08.05.2021

Kyberturvallisuus vaatii oleellisten riskien ymmärtämistä ja priorisointia

Kyberturvallisuuden rakentaminen jää yrityksissä usein liian abstraktille tasolle. Liiketoimintaan liittyvät kyberriskit on määritelty hyvin laajoiksi, minkä vuoksi syntyy yleinen uhkakuva, jota ei ole sidottu mihinkään. Turvajärjestelmää luotaessa pitäisikin päästä mahdollisimman lähelle konkretiaa ja hallittavia kokonaisuuksia. Näin suojaus voidaan mitoittaa uhan merkittävyyden mukaan.

”Täytyy ymmärtää, mitä halutaan suojata. Täytyy myös tunnistaa, mikä on oikeasti oleellista suojaamisen kannalta”, Viria Securityn kyberturvapalveluiden johtaja Benjamin Särkkä toteaa.

Toimintaympäristöön suhteutettu riskiarviointi ja uhkapinta-alan kartoitus ovat lähtökohtia, jolla yritykselle saadaan juuri tarpeeseen sovitettu järkevin turvaratkaisu. Kaikkea ei voi, tai ole edes järkevää suojata.

– Tehokkaan kyberturvallisuuden rakentaminen tarkoittaa käytännössä sitä, että ensin yrityksen pitää pystyä tunnistamaan liiketoimintaansa kohdistuvat oleelliset riskit. Kun riskit on tunnistettu, pitää selkeyttää ja priorisoida, mitkä tekijät ovat oikeasti merkittäviä. Kun tästä on saatu ymmärrys, voidaan rakentaa ymmärrettävät, mitattavat ja selkeät riskikuvaukset, joihin voidaan lähteä rakentamaan ratkaisuja, Viria Security Oy:n kyberturvapalveluiden johtaja Benjamin Särkkä toteaa.

Viria on digipalveluiden ja turvateknologian ratkaisutoimittaja, joka tekee digitalisaatiota turvallisesti ihmisten ja yritysten hyödynnettäväksi.

Testaus sidottava konkretiaan

– Riskien kartoitus ja testaus tulisi sitoa konkreettisesti käytössä olevaan järjestelmään tai toimintoon. Esimerkkinä voisi mainita tietomurron HR-järjestelmään tai asiakasjärjestelmään.  Silloin voidaan lähteä selvittämään, mitkä järjestelmät kuuluvat tähän kokonaisuuteen, mikä näiden järjestelmien tila on ja minkälainen kontrolli näissä järjestelmissä on, Särkkä sanoo.

Tältä pohjalta voidaan rakentaa malleja, jotka kuvaavat riskitodennäköisyyksiä ja niihin liittyviä potentiaalisia taloudellisia vaikutuksia. Tämä mahdollistaa oikean suuruiset panostukset riskin torjuntaan. Näin uhkan torjuntaan ei panosteta enemmän rahaa, kuin uhkan todellinen haittavaikutus on.

Mallien toimivuuttakin valvottava

Särkän mukaan riskimallin pitää mitata myös omaa toimivuuttaan. Näin päästään jatkuvan parantamisen toimintamalliin, jossa riskimalli parantaa jatkuvasti itseään ja varmuuttaan. 

– Muuten voi käydä niin, että strategisessa päätöksenteossa ja investoinneissa käytetyt mallit voivat antaa täysin virheellistä tietoa päätösten pohjaksi. Pahimmillaan syntyy käsitys, että mallit toimivat, vaikka ne eivät oikeasti toimisikaan, Särkkä muistuttaa.

Teksti: Jari Peltoranta

Kaupallinen yhteistyö

Organisaation tiedot

Viria

Viria on tieto- ja turvateknologian ratkaisutoimittaja, jonka toiminnassa yhdistyy tiedolla johtamisen, digitaalisen liiketoiminnan sekä tietoturvallisuuden ja turvateknologian vankka asiantuntemus. Meille ominaista on asiakasläheinen ja uutta luova toimintatapa.
Virian liikevaihto vuonna 2020 oli 107 miljoonaa euroa, ja henkilöstöä sillä on yli 700.

Artikkelin asiantuntijat

Benjamin Särkkä

kyberturvapalveluiden johtaja, Viria Security Oy

Verkkosivut

http://viria.fi

Yhteystiedot

Vaihde 029 001 3000myynti@viria.fi

Viria somessa

Organisaation artikkelit