Mikä neuvoksi, kun luottamus menetetään?

Tietoturvassa tärkeitä asiasanoja ovat luottamus, lupaus, rehellisyys, mutta ne ovat äärimmäisen tärkeitä teemoja myös meille suomalaisille. Toki ne ovat tärkeitä myös muissakin kulttuureissa, mutta minä olen suomalainen ja kohdistan tämän viestini suomalaisille. Näiden aiheiden kyseenalaistaminen on vakava syytös, mutta näiden menettämisellä on suuret vaikutukset. Mediassa palstatilaa vievät tietoturvassa arvoltaan tai menetettyjen tietojen lukumäärältään suuret tapahtumat. Tämä on kuitenkin totta kaikkien, pienempienkin yritysten suhteen.

On selvää, että digitalisoituva maailma tuo mukanaan tuottavuushyötyjä ja tehokkuutta, mutta usein digitalisaation edetessä täyttä vauhtia organisaation moni muu osa tuskailee, miten pysyä mukana. Tietoturva on usein juurikin yksi näistä asioista. Kaikki ovat yhtä mieltä siitä, että tietoturva on tärkeää, mutta kuitenkin se mielletään puhtaasti kustannukseksi ja kehityksen esteeksi. Näin ei tietenkään tarvitsisi olla, vaan kehitys voisi edetä käsi kädessä eri toimintojen kanssa ja tietoturva voisi olla kilpailuetu ja uusien liiketoimintamallien mahdollistaja, eikä este. Näin valitettavasti kuitenkaan ei ole ja investoinnit eivät aina mene aivan tasan.

Tietoturva: kustannus vai hidaste?

Kun tietoturvan suunnittelu, toteutus tai hallintamallit laahaavat perässä, yrityksen datasta muodostuu suhteellisen helposti kiinnostava kohde väärinkäytöksille. Ponemon-instituutin toteuttamassa Cost of Data Breach -tutkimuksessa käy ilmi, että tietoturvaloukkauksen kohteeksi joutumisen kustannus on noussut 6,4 % viime vuodesta. Samalla myös ”Mega Breach”-luokan poikkeamat ovat yleistyneet. Ongelma ei siis suinkaan ole poistumassa, joten olisiko korkea aika tuoda tietoturva mukaan kehityskeskusteluihin mahdollistavana ja tukevana toimintana sen sijaan, että se nähdään vain hidasteena ja kustannuksena?

Selkeänä poikkeamana on terveydenhuolto, jossa menetetyn tietueen hinta on huomattavan suuri, melkein kolme kertaa korkeampi kuin keskiarvo. Näillä tiedoilla onkin mahdollisesti suurin väärinkäytön riski.

Usein mielletään, että kustannus hyökkäyksen kohteeksi joutumisesta tapahtuu hyökkäyksen aikana. Tällä on toki vaikutus, mutta hyökkäyksestä palautuminen sekä maineelle kohdistuva vahinko aiheuttavat suurimman osan kustannuksesta. Asiakkaiden luottamuksen palauttaminen yritykseen, jonka kautta heidän tietojansa on vuotanut tai hyväksikäyttänyt saattaa olla pitkä ja kivinen tie, tai jopa mahdoton polku. Usein yrityksen maturiteettia mitataankin sen reagointi- ja palautumiskyvyn pohjalta. Kun kustannukset myös isolta osin koostuvat hyökkäyksestä palautumisesta, tähän kohdistuva panostus näkyy suoraan kustannusten pienenemisessä hyökkäyksen sattuessa.

Mitä suojata ja miten?

On tärkeää ymmärtää, mikä on yrityksen kannalta tietoturvariski. Mitä meidän pitää oikeasti suojata ja miten? Mikä on suurin haitta yrityksen toiminnan jatkumiselle? Tämän lisäksi on tärkeää ymmärtää, mitkä ovat yrityksen haavoittuvuudet. Näiden pohjalta on hyvä lähteä rakentamaan yrityksen kannalta oikean näköistä tietoturvaa yleispätevän tietoturva sijaan. Tähän löytyy mm. IBM:n portfoliosta kattavasti palveluita, joiden tarkoituksena on auttaa yritystä ymmärtää edellä mainittuja, sekä luoda oikeanlainen strategia pienentämään riskiä ja kustannusta. Samalla investoinnilla oikein kohdistettuna saadaan paljon tehokkaampaa tietoturvaa kuin vain investoimalla tietoturvaan.

 

Tutustu Cost of a Data Breach Study: Global Overview -tutkimukseen.

Lue myös uusimmat blogikirjoitukset Security Intelligence -blogista.

Avainsanat: Cost of Data Breach -tutkimus, kyberhyökkäys, Ponemon, tietoturva, tietoturvaloukkaus

Kommentit