtäväksi ja poistaa täysin ylimmän johdon agendalta.

Yritysstrategian ja kyberturvallisuuden kokonaisuudet ovat yritykselle jo erillisinä käsitteinä varsin keskeisiä ja kriittisiä elementtejä, mutta vasta yhdistettynä niiden synergiaedut pääsevät oikeuksiinsa. Integroimalla kyberturvallisuuden yritysstrategiaan voi yritys saavuttaa parantuneen suojautumis- ja reagointikyvyn lisäksi myös konkreettisia rahassa mitattavia hyötyjä, kuten nostaa yrityksen markkina-arvoa ja välillisesti jopa henkilöstö- ja asiakastyytyväisyyttä.

Ylläoleva teksti on kirjoitettu kandidaatintutkielman kypsyysnäytteeseen koetilanteessa, ulkomuistista ja se on tuossa täysin sellaisena kuin se oli silloinkin. #aitous

Lue aiheesta lisää kandidaatintutkielmastani, josta löydät myös lähteet tutkimuksiin: http://urn.fi/URN:NBN:fi:jyu-201906042941