Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta
Suomalaisen tietoturvayhtiö Silverskin Information Securityn tilaamassa tutkimuksessa kysyttiin sadan yritysjohtajan näkemyksiä tietoturvan johtamisesta. Ylimmän johdon mielestä tietoturvan johtamisessa tärkein tekijä on it-infrastruktuurin tekninen turvallisuus, eli esimerkiksi virustorjunta ja palomuurit. SUOMALAINEN LIIKKEENJOHTO NÄKEE TIETOTURVAN JOHTAMISEN TEKNISISTÄ YKSITYISKOHDISTA HUOLEHTIMISENA Suomessa hyökätään vuosittain tuhansiin verkkopalvelimiin. Yritykset ja niiden asiakkaat ovat eturintamassa. Miten suomalainen liikkeenjohto näkee tietoturvan ja sen johtamisen? Mitä tietoturvan johtamisella tarkoitetaan ja kenellä on vastuu? Tietoturvayritys Silverskinin tilaamassa tutkimuksessa 100 yritysten ylimmän johdon edustajaa kertoi näkemyksensä tietoturvan johtamisesta. Heidän mukaansa yritysten tietoturvasta on vastuussa toimitusjohtaja ja IT-johtaja. Tietoturvan johtamisessa tärkein tekijä on it-infra-struktuurin tekninen turvallisuus, eli esimerkiksi virustorjunta ja palomuurit. Miten tutkimus toteutettiin? Silverskinin teettämässä tutkimuksessa selvitettiin puhelinhaastatteluin sekä sähköisellä lomakkeella suomalaisen liikkeenjohdon näkemyksiä tietoturvan johtamisesta ja siihen liittyvistä tekijöistä loka-marraskuussa 2012. Tutkimuksen kohderyhmänä oli yritysten ylin johto, eli toimitusjohtajat, it-johtajat, kehitysjohtajat, hallintojohtajat sekä liiketoimintajohtajat yrityksistä, joiden liikevaihto on vähintään 20 miljoonaa euroa vuodessa. Tutkimukseen vastasi yhteensä 100 johtajaa. Tutkimuksen toteutti Silverskinin toimeksiannosta T-Media Oy. TYYPILLISIMMIN YRITYKSEN TIETOTURVAAN LIITTYVÄÄN PÄÄTÖKSENTEKOON OSALLIS- TUVAT JA YRITYKSEN TIETOTURVASTA VASTUUSSA OVAT TOIMITUSJOHTAJA JA IT- JOHTAJA Tyypillisimmin yrityksen tietoturvaan liittyvään päätöksentekoon osallistuvat toimitusjohtaja ja IT-johtaja. Samoin yrityksen tietoturvasta vastuussa ovat tyypillisimmin yrityksen IT-johtaja ja toimitusjohtaja. Kahdessa kolmesta yrityksestä tietoturva-asioita käsitellään johtoryhmätasolla. Tyypillisimpiä käsiteltäviä aiheita ovat tietoturvaan liittyvät liiketoimintariskit, tietoturvaongelmiin varautuminen, tietoturvan tavoitteiden asettaminen ja budjetit. Ylin johto kannattaa tietoturvan auditointia eli että yrityksen tietoturvan tasoa auditoisivat eri ihmiset kuin ne, jotka arjessa vastaavat yrityksen tietoturvasta.
TIETOTURVAN JOHTAMISEN KANNALTA TÄRKEIMMÄT TEKIJÄT (Vastaajat valitsivat kaksi mielestään tärkeintä tekijää) YRITYSTEN YLIN JOHTO NÄKEE TIETOTURVAN JOHTAMISEN USEAMMIN TEKNISISTÄ YKSI- TYISKOHDISTA HUOLEHTIMISENA KUIN LIIKETOIMINTARISKEIHIN LIITTYVÄN KOKONAISKU- VAN MUODOSTAMISENA JA HALLITSEMISENA Kun yritysten ylin johto arvioi kolmentoista tietoturvaan liittyvän tekijän tärkeyttä neliportaisella asteikolla tietoturvan johtamisen näkökulmasta, tärkeimpien tekijöiden kärkijoukkoon nousevat tekniset tekijät kuten IT infrastruktuurin tekninen turvallisuus ja ITpalveluiden ylläpito, varmuuskopiointi ja jatkuvuuden hallinta. Tietoturvauhkiin liittyvän kokonaiskuvan muodostaminen ja tietoturvaan liittyvien liiketoimintariskien tiedostaminen ovat heidän mielestään selvästi vähemmän tärkeitä tekijöitä. Kun vastaajien piti valita samoista tekijöistä kaksi mielestään tärkeintä, tärkeimpien joukkoon ylsi teknis- ten tekijöiden lisäksi myös tietoturvauhkiin liittyvän kokonaiskuvan muodostaminen ja tietoturvaan liittyvien liiketoimintariskien tiedostaminen. Toimitusjohtajat nimesivät tärkeimpien tekijöiden kärkeen teknisen turvallisuuden, yksityisyyden suojan ja pääsyoikeuksien hallinnan. IT-johtajat puolestaan nostivat tärkeimmiksi tekijöiksi tietoturvauhkiin liittyvän kokonaiskuvan muodostamisen, tietoturvaan liittyvien liiketoimintariskien tiedostamisen ja riskien priorisoinnin ja kriittisimpien kehityskohteiden löytämisen.
YLI KOLMANNEKSESSA YRITYKSISTÄ EI OLE ARVIOITU MAINERISKEJÄ, LIIKETOIMINTARIS- KEJÄ TAI TALOUDELLISIA MENETYKSIÄ, JOTKA SEURAISIVAT TIETOTURVAAN LIITTYVISTÄ ONGELMISTA Neljässä viidestä yrityksestä on vähintään jossain määrin kartoitettu ja tiedostettu toiminnan ongelmakohdat, jotka seuraavat tietojärjestelmäongelmista suoraan tai välillisesti. Kuitenkaan yli kolmanneksessa vastaajayrityksistä ei ole arvioitu maineriskiä, joka seuraisi esim. asiakastietojen vuotamisesta, tai arvioitu liiketoimintariskiä, jos salaista tietoa päätyisi kilpailijalle tai arvioitu taloudellisia menetyksiä, jotka seuraavat tietojärjestelmän häiriötilanteesta. Tietoturvan eri normien yritykselle asettamia vastuita ja velvollisuuksia ei tunneta kovin hyvin. IT-johtajat tuntevat tietoturvan normien asettamat velvollisuudet odotetusti keskimäärin paremmin kuin toimitusjohtajat ja muut johtajat. TIETOTURVAONGELMAT YRITYKSISSÄ VIIMEISEN VUODEN AIKANA KAHDELLA KOLMESTA SUOMALAISYRITYKSESTÄ TIETOTURVAONGELMIA Kaksi kolmasosaa ylimmän johdon edustajista tietää yrityksessään olleen tietoturvaongelmia viimeisen vuoden aikana. Noin puolet tutkimukseen vastanneista toimitusjohtajista kertoo ongelmatapauksia olleen yksi tai kaksi. Mitä isompi yritys on kysymyksessä, sitä useammin ongelmia ilmoitetaan olleen. Kolmasosa puolestaan vastasi, ettei tiedä ongelmia olleen lainkaan.
Kahdella kolmesta suomalaisyrityksestä on tietoturvaongelmia. Tyypillisimmin yrityksen tietoturvaan liittyvään päätöksentekoon osallistuvat toimitusjohtaja ja IT-johtaja. Kahdessa kolmesta yrityksestä tietoturva-asioita käsitellään johtoryhmätasolla. Tietoturvan johtaminen nähdään kuitenkin useammin teknisistä yksityiskohdista huolehtimisena kuin strategisena kokonaiskuvan hahmottamisena, riskien priorisointina ja tavoitteiden asettamisena. Suomalainen Silverskin on työntekijöidensä omistama korkean tason tietoturvayhtiö ja riippumaton tietoturvatarkastaja. Yhtiö on saavuttanut korkeimman sertifioidun tason sekä EU:n että Yhdysvaltain puolustusministeriön standardeilla, ja sen kokeneet konsultit ovat toimineet alalla toistakymmentä vuotta.