Vieraskynä | Tieto vähentää tuskaa

Kyberturva-asiantuntija ja hakkeri, puhuja sekä hallitusammattilainen. Nämä osaamisalueet harvoin yhdistyvät yhdessä henkilössä, mutta neuvonantajamme Henri Lindberg on poikkeus. Henri teroitti sormenpäänsä ja kirjoitti blogitekstin, joka haastaa pohtimaan toimintatapojamme ja ajatteluamme, kun puhutaan tiedolla johtamisesta fyysisen turvallisuuden saralla.

Tekninen tietoturvallisuus on viimeisten vuosikymmenten aikana päivittynyt kattavammaksi kyberturvallisuuden käsitteeksi ja noussut enenevissä määrin myös ylimmän johdon pöydälle. Tietojärjestelmien haavoittuvuuksien vaikutus yrityksen turvallisuuteen ja riskeihin on arkipäiväistynyt.

“Liiketoimintalähtöisen ja kustannustehokkaan kokonaisturvallisuuden rakentaminen edellyttää hyvää ymmärrystä riskeistä. Ymmärryksen muodostaminen vaatii faktapohjaista analyysia, jota teknisen tietoturvan osaamisella voidaan tukea. Ymmärtämällä harmaan sävyt ja mahdolliset kehityskohteet prosesseissa, kumppanien maturiteetissa, käytössä olevissa järjestelmissä tai arkkitehtuurissa, voidaan resursseja kohdistaa tarpeellisiin kohteisiin, oikea-aikaisesti.”

1) Tietoturva ry, Tiedote 04/2021

Katse näiden käsittelyssä on tyypillisesti suunnattu eteenpäin - kannattaako haavoittuvuuden juurisyy korjata vai riittääkö kompensoiva kontrolli, mikä aikataulu on riittävä, miten voimme ehkäistä vastaavat ongelmat tulevaisuudessa, kehittämällä prosesseja tai teknisiä kyvykkyyksiämme. 

Viestintuojaa ei tänä päivänä ammuta, vaan bug bounty -ohjelmilla kannustetaan globaaleja rivikansalaisia raportoimaan organisaatioiden Internet-järjestelmien heikkouksista. Asiat eivät olleet vielä näin itsestäänselviä 15 vuotta sitten, kun kirjoitin Tivin Analyytikon ikkunaan kirjoituksen otsikolla “Haavoittuvuuksientutkiminen on välttämätöntä liiketoimintariskien hallitsemiseksi”.

Tietotekniikan tuomien mahdollisuuksien myötä myös fyysisen turvallisuuden puolella ollaan suurten muutosten äärellä. Vaikka kiinteistöt eivät muutu Internet-nopeudella, liiketoiminta ja liiketoiminnan hyödyntävät tietojärjestelmät elävät tätä aikakautta - ketterät ja muutoksiin sopeutuvat toimintamallit ovat tulleet jäädäkseen.

Jos turvallisuustyössä ajattelu- ja toimintamallit eivät vielä ole Internet-aikakaudella, liiketoiminta tulee viemään ne sinne pysyäkseen kilpailukykyisenä. Taipuvatko esimerkiksi nykyiset kiinteistö- ja turvajärjestelmät, kulunhallinnan prosessit, toimintamallit ja käytännöt datalla johtamiseen?

Modernisoitumisen yhteydessä on odotettavissa, että näkyvyyden ja tilannekuvan parantuessa, uusia haavoittuvuuksia, heikkouksia ja väärinkäytöksiä paljastuu. Osa näistä kannattanee korjata, toisiin riittää täydentävät kontrollit ja joidenkin osalta riski voidaan hyväksyä.

Omat kokemukset niin teknisen turvallisuuden, liiketoimintajohtamisen kuin hallitustyöskentelyn saralla viime aikoina alleviivaavat sitä, että suunta ja katse on vain eteenpäin.

Toivon, että fyysisen turvallisuuden maailma pystyy ainakin osin seuraamaan teknisen tietoturvakentän umpihangessa hiihtämiä latuja ja hyödyntämään uutta informaatiota suoraan osana riskienhallintaa, ilman tarpeetonta juuttumista haavoittuvuuksiin, viestintuojiin tai niiden esille nostamiseen. 


Viitteet:
1) Tietoturva ry, Tiedote 04/2021 (campaign-archive.com)
2) Haavoittuvuuksien tutkiminen on välttämätöntä liiketoimintariskienhallitsemiseksi | Tivi

 

Julkaistu 15.3.2023.

Kirjoittaja Henri Lindberg on kyberturvallisuuden neuvonantaja, hakkeri sekä hallitusammattilainen ja lukeutuu myös Louhos Solutions Oy:n sijoittajiin osana T2AB.VC Oy:tä.