Miksi kyberturvallisuus on liiketoiminnan mahdollistaja

Kirjoittanut Peter Cohen 25.3.2020 10:25

Maksuton webinaari 8.4. klo 9 - 9.45: Tiedätkö, onko toimitusketjujesi tietoturva kunnossa? Lue lisää ja ilmoittaudu heti >>

Kyberturvallisuuden ei tarvitse olla pelkkä kustannuserä. Se voi itse asiassa olla yrityksesi kasvun ja menestyksen mahdollistaja. Tämä – ja se, että kyberturvallisuusinvestoinnit hyväksytään yrityksen hallituksen tasolla – kuitenkin vaatii seuraavan ehdon täyttymistä:

Tietoturvaan investoiminen auttaa organisaatiotamme saamaan irti lisää arvoa liiketoimintamallistaan.

Yritykset kuvata tietoturvaa liiketoiminnan mahdollistajana ovat pitkään olleet varsin kömpelöitä. Tavoitteena on useimmiten ollut tietoturvan virtaviivaistaminen ja sisällyttäminen IT:hen elinkaaren varhaisessa vaiheessa, jotta kustannukset pysyisivät mahdollisimman alhaisina ja kokonaisuus yksinkertaisena. Valitettavasti tällainen lähestymistapa tekee tietoturvasta pelkän vakuutuksen – se ei anna kykyä vastustaa kehittyvää uhkien ekosysteemiä ja sen uhkatoimijoita.

Vuonna 2018 liiketoiminnan perusteet ovat muuttuneet niin, että tietoturva on välttämätöntä kasvun ja menestyksen mahdollistamiseksi. Kun tarkastelemme tietoturvan ja myynnin, tuottavuuden, C-tason päätöksenteon, IT:n ja markkinoinnin välistä suhdetta, mitä voimme sanoa tietoturvan roolista?

1) Vahvan tietoturvan avulla saat asiakkaita ja säilytät heidän uskollisuutensa

Todistetusti luotettava tietoturva on monilla B2B- ja B2C-sektoreilla – rahoituksesta lääketeollisuuteen ja rekrytoinnista vähittäiskauppaan – ehdoton edellytys yhteistyölle uusien asiakkaiden kanssa. Tällaisia väitteitä on esitetty jo pitkään, ja niiden todenperäisyys todistettiinkin hiljattain Vodafonen kyselyssä, jonka mukaan 90 % yrityksistä oli sitä mieltä, että kyberturvallisuus parantaa niiden mainetta markkinoilla, houkuttelee lisää asiakkaita ja kasvattaa asiakasuskollisuutta.

Sanalla sanoen, parempi tietoturva johtaa vahvempaan myyntiin ja parempaan asiakaspysyvyyteen.

2) Havainnointi- ja reagointiohjelma purkaa rajoittavia ennaltaehkäiseviä torjuntatoimenpiteitä, lisää tuottavuutta ja vähentää varjo-IT:n määrää

Tämä on tietoturva-alan ainainen ongelma, joka koskee erityisesti tietoturvajohtajia. Heidän yrityksissään työskentelee älykkäitä ihmisiä, jotka pystyvät innovoimaan nopeasti, mutta joita tietoturvatiimin tiukat varotoimenpiteet jarruttelevat. ”Joo, pääset kohta testaamaan sitä ohjelmaa – meidän pitää vaan auditoida se ensin.” Tai sitten: ”yhteistyö on mahtava idea – mutta odota vähän, meidän pitää ensin testata alusta”.

Monissa yrityksissä valtaosa turvallisuusbudjetista on perinteisesti käytetty ennaltaehkäiseviin toimenpiteisiin. Tämä on johtanut varjo-IT-kulttuuriin, jossa älykkäät ja innovatiiviset työntekijät ohittavat yrityksen järjestelmät ja tekevät kaiken itse, mikä luonnollisesti vain lisää turvallisuusriskejä.

Kun ennaltaehkäisevien toimenpiteiden tehokkuusongelmat tiedetään – ja hyökkääjät yleensä pystyvät kiertämään ne – Gartner ennustaa, että 60 % budjetista siirretään ennaltaehkäisystä havainnointiin ja reagointiin. Tietoturvaosastoilta tällainen muutos edellyttää sallivampaa otetta ja luottamusta siihen, että jos tietoturvaloukkaus tapahtuu, se havaitaan ja sen jälkihoidosta huolehditaan ennen kuin sillä on merkittävää vaikutusta. Samalla pystytään entistä paremmin tukemaan liiketoiminnan joustavuutta ja innovatiivisuutta.

3) Vahva tietoturva lisää liiketoiminnan varmuutta laajennuttaessa uusille alueille tai markkinoille

Voisi väittää, että tämä on vain uusi tapa markkinoida tietoturvaa vakuutuksena... mutta onko tosiaan näin?

Kun tavoitteena on hyödyntää ensimmäisenä liikkeelle lähtevän etu, tuoda markkinoille uusi tuote tai laajentua uudelle alueelle, on ensiarvoisen tärkeää, että yrityksen ylin johto kykenee tekemään nopeita ja varmoja päätöksiä. Kyky vastustaa uusia – ja mahdollisesti kyvykkäämpiä – uhkatoimijoita muuttaa tietoturvan heikkoudesta vahvuudeksi ja alentaa tällaisten edistyksellisten päätösten riskejä.

Mitä tämä tarkoittaa käytännössä? Yritykset, joiden tietoturvatoiminta on kypsää, voivat päihittää kilpailijansa. Se ei ole mikään hullumpi vakuutus.

4) Nykyaikainen tietoturva on riippuvainen valtavista datamääristä, joiden avulla liiketoimintaa voidaan optimoida

Ennen tietoturva tarkoitti ohjeiden, allekirjoitusten ja valvontatoimien käyttöä, mutta nykyään tehokas tietoturva – etenkin hyökkäysten havaitsemisessa – perustuu siihen, että kaikki IT-alueella tapahtuva on täysin näkyvillä, jolloin tuntemattomat tekijät, joiden olemassaoloa ei tiedetä, kohdistetut hyökkäykset ja oikeita IT-toimintoja hyväkseen käyttävä haitallinen toiminta voidaan havaita.

Tietoturvatiimeillä saattaa itse asiassa olla joskus parempi näkyvyys IT:hen kuin itse IT-tiimillä. Tätä oivallusta voidaan käyttää verkon optimointiin sekä virittämällä sen olemassa olevien osien suorituskykyä että havaitsemalla varjo-IT:n käyttö tavalla, johon keskitetty IT ei pysty. Tietoturva voi siis antaa yritykselle varjo-IT:n käytön perusteella ennakkokatsauksen sen keskipitkän ja pitkän tähtäimen tulevista IT-vaatimuksista, sillä varjo-IT on normaalisti seurausta innovatiivisten työntekijöiden innovatiivisesta toiminnasta.

5) Jos tietoturvaloukkauksesta selvitään hyvin, se voi jopa parantaa brändin arvoa

Tietoturvaloukkausten oletetaan johtavan aina negatiiviseen julkisuuteen ja kuluttajien luottamuksen menetykseen, mistä seuraa asiakasvaihtuvuutta tai vaikeuksia hankkia uutta liiketoimintaa.

Mutta onko tämä aina väistämätöntä? Entä jos tietoturvaloukkauksen hyvä jälkihoito olisikin hyväksi yrityksen maineelle? Tällaisia esimerkkejä on toistaiseksi vain vähän, mutta Cloudflaren tapahtumien jälkiseurauksia kannattaa katsoa tarkemmin. Yritys joutui vakavan tietoturvaloukkauksen uhriksi, mistä olisi voinut seurata peruuttamatonta vahinkoa yritykselle ja sen tuotoille. Mutta koska tietoturvaloukkauksen jälkihoidosta huolehdittiin ja siitä viestittiin asiakkaille ja suurelle yleisölle täysin läpinäkyvästi – jälkihoitosuunnitelmien julkistaminen ja nopea reagointi asiaan mukaan lukien – niin sen sijaan, että Cloudflare olisi kärsinyt pitkäaikaisia vahinkoja, se saattoi lisätä rehellisyyden, sopeutuvuuden ja vaikeiden asioiden hoitamisen hyvin arvot brändipääomaansa.

Tietoturva ei ole koskaan 100 % tehokasta. Näistä esimerkeistä nähdään, että yhteiskunta alkaa hyväksyä tämän tosiseikan ja jopa reagoida positiivisesti tietoturvaloukkauksiin, jos ne hoidetaan oikein.

Tarkoittaako tämä, että voimme pitää tietoturvaa tulosyksikkönä?

Ehkä ei vielä, mutta on selvää, että ajat ovat muuttuneet. Sekä alana että toimintona tietoturvan pitäisi alkaa viestimään arvostaan muulle liiketoiminnalle paljon luovemmin. Yllä esitetyt viisi asiaa todistavat, että tietoturva voi tuottaa aidosti positiivista tulosta auttamalla yritystä olemaan parempi työssään ja innovoimaan nopeammin ja jopa antamalla sille kilpailuetua markkinoilla.

 

Aiheet: Kyberturva, Liiketoiminta, Tietoturva