Toimintaympäristöön suhteutettu riskiarviointi ja uhkapinta-alan kartoitus ovat lähtökohtia, jolla yritykselle saadaan juuri tarpeeseen sovitettu järkevin turvaratkaisu. Kaikkea ei voi, tai ole edes järkevää suojata.
– Tehokkaan kyberturvallisuuden rakentaminen tarkoittaa käytännössä sitä, että ensin yrityksen pitää pystyä tunnistamaan liiketoimintaansa kohdistuvat oleelliset riskit. Kun riskit on tunnistettu, pitää selkeyttää ja priorisoida, mitkä tekijät ovat oikeasti merkittäviä. Kun tästä on saatu ymmärrys, voidaan rakentaa ymmärrettävät, mitattavat ja selkeät riskikuvaukset, joihin voidaan lähteä rakentamaan ratkaisuja, Viria Security Oy:n kyberturvapalveluiden johtaja Benjamin Särkkä toteaa.
Viria on digipalveluiden ja turvateknologian ratkaisutoimittaja, joka tekee digitalisaatiota turvallisesti ihmisten ja yritysten hyödynnettäväksi.
Testaus sidottava konkretiaan
– Riskien kartoitus ja testaus tulisi sitoa konkreettisesti käytössä olevaan järjestelmään tai toimintoon. Esimerkkinä voisi mainita tietomurron HR-järjestelmään tai asiakasjärjestelmään. Silloin voidaan lähteä selvittämään, mitkä järjestelmät kuuluvat tähän kokonaisuuteen, mikä näiden järjestelmien tila on ja minkälainen kontrolli näissä järjestelmissä on, Särkkä sanoo.
Tältä pohjalta voidaan rakentaa malleja, jotka kuvaavat riskitodennäköisyyksiä ja niihin liittyviä potentiaalisia taloudellisia vaikutuksia. Tämä mahdollistaa oikean suuruiset panostukset riskin torjuntaan. Näin uhkan torjuntaan ei panosteta enemmän rahaa, kuin uhkan todellinen haittavaikutus on.
Mallien toimivuuttakin valvottava
Särkän mukaan riskimallin pitää mitata myös omaa toimivuuttaan. Näin päästään jatkuvan parantamisen toimintamalliin, jossa riskimalli parantaa jatkuvasti itseään ja varmuuttaan.
– Muuten voi käydä niin, että strategisessa päätöksenteossa ja investoinneissa käytetyt mallit voivat antaa täysin virheellistä tietoa päätösten pohjaksi. Pahimmillaan syntyy käsitys, että mallit toimivat, vaikka ne eivät oikeasti toimisikaan, Särkkä muistuttaa.
Teksti: Jari Peltoranta