Varautuminen on maraton, ei 100 metrin juoksu

Lukuaika 2 min

Viimeaikaiset, erittäin ikävät käänteet Euroopan poliittisessa kentässä ja turvallisuudessa ovat nostaneet varautumisen ja siihen liittyvät toimenpiteet lähes kaikkien yritysten ykkösaiheeksi johtoryhmä- ja hallitustasoa myöten.

Tämä on heijastunut myös vahvasti Elisalle asiakkailtamme tulleina kysymyksinä ja toimenpidepyyntöinä. Samalla, kun olen tyytyväisenä seurannut yritystemme nopeaa reagointia äkillisesti muuttuneeseen riskiympäristöön, on mieleeni väistämättä hiipinyt ajatus siitä, että onko maamme yritysten ja muiden toimijoiden varautuminen rakennettu liiaksi luottamaan reagointiin, proaktiivisen riskiskenaarioihin ja niiden todennäköisyyteen perustuvan varautumisen sijasta.

Täydellinen proaktiivinen varautuminen ei tietystikään ole mahdollista, tai ainakaan taloudellisesti tarkasteltuna perusteltua, mutta silti – urheilutermejä käyttäen – varautumisen pitäisi muistuttaa enemmänkin maratoniin valmistautumista kuin 100 metrin pikajuoksusuoritusta. Varautuminen on monisyinen ja monimutkainen prosessi, mutta omasta roolistani asiantuntijapalveluidemme liiketoimintajohtajana haluaisin nostaa proaktiiviseen varautumiseen liittyen kolme teemaa. 

Henkilöstön osaamisen varmistaminen kouluttamisella

Yksi parhaimmista investoinneista, jota yritys voi tehdä, on investointi oman henkilöstön osaamispääoman ylläpitämiseen, laajentamiseen ja vahvistamiseen. Tämä paitsi laajentaa yrityksen tietopääomaa, usein myös parantaa merkittävästi työtyytyväisyyttä ja sitoutuneisuutta työnantajaan. Henkilöstön osaaminen on myös reagointikyvykkyyden varmistamista; kun mahdollisia riskiskenaarioita ja niiden realisoituessa vaadittavia toimenpiteitä harjoitellaan todenmukaisessa simuloidussa ympäristössä, tulevat vaaditut toimenpiteet ja toimintamallit tosi paikan sattuessa huomattavasti helpommin selkärangasta.

Erinomaisia työkaluja varautumisen näkökulmasta ovat esimerkiksi henkilökunnan yleiset tietoturvakoulutukset sekä hyökkäävän tietoturvan simuloidut Red team / purple team -harjoittelumallit. Lisäksi esimerkiksi jatkuvaluonteiset kohdistetut simuloidut kalasteluyritykset henkilöstön suuntaan ovat hyvä tapa pitää yrityksen työntekijät terveesti varpaillaan. Myöskään yrityksen teknisten asiantuntijoiden osaamisen ylläpitämistä ja kasvattamista ei tule väheksyä, sillä erityisesti tietoliikenneinfrastruktuurin teknologioilla on merkittävä rooli niin proaktiivisessa kuin reaktiivisessa varautumisessa. 

Oikean kumppaniverkoston luominen

Nykypäivän liiketoimintaa tukevien IT- ja ICT-ympäristöjen ylläpito ja kehittäminen vaatii yhä syvällisempää ja laajempaa osaamista. Tällaisen osaamisen hankkiminen ja ylläpitäminen organisaatiossa, jossa IT- ja ICT-palveluiden tuottaminen ei ole liiketoiminnan ydinkyvykkyyksiä, voi osoittautua hyvin hankalaksi tai jopa mahdottomaksi, ainakin, jos se pitäisi onnistua toteuttamaan taloudelliset realiteetit huomioon ottaen.

Tämän takia myös varautumisen näkökulmasta tarkasteltuna oikeiden ja luotettavien kumppaneiden löytäminen ja kattavan kumppaniverkoston rakentaminen on yksi avaintekijöistä onnistuneeseen varautumiseen tähdätessä. Oikein valitut kumppanit mahdollista esimerkiksi sen, että proaktiivista varautumista tehdään strategisella tasolla yhdessä kumppanien kanssa, mutta reaktiiviset toimenpiteet ovat lähtökohtaisesti kumppanien vastuulla. Tämä helpottaa ja parantaa erityisesti aikakriittisten varautumistoimenpiteiden laadukasta suorittamista.  

Infrastruktuurin ajantasaisuus

IT- ja ICT-infrastruktuuri nähdään yhä tänäkin päivänä monissa organisaatioissa pakollisena kulueränä, johon pyritään käyttämään mahdollisimman vähän rahaa. Niissäkin organisaatioissa, joissa rahan käyttö koetaan sentään investointina, on usein praktisessa toiminnassa investointien rahallisen määrän minimointi yksi määräävistä tekijöistä.

Investointeja mietittäessä investointien suuruutta tarkastellaan valitettavan usein hyvin yksioikoisesti ja yksiulotteisesti. Investointien rahallista arvoa pitäisi aina peilata niin niiden mahdollistaman potentiaalin realisoimista kuin riskipotentiaalin mitigointia vasten. Jos miljoonan euron investoinnilla pystytään mitigoimaan kahden miljoonan euron riski, on investointi jo pelkästään riskianalyysin näkökulmasta enemmän kuin perusteltu.  

On hyvä muistuttaa, että riskejä pitäisi aina käsitellä euroina, joissa hyvin kulmat suoriksi vedettynä voidaan sanoa, että riskin hinta lasketaan kaavalla ”Riskin hinta (€) = Riskin todennäköisyys (%) * Riskin kustannus sen toteutuessa”. Toki riskien toteutumisella on paljon muitakin kulmia, kuten mainehaitat ja luottamuksellisuus, mutta investointeja perusteltaessa yllä oleva laskentakaava on yllättävänkin toimiva.

Jos reaktiivisen varautumisen aikana huomataan, että organisaation infrastruktuuri on auttamatta vanhentunut ja se ei ole kykenevä tarjoamaan varautumisen vaativia kyvykkyyksiä ja toiminnollisuuksia, on usein aivan liian myöhäistä lähteä toteuttamaan laajamittaista uudistamisprojektia – erityisesti tämän hetkisessä teknologian laitesaatavuustilanteessa. Tämän takia infrastruktuurin ajantasaisuuden ja soveltuvuuden arviointi on yksi tärkeimmistä proaktiivisen varautumisen toimenpiteistä. 

Varautumisen kontekstissa kokonaisuus on usein enemmän kuin osiensa summa. Yllä esitetyt kolme osa-aluetta ovat vain pintaraapaisu siihen kaikkeen tekemiseen, jota yrityksen tulisi proaktiivisesti tehdä varmistaakseen tositilanteessa kykynsä myös tehokkaaseen reaktiiviseen varautumiseen. 

Lue myös:

Varaudu kyberhyökkäykseen – kyse ei ole jos, vaan milloin

Kyberturvallisuuden tärkeys korostuu poikkeusaikoina

Kyberturvallisuuden vahvistaminen suomalaisissa organisaatioissa

Tutustu Elisan Kyberturvapalveluihin sekä Elisan koulutuspalveluihin

Katso myös:

Tietoisku yrittäjille – kuinka varautua kyberuhkiin?

Kirjoittanut

Joni Oksanen
Liiketoimintajohtaja

Kirjoittaja työskentelee Elisan liiketoimintajohtajana vastuullaan Asiantuntijapalvelut ja IoT. Aiemmin hän on toiminut vuosikymmenen ajan teknisenä asiantuntijana ja omaa mm. CCIE, CCDE ja JNCIE -sertifioinnit.