Toimiva tietoturva on teknologian ja yrityskulttuurin yhteispeliä

Tietoturvasta tai kyberturvallisuudesta puhutaan usein teknisten termien ja toimintojen kautta. Keskustelua hallitsevat virustorjunta, palomuurit ja salasanatekniikat – ja nämä ovatkin kriittisiä suojakeinoja yrityksen tietoturvallisuuden kannalta. Ne eivät kuitenkaan ole ainoa suojakeino.

Harvemmin puhutaan toisesta, vähintään yhtä tärkeästä tietoturvallisuuteen vaikuttavasta asiasta. Tekniikka on loppujen lopuksi vain osa yrityksen tietoturvallisuutta, johon kuuluvat myös yrityksen kaikkien työntekijöiden tottumukset, osaaminen ja tapa toimia.

Tilanne on samankaltainen kuin silloin, jos asunnon murtosuojasta puhuttaessa keskitytään erinomaisiin älylukkoihin, mutta unohdetaan lukita ovi ulos lähtiessä tai piilotetaan avain kynnysmaton alle.

– Monella meistä on arjen kiireiden keskellä aivan muut asiat mielessä kuin tietoturvallisuus ja tietosuoja. Siksi toisinaan sattuu lapsuksia, että joku klikkaa epähuomiossa linkkiä aidolta näyttävässä sähköpostissa tai puhelee asiakkaidensa asiat ääneen ruuhkajunassa, sanoo Fennian riskienhallintapäällikkö Sampo Holm.

Mitä esimerkiksi tapahtuisi, jos yrityksen toimitusjohtajan läppäri varastetaan, eikä tärkeitä dokumentteja olekaan tallennettu verkkolevylle tai huolehdittu varmuuskopioista? Tai verkkoyhteyksien varassa toimivalta yritykseltä pimenee verkkoyhteydet tahattoman kaapelirikon vuoksi?

Yllättävän moni erehtyy ajattelemaan, että jättämällä tietoturvan ainoastaan IT-osaston teknisiksi ratkaisuiksi homma on hallussa.

– Tietoturvallisuus – tai sen puute – on ennen kaikkea osa yrityskulttuuria. Nimensä mukaisesti tietoturvallisuudessa on kyse yritykselle tärkeiden tietojen pitämisestä turvassa – niin varkailta kuin myös työntekijöiden huolimattomuudelta tai ulkoisilta vahingoilta. Tapamme toimia ratkaisee, miten hyödyllisiä tietoturvaratkaisut ovat. Yrityskulttuurin kehittäminen on ennen kaikkea johdon vastuulla, Holm painottaa.

Tietoturva on paljon enemmän kuin virustorjunta tai palomuuri

Holm muistuttaa, että tietoturvaan liittyy mitä suurimmassa määrin ihmisten toimintatapojen ymmärtäminen ja niiden kehittäminen. Yrityksen työntekijät, johtoa myöten, harvoin jos koskaan aiheuttavat tarkoituksella tietoturvaongelmia. Asiat tapahtuvat kiireessä, epähuomiossa tai tietämättömyydestä johtuen.

– Henkilöstöä ei kuitenkaan kannata nähdä ongelmana, sillä he ovat tietoturvallisemman kulttuurin kannalta ennen kaikkea ratkaisu. Kun työntekijät ymmärtävät, miksi tietoturva on tärkeää, heistä tulee yrityksen tärkeä puolustuslinja.

Hyvä merkki terveestä tietoturvakulttuurista on se, että työntekijät osaavat omatoimisesti kyseenalaistaa. Pitikö minun todella lähettää tämän näköinen laskutiedosto asiakkaallemme? Miksi toimitusjohtajamme lähettää minulle kiireellisen pyynnön tämän linkin takaa löytyvän dokumentin avaamiseen?

– Yritykselle voi olla korvaamaton apu siitä, että henkilökunta ei ainoastaan itse noudata tietoturvallisuuden perussääntöjä, vaan kyseenalaistaa ja haastaa myös koko organisaation tietoturvakulttuuria, Holm sanoo.

Tietoturvahaasteisiin voi ja kannattaa varautua

Tietoturvan parissa voi aina sattua vahinkoja. Sen vuoksi hyvä varautuminen sisältää koulutuksen ja ennaltaehkäisevien toimien lisäksi myös suunnitelman siitä, mitä tehdään, kun jotain menee pieleen. Varautumista ja reagoimista kannattaa myös harjoitella säännöllisesti.

Luotettavien tietoturvakumppanien lisäksi vakuutus on tärkeä osa tietoturvallisuuden kokonaisuutta. Tietoturvavakuutus ei korvaa hyvää tietoturvakäytäntöä, mutta täydentää sitä taloudellisella turvalla. Tietoturvaan liittyvät vahingot voivat tulla toisinaan hyvinkin kalliiksi esimerkiksi oikeudenkäyntikulujen muodossa. Tietoturvavakuutuksella yritys voi varmistaa, että yritys säilyy taloudellisesti toimintakykyisenä.

Tietoturva ei ole vain teknisiä ratkaisuja, vaan olennainen osa yrityskulttuuria. Jokaisen yrityksen kannattaa käydä läpi oma tilanteensa ja miettiä, mikä sille on kaikista tärkeintä. Tietoturvauhkiin tulee varautua ennakolta – mutta myös valmistautua siihen vaihtoehtoon, että jotain sattuu siitä huolimatta. Henkilöstö on tärkeää saada mukaan tietoturvan parantamiseen.

– Vanha sanonta kuuluu, että yrityksen tietoturva on vain niin hyvä kuin sen heikoin lenkki. Parempi olisi kuitenkin sanoa, hyvin koulutettu ja osallistettu henkilökunta tekee hyvästäkin tietoturvasta erinomaisen. Kun tietoturvallisuus on osa arkea, se ei ole pelottava peikko, vaan luonnollinen tapa toimia. Parhaimmillaan tietoturvallisuus on yhtä luontevaa kuin kahvin juominen!