Blogi

Tietoturvassa on kaksi keskeistä ongelmaa – Organisaation tietoturvan saa hallintaan yllättävän helposti ja ketterästi

Kirjoittanut Digia Oyj | 23.9.2021 21:00

Organisaatioiden tietoturvaan liittyy kaksi haastetta, jotka voivat osoittautua erittäin vaarallisiksi. Asian myönteinen puoli on se, että ongelmat voidaan korjata yllättävänkin helposti ja kevyesti. Tietoturvaan kannattaa soveltaa modernia ketterää ajattelua, neuvovat Digian asiantuntijat.

Suomalaisissa yrityksissä törmätään kahteen keskeiseen tietoturvan haasteeseen, joista molemmat voivat johtaa suuriin ongelmiin.

”Varsinkin isommissa yrityksissä joitain tietoturvan osuuksia on voitu hoitaa todella hyvin. Silloin voidaan kuitenkin helposti luulla, että kaikki muukin on kunnossa”, kertoo Tommi Viitanen, joka johtaa Digian Scalable Solutions -yksikköä. Digialla on pitkä kokemus tietoturvaan liittyvästä työstä, jota tehdään myös viranomaisten kanssa.

Tommi Viitanen, Scalable Solutions -yksikön johtaja

Tietoturvassa on Suomessakin nähty tapauksia, joissa yrityksen hallitus tai johto on luullut, että kaikki on kunnossa. Hetkeä myöhemmin järjestelmistä on paljastunut vakavia laiminlyöntejä, jotka ovat pahimmillaan ajaneet yrityksen konkurssiin. Esimerkiksi kiristysohjelmat ovat viime vuosina saaneet polvilleen jopa suuria kansainvälisiä yrityksiä.

Yleensä haaste on kuitenkin toisen tyyppinen. Tietoturvasta vastaavalla henkilöllä voi olla varsin realistinen kuva tilanteesta, ja hän ymmärtää, että kaikki ei ole kunnossa, kertoo Markus Asikainen, joka johtaa Digian Secured Solutions -yksikköä. Ongelmien korjaaminen nähdään kuitenkin valtavana mammuttiprojektina, johon on vaikea käydä käsiksi. ”Ei oikein tiedetä, mistä voisi lähteä liikkeelle ja kustannuksetkin voivat pelottaa”, Asikainen kertoo.

Todellisuudessa tietoturvan saaminen hallintaan on nopeampaa ja helpompaa kuin usein ajatellaan. Tässä auttaa ketterä lähestymistapa.

Markus Asikainen, Secured Solutions -yksikön johtaja, kuva: Teemu Pitkälä


Tietoturvan saa hallintaan yllättävänkin helposti ja kevyesti

Ketterät menetelmät ovat viime vuosina tehostaneet valtavasti monia tietotekniikan osa-alueita. Asikainen neuvoo soveltamaan samantyyppistä lähestymistapaa myös tietoturvaan.

”Kannattaa aloittaa luomalla tilannekuva siitä, missä tietoturvassa mennään”, Asikainen neuvoo. Tarkoituksena on kartoittaa nopeasti, millainen on yrityksen maturiteetti tietoturvassa ja missä ovat riski- ja ongelmakohdat. Sen perusteella luodaan tiekartta tarvittavista toimenpiteistä.

Myös havaittuja ongelmakohtia korjataan ketterästi. Ne pilkotaan pieniksi ja helposti hallittaviksi palasiksi. Asikainen ja Viitanen neuvovat keskittymään aluksi pahimpiin ongelmakohtiin ja hoitamaan aina asian kerrallaan kuntoon. Näin työ etenee, ja kustannukset pysyvät kontrollissa.

Asikaisen ja Viitasen vetämät yksiköt toteuttavat tietoturva-arviointeja ja löydettyjen ongelmien korjaamista tällaisella Fast Track -periaatteella. Heidän mukaansa kokemukset tällaisesta ketterästä DevSecOps-tyyppisestä mallista ovat olleet erinomaisia.

Asiaa kannattaa lähestyä nimenomaan liiketoiminnan näkökulmasta. ”Ei kannata maalailla uhkakuvia vaan pyrkiä ymmärtämään todelliset riskit. Mitä tapahtuu, jos tietyt palvelut ovat pois päältä tunteja tai viikkoja, tai jos niitä ei saada lainkaan käyttöön”, Asikainen sanoo.

Jos riski liiketoiminnalle on hyvin pieni, asialle ei välttämättä kannata tehdä mitään. Joidenkin riskien toteutuminen voisi taas aiheuttaa valtavia vahinkoja, jolloin niiden korjaaminen on erittäin tärkeää.

Yrityksen johdolla on keskeinen osa tietoturvassa

Yksi haaste tietoturvassa on se, pitäisikö työ aloittaa johdon puolelta vai ruohonjuuritasolta. Asikainen toteaa, että molemmat puolet on tärkeää saada mukaan.

”Jos toimitusjohtaja tai hallituksen puheenjohtaja jotain linjaa, kyllä se keskimäärin paljon paremmin näkyy toiminnassa”, Asikainen muistuttaa. Johdon on tärkeä ymmärtää, että tietoturva on nykyään yksi keskeisimpiä tekijöitä yrityksen riskienhallinnassa ja toiminnan jatkuvuuden turvaamisessa.

”Muutos tapahtuu arjen toiminnassa. Kaikkien organisaatiossa täytyy ymmärtää, että tietoturva on tärkeä ja välttämätön osa liiketoimintaa”


Tämä ei kuitenkaan yksin riitä. ”Muutos tapahtuu arjen toiminnassa. Kaikkien organisaatiossa täytyy ymmärtää, että tietoturva on tärkeä ja välttämätön osa liiketoimintaa”, toteaa Asikainen. Organisaatioon kannattaa siksi rakentaa kulttuuria, jossa tietoturva otetaan tasapainoisesti ja järkevästi huomioon.

”Ei kannata pyrkiä siihen, että jonain tiettynä päivänä yrityksen tietoturva olisi ikään kuin ’kunnossa’”, neuvoo Viitanen. Tietoturva ei tule koskaan valmiiksi, sillä yritysten it-järjestelmät ovat jatkuvassa muutoksessa ja uhkatkin muuttuvat koko ajan. Tietoturva vaatii jatkuvaa huomiota niin kuin useimmat muutkin yritystoiminnan alueet.

Viitanen muistuttaa myös, että tietoturva on tärkeä huomioida parhaidenkin toimittajien ja myös pilvipalvelujen kohdalla. ”Yrityksessä voi olla oletus, että kun käytämme esimerkiksi tiettyjä tuotteita tai pilvipalveluja, kaikki on kunnossa. Nekin pitää kuitenkin säätää oikein, ja niiden tietoturvaominaisuudet täytyy ottaa käyttöön”, Viitanen toteaa. Pilvipalvelut tarvitsevat säännöllistä huomiota toimiakseen turvallisesti.

Asian myönteinen puoli on kuitenkin se, että tietoturva on mahdollista saada riittävän korkealle tasolle, ja riskit voidaan saada hyvään hallintaan. Ketterän lähestymistavan avulla tähän tavoitteeseen voidaan päästä yllättävänkin helposti.

Tutustu Digian monipuolisiin tietoturvapalveluihin