Strategia22 – Välitilinpäätös

DIGITALISOITUNUT LIIKETOIMINTA SITOO YRITYKSET TOISIINSA

Digitalisaatio on tehnyt yrityksistä ja organisaatioista entistä riippuvaisempia toisistaan. Liiketoiminta verkottuneessa yhteiskunnassa edellyttää vahvaa luottamusta, olipa kyse omien liikesalaisuuksien, tai henkilöstön ja asiakkaiden tietojen suojaamisesta. Haaste koskee samalla tavoin kaikenkokoisia ja eri toimialoilla toimivia yrityksiä. Digitaalisen maailman muutosvauhti on niin nopea, että yhteiskunnallinen sääntely ei tahdo pysyä perässä.

Kyberrikollisuuden maailmanlaajuinen hintalappu kasvaa edelleen nopeasti. Paradoksaalisesti samalla, kun hyökkäyskustannukset vähenevät, puolustautumisen kustannukset kasvavat. Tämä pätee niin julkisella, kuin yksityisellä sektorilla.

Pandemian vaikutus työskentelytapoihin on lisännyt digitaalisten laitteiden määrää ja käyttöä yhteiskunnassa, mikä on tuonut kyberrikollisille lisää hyökkäyspintaa. Kyberriskien toteutuminen voi uhata yrityksen olemassaoloa ja jopa ihmisten turvallisuutta (esim. hyökkäykset infrastruktuuriin ja terveydenhuoltoon). Toimintaketjut ovat entistä digitaalisempia ja monimutkaisempia, ja siksi ne altistuvat entistä useammin kyberhyökkäyksille. (1)

Strategia22-projektin tavoitteena on tuottaa käytännönläheisiä kehittämis- ja parannusehdotuksia tukemaan yritysten johtajia ja johtoryhmiä kyberturvallisuuden johtamisessa. Kyberturvallisuuden strateginen johtaminen tarkoittaa digitaalisen toimintaympäristön turvaamisesta johdettujen tavoitteiden tunnistamista, asettamista, toiminnan ja varautumisen yhteensovittamista, sekä laajamittaisten häiriöiden hallinnan johtamista (2).

Yksityisen sektorin merkitys ja haasteet on ymmärrettävä kyberturvallisuuden ja sen kansallisen strategisen johtamisen osana. On kiinnitettävä erityistä huomiota alihankintaketjujen riskeihin. Keskeinen haaste on vakuuttaa yritykset siitä, että digitaalisessa maailmassa tieto- ja kyberturvallisuus on aito kilpailutekijä ja tietoturvallisten tuotteiden ja palveluiden saatavuutta tulee edistää sekä EU:ssa, että globaalisti. Yritykset on saatava tähän nykyistä paremmin mukaan, jotta tuotteet ja palvelut ovat loppukäyttäjille nykyistä turvallisempia. (3)

Koska strateginen taso kiinnostaa erityisesti yrityksen omistajia ja osakemarkkinoita, myös kyberturvallisuus tulee huomioida tällä tasolla. Kyberturvallisuuden varmistaminen ja ylläpito on jatkuvaa toimintaa, joka kehitystyön ja harjoittelun avulla jalostuu kunkin yrityksen tarpeisiin sopivaksi. Yrityksen tulisi jatkuvasti kehittää kyberturvastrategiaansa, sen mukaista toimintaansa ja teknologioitaan (4).

Tämän päivän verkottuneista palveluketjuista johtuen hyökkäys yhteen verkoston soluun, tai yhdelle toimialasektorille, voi aiheuttaa kertautuvia ongelmia koko verkostossa, tai muilla sektoreilla.

FIKSU YRITYS TOIMII PAREMMIN KUIN EDELLYTETÄÄN

Strategiatyössä uhkasta tehdään mahdollisuus.

Siksi fiksut yritykset ja erityisesti niiden päättäjät ovat askeleen edellä. Digitalisoinnin turvallisuus kirjataan osaksi yrityksen strategiaa, ei ainoastaan turvaverkkona, vaan myös liiketoiminnan kasvun mahdollistajana. Valveutunut yritysjohtaja ja hallitusammattilainen näkevät siinä parhaimmillaan kilpailuedun, jolla voidaan erottua muista minimoimalla häiriöt ja takaamalla turvallisuus. Digitaalinen turvallisuus on osa yrityksen vastuullisuutta, ja kuluttajat ja työntekijät osaavat vaatia yrityksiltä koko ajan enemmän sen varmistamiseksi. 

Kyberturvallisuuden tulisi olla yksi ylimmän johdon prioriteeteistä, sillä ylin johto on kuitenkin lopulta vastuussa kaikesta, mitä yrityksessä tapahtuu. Kyberturvallisuutta tulisi myös johtaa koko organisaation laajuisesti, keskitetysti ja johdonmukaisesti. Yritysten kohtaamat kyberturvahaasteet liittyvät tyypillisesti liikesalaisuuksien ja tieto-omaisuuden varastamiseen kyberhyökkäysten avulla. Siksi kyberturvallisuuden hallintomallin (governance) soveltaminen on välttämätöntä, jotta kyetään vaikuttamaan kyberhyökkäysten torjuntaan.

Kyberturvallisuudesta on tullut liiketoiminnan välttämätön vaatimus. Aidosti tehokkaan kyberturvallisuusstrategian synnyttämiseksi kyberuhat on otettava huomioon kaikissa toimintaprosesseissa, ja yritysten on yksilöitävä strategiset tavoitteensa. Organisaation kyberturvallisuustarpeiden ja keskeisten suorituskykyindikaattoreiden tunnistaminen ja asettaminen ovat tehokkaan kyberturvallisuusstrategian edellytyksiä (5) ja ne mahdollistavat myös yritysjohdon asianmukaisen raportoinnin.

Jatkuvassa toimintaympäristön muutoksessa on välttämätöntä, että kyberuhkia seurataan monien kanavien kautta. Joillakin yrityksillä voi olla uhkatiedustelu osana organisaatiota. Yleisimmin toimialakohtainen yhteistoiminta, verkostoituminen ja tiivis yhteistyö Kyberturvallisuuskeskuksen kanssa tuottavat suurimman osan tiedoista ja tilannekuvasta. Raportointi tilanteesta ja siitä tehdyt analyysit yrityksen johdolle tapahtuu yleisemmin viikoittain, tai kuukausittain tilanteen mukaan, säännöllisimmin kerran kuukaudessa.

Yrityksen strategiset tavoitteet

Projektissa tehtyjen selvitysten perusteella yritysten tuotanto- ja palvelutoiminnalle on useimmiten asetettu tehokkuustavoitteet, sekä tuotteille ja palveluille erilaisia digiturvallisuustavoitteita. Yrityksen strategiassa (tai sitä vastaavassa löyhemmässä suunnitelmassa) on asetettu keskeiset tavoitteet turvallisuuden osatekijöille, mutta yleensä kyberturvallisuudelle ne puuttuvat.

Tästä huolimatta ja strategisten tavoitteiden näkökulmasta tulisi kiinnittää huomiota erityisesti näiden kokonaisuuksien kehittämiseen:

• Yrityksen digitalisaatioon liittyvät mahdollisuudet ja menestystekijät
• Digiturvallisuudelle asetetut taloudelliset tavoitteet ja
• Kyberturvallisuuden tehokkuusvaatimukset (kustannus - vaikuttavuus).

Tyypillisesti yritys kirjaa strategiset tavoitteensa liiketoimintastrategiaan, tai kyberstrategiaan esimerkiksi näin: ”Tuotantovarmuutta kehitetään kyberturvallisen toimintatavan avulla”, tai ”Halutaan taata turvallinen palvelukokemus”. Toinen tapa on kirjata tavoitteet osaksi jatkuvuuden hallintaa ja/tai sen turvaamista.

Yritysten hallituksilla on usein puutteita kyberturvaosaamisessa ja vastuu siitä on yleensä asiantuntijoilla. Tähän vaikuttaa myös toimialan regulaatio, jolloin osaamista on oltava alan säännöstön perusteella. Yritystoiminnan alkuvaiheessa vastuut ovat usein epämääräiset; tietoisuus ja kiinnostus kyberturvallisuutta kohtaan on kuitenkin selvästi kasvanut. Edistyneimmillä yrityksillä on jo digijohtaja johtoryhmän jäsenenä tuomassa osaamista asioiden hallintaan.

Useimmilla yrityksillä on käytössään riskipohjainen toimintamalli, jonka avulla johdon päätökset tehdään riskien kokonaisarvioinnin perusteella yhdessä liiketoiminnan kanssa ja keskittyen kriittisiin tekijöihin. Turvallisuustoimenpiteiden tehokkuus varmistetaan tarvittaessa operatiivisella harjoittelulla toimialoittain. Sisäisten ja ulkoisten auditointien tulosten perusteella laaditaan tulevat kehittämiskohteet.

Kyberturvallisuus on jo nyt kilpailuetu. Se on osoitettu käytännössä liiketoimintaetuna kilpailutilanteissa, kun tarjousten osana vaaditaan sertifikaattia, tai muuta toimintatapakuvausta. Jos tuotteet ovat osittain tai kokonaan kriittisiä esimerkiksi yhteiskunnan toimivuuden kannalta, kyberturvallisuutta vaaditaan toimitusvarmuuden ja yhteiskuntavastuun kautta. Myös hyvä asiakaskokemus on osa tätä kokonaisuutta.

Hyvin voidaan todeta, että kyberturvallisuus on yrityksen liiketoiminnan ajatusmallin muutos (ei pelkkää teknologiaa), ja kyberuhkia on käsiteltävä liiketoimintariskinä. Kyberturvallisuus on myös tapa johtaa. Strategisten tavoitteiden jalkauttaminen koetaan tärkeänä arvona. Digi- ja kyberturva on haasteellista toteuttaa ja niiden osaaminen ostettuna on kallista, mutta siitä huolimatta useat yritykset ostavat sen palveluna. Erilaiset kumppanuusohjelmat nähdään tärkeänä osana yrityksen toimintaa, erityisesti, jos ne ovat viranomaisten järjestämiä (uskottavuus).

Yrityksen strategian toteutumisen turvaaminen

Useimmilla yrityksillä on säännöllinen ja toimiva strategiaprosessi, tai toimintamalli yrityksen strategian (tai vastaavan tason ohjauksen) laatimiseen. Yrityksillä on johdon hyväksymät, toimintaan sovitetut riskienhallinnan linjaukset, vastuut ja prosessi. Yrityksen strategian (tai vastaavan) laatimisesta vastaa yleisimmin toimitusjohtaja, tai johtoryhmä.

Yleisesti voidaan todeta, että yrityksillä tehtävät ja vastuut ovat selkeästi määritetty myös poikkeustilanteissa ja poikkeusoloissa. Yrityksillä on toteuttamiskelpoinen varautumisen ja jatkuvuuden hallinnan suunnitelma, sekä näihin liittyvä häiriö- ja kriisitilanteiden viestintäsuunnitelma.

Yritysten johto on sitoutunut digitaalisen turvallisuuden kehittämiseen. Toimeenpanoon käytetään johdon hyväksymää tietoturvapolitiikkaa, tai vastaava tietoturvallisuuden toteuttamista ohjaavaa asiakirjaa. Yrityksillä on olemassa käyttövaltuuspolitiikka ja prosessi käyttövaltuuksien hallintaan.

Strategiatyössä on määritelty viestinnän linjaukset ja avoimuusperiaatteet mahdollisen kriisitilanteen varalta. Yrityksissä viestitään digiturvallisuuden riskitilanteesta ja uusista riskeistä koko yrityksen laajuisesti.

Siitä huolimatta, että yrityksien lähtökohdat hyvälle digi- ja kyberturvallisuudelle ovat olemassa, löytyy silti kehitettävää esimerkiksi seuraavista

• strategian laadinnassa tulisi käyttää standardimenettelyä tai muuta vastaavaa rakennetta
• yksittäisellä yrityksellä ei ole kykyä arvioida riittävää resurssointia ja budjettia digi- ja kyberturvallisuuteen
• tietoturvallisuuteen ja tietojärjestelmiin liittyviä auditointeja ei tehdä säännöllisesti.

Yritykset käyttävät toiminnassaan riskienhallintamenetelmiä, joissa arvioidaan riski, sen euromääräinen vaikutus ja merkitys liiketoimintaan. Tähän menetelmään tulee liittää myös kyberturvallisuusriskien arviointi. Tuloksista tulee raportoida vähintään kerran kuukaudessa.

Yrityksen tärkeimmistä tavoitteista viestitään yleensä ylemmän johdon taholta, mutta sen ohjauksessa on vielä kehitettävää. Asiat jalkautuvat viestinnällä ja arkisina toimenpiteinä sekä niiden toistaminen koetaan tärkeänä. Useimmissa yrityksissä turvallisuuskulttuuri koetaan hyväksi. Joidenkin yritysten perinteet ovat niin pitkät ja työn vaarallisuusaste korkea, että turvallisuus on jokapäiväinen asia. Useiden vastauksien perusteella myös kyber- ja tietoturvallisuus tulisi asettaa työturvallisuuden rinnalle.

Riskien rajoittamiseen yritykset käyttävät laadittuja tietoturvamenettelyjä ja niistä johdettuja sisäisiä tarkastuksia. Palvelunhallinta ja sopimushallinta ovat merkittäviä tekijöitä digitalisaatiossa ja toimittajan valinnassa. Toiminta on nykyisin paljolti sopimushallintaa, luottamuksen hallintaa ja keskustelua. Niillä yrityksillä, joilla on jokin standardi käytössä, säännöllinen ulkoinen auditointi on merkittävä tekijä.

Kyberturvallisuus on huomioitava liiketoimintaprosesseissa; liiketoiminnan omistaja on ratkaisevassa asemassa, sillä kyberturvallisuus koetaan edelleenkin tukitoimintona.

Saatujen tietojen perusteella voi todeta, että yritykset arvostavat keskinäistä ja viranomaisyhteistyötä, uhkakuvakentän avaamista (open source), sekä yhteistä uhkien tilannekuvaa. Jatkuvuuden suunnittelu, toipumissuunnitelma ja harjoittelu ovat keskeisiä elementtejä kyberturvallisuusstrategian toimeenpanossa.

DIGITAALINEN TURVALLISUUS YRITYKSEN MENESTYSTEKIJÄKSI

Strategia22-projektissa selvitettiin, millaiset strategiatyön lähtökohdat yrityksissä ovat, kuinka strategioita muodostetaan ja millaisiin kyberturvallisuuden toimenpiteisiin strategia johtaa yrityksissä. Projekti tarjoaa yrityksille mahdollisuuden kääntää liiketoiminnan digitaalinen turvallisuus strategiseksi eduksi haavoittuvuuden sijaan. Yritysten toimiessa laajana rintamana digitalisaation turvallisuudesta tulee koko Suomen kilpailuetu.

Yrityksen strategiatyön lähtökohdat

Vastausten perusteella yritysten arvoihin sisältyy usein digiturvallisuus. Siitä huolimatta parannettavaa on erityisesti pk- ja pienemmillä yrityksillä. Yritysten tuotanto- ja palvelutoiminnalle on usein asetettu tehokkuusvaatimuksia, mutta niiden digiturvallisuustavoitteissa on kaikilla parannettavaa.

Pienyritysten digitalisaation mahdollisuuksia olisi yleisesti parannettava yhteiskunnassa. Kaikissa yrityskokoluokissa digiturvallisuuden taloudellisia tavoitteita on tarvetta kehittää. Riskienhallintaan kiinnitetään sen sijaan hyvin huomiota.

Strategiatyön vakiointiin on kiinnitettävä enemmän huomiota kaikissa yrityskokoluokissa. Sen sijaan digi- ja kyberturvallisuuteen tarvittavien resurssien arviointi on hyvällä tasolla; resurssien riittävyys ja henkilöstön osaaminen katsotaan pääsääntöisesti riittäväksi. Liiketoiminnan kriittiset tekijät on pääsääntöisesti tunnistettu.

Yrityksen strategiatyö

Yritysten vastausten perusteella kaikilla on käytössään strategiaan perustuva toimintamalli. Pääsääntöisesti vastuu strategian laadinnasta on toimitusjohtajalla, mutta poikkeuksen tekee konsernitaso, jolloin siitä voi vastata erityinen strategiapäällikkö. Pienissä yrityksissä myös hallituksen puheenjohtajalla on rooli strategiatyössä. Yleisesti ottaen yrityksen johto koetaan sitoutuneeksi digiturvallisuuden kehittämiseen.

Digitalisaatio liittyy käytännössä kaikkeen yritystoimintaan. Strategiatyössä asetetaan yrityksen liiketoiminnalle tavoitteet, mutta merkittäviä puutteita on digitalisaatioasteen ja jatkuvuuden vaatimuksissa; digitaaliset menestystekijät on vain osittain määritetty yrityksissä.

Yrityksen strategian toimeenpano ja tulosten mittaaminen

Pääsääntöisesti yrityksillä on käytössä hallintamalli digiturvallisuuden kehittämiseen. Kaikista kokoluokista löytyy kuitenkin yrityksiä, joilla tilanne ei ole näin hyvä. Tietoturva- ja käyttövaltuuspolitiikat (toimintamallit) ovat useimmilla yrityksillä toimeenpanoa ohjaavia dokumentteja.

Toimintaympäristön seurantaan pk-yrityksillä on eniten parannettavaa mukaan lukien digiturvallisuuden huomiointi toimitusketjuissa. Yritysjohdon raportointiin ja riskeistä viestimiseen tulee kiinnittää huomiota myös pienissä yrityskokoluokissa.

Pk-yritysten auditoinneissa on paljon kehitettävää. Ohjeistukset toiminnan jatkuvuuden, toipumisen ja viestinnän osalta ovat pääosin kunnossa, mutta säännöllinen harjoittelu on harvinaista, tai puuttuu kokonaan.

Projektin seuraavat askelmerkit

Strategia22-projekti jatkaa toimintasuositusten kehittämistä ja laadintaa erityisesti selvityksistä ja ensimmäisistä tapahtumista nousseista teemoista:

1. Digi- ja kyberturvallisuustavoitteet ja menestystekijät osaksi tuotteita ja palveluita.
2. Digiturvallisuuden taloudelliset ja tehokkuustavoitteet ja vaatimukset.
3. Strategiatyön vakiointi suuryrityksistä pienempiin, sekä standardien, tai vastaavien määritysten käyttö.
4. Toimintaympäristön seuranta: pk-yritysten ja pienempien kybertilannekuvan sisältö ja laatu.
5. Riskien hallinta ja jatkuvuuden kehittäminen, resilienssin kasvattaminen, digitaalisen turvallisuuden mittarit.
6. Digitaalisen turvallisuuden yhteistoiminnan kehittäminen toimitusketjuissa.
7. Viestinnän ja harjoittelun kehittäminen poikkeustilanteissa.

Projektin tulokset, sekä mahdollisimman käytännönläheiset kehittämis- ja toimeenpanoehdotukset yritysten kyberturvallisuuden johtamisessa, julkaistaan maaliskuun alussa järjestettävässä kolmannessa tapahtumassa osana Cyber Security Nordic 2022 (CSN2022) -tapahtumaa. Tapahtuman teema on ”Turvallisuus, vastuullisen yrityksen strategisena kilpailuetuna”.

Kurkkaa lisätietoa tapahtumista projektin sivuilta. 

Lähteet:

(1) The CEO’s Guide to Cybersecurity, September 2021. https://media-publications.bcg.com/BCG-Executive-Perspectives-CEO-Guide…

(2) (3) Martti Lehto, Jarno Limnéll, Tuomas Kokkomäki, Jouni Pöyhönen, Mirva Salminen, Kyberturvallisuuden strateginen johtaminen Suomessa, Maaliskuu 2018, Valtioneuvoston selvitys ja tutkimustoiminnan julkaisusarja 28/2018.

(4) Kim, J. (2017). Cyber-security in government: reducing the risk. Computer Fraud & Security, 2017(7), 8–11.

(5) Alashi S. A., Badi D. H. (2020) The Role of Governance in Achieving Sustainable Cybersecurity for Business Corporations, Department of Information Science, King Abdulaziz University, Jeddah, Saudi Arabia.