Aito turvallisuus on arvokysymys liiketoiminnassa

Jos työskentelet tietoturvajohtajana, olet luultavasti joutunut pohtimaan tietoturvahyökkäyksille altistumisen taloudellista arvoa. Jos esimerkiksi yritykseesi tehtäisiin tietomurto kalastelukampanjan kautta, kuinka paljon yritys menettäisi varastettujen tietojen, laitteiden kunnostamisen, brändiarvon palauttamisen tai jopa lunnasvaatimusten kustannuksissa? Yhtiön hallituksen jäsenet haluavat tietää tämän arvion varsinkin ennen lisärahoituksen myöntämistä tietoturvatekijöihin.

Organisaatioiden kohtaama runsas määrä tietoturvahyökkäyksiä vaatii myös, että turvallisuudesta vastaavat henkilöt ovat vuorovaikutuksessa myös palveluntoimittajiin ja vaativat todisteita palvelun arvosta. Kun palveluntoimittajat antavat arvion, tietoturvajohtajien kannattaa kysyä myös kokonaisliiketoiminta-arvoa eikä pelkkää teknistä arvoa tai ratkaisun palautusta sijoitetulle pääomalle. On selvitettävä täsmällisesti, kuinka ratkaisu auttaa suojaamaan riskille alttiina olevaa liiketoiminta-arvoa.

Lähtöodotusten on muututtava

Rajoitamme liian usein hyötyjen realisoitumista koskevan keskustelun tuotteen hankintahetkeen, mikä on osittain ymmärrettävää. Tietoturvapalveluiden tuottajien kanssa keskusteleminen tai tietoturvakonferenssiin osallistuminen saattaa tuntua samalta kuin markkinakojujen katseleminen, kun näet tuotteita, joita et tiennyt edes tarvitsevasi, myytävän ja ostettavan sellaisten ominaisuuksien ja lupausten perusteella sellaisista lopputuloksista, jotka ovat paljon todellisuutta suurempia.

Vasta kun saat uuden sähköpostisuodattimen tai palomuurin itsellesi ja yrität käyttää sitä, huomaat, ettei se toimi täysin luvatulla tavalla. Olemme kaikki kokeneet tämän. Jo vuosikymmenten ajan olemme ostaneet tietoturvaratkaisuja ja asentaneet niitä vain huomataksemme, että liian suuret lupaukset tuotteen tai palveluratkaisun tehosta eivät täyty.

Tämän vuoksi tietoturvajohtajan tulisi jatkuvasti tarkastella tehtyjen hankintojen arvoa ja muuttaa lähtöodotuksiaan realisoitujen tai jatkuvien hyötyjen perusteella. Lisäksi tämä osoittaa, että tietoturvaratkaisujen täytyy tarjota enemmän kuin pelkät perusominaisuudet tai -toiminnot ja osoittaa tarjoamansa arvon riskille altistumisen suojaamisen mukaisesti.

Riskille alttiina olevan arvon mukainen ajattelu

Tietoturvariskejä mietittäessä on arvioitava, kuinka riskille alttiina oleva arvo määritellään. Palvelut, joissa riskille alttiina oleva arvo otetaan mukaan arvioon, mahdollistavat päätöksentekijän ymmärtävän tärkeitä asioita, kuten millaisia uhkia tuote tai palveluratkaisu pyrkii estämään, kuinka usein näitä uhkia esiintyy organisaation alalla ja millainen on organisaation nykyinen kapasiteetti tunnistaa, vastata ja ehkäistä kyseisiä uhkia.

Esimerkiksi aito kalasteluhyökkäyksiä vastaan tehty ratkaisu tukee kaikkia kolmea tekijää. Se auttaa mittaamaan ensisijaisten suojausten ohi pääsevien kalasteluhyökkäysten tyypin ja yleisyyden. Se vahvistaa käyttäjätietokantojen mahdollisuutta tunnistaa ja raportoida aktiiviset uhat. Lisäksi se auttaa sinua näkemään työntekijöiden käytössä olevan datan ja resurssien arvon ennen kuin niihin vaikutetaan negatiivisesti kalasteluhyökkäyksen kautta.

Riskille alttiina olevan arvon analyysimalli kalastelun vastaisiin ohjelmistoihin mahdollistaa sen, että tietoturvajohtajat voivat visualisoida ja mitata aktiivisten kalastelu-uhkien suhteellista alttiusriskiä, ensisijaistaa tietoturvaohjelmiston toimintoja objektiivisen riskianalyysin perusteella ja keskittää kriittiset resurssit ja ajan sinne, missä sitä tarvitaan kaikkein kipeimmin.

Lopeta arvuuttelu ja tunnista riskit

Kun päätöksentekijät eivät tee tämäntyyppistä jatkuvaa analysointia, he ovat ikävässä tilanteessa, jossa he joutuvat arvailemaan, mihin riskeihin kohdentua, eivätkä he voi varmistaa, että kriittisen datan ja resurssien turvaamiseksi tehdään riittäviä ja tehokkaita toimenpiteitä. Tällaista asemaa ei voi pitää realistisesti yllä. Riskien tunnistamisesta tulee yhä enemmän turvallisuuspäälliköiden, johtajien ja tietoturvajohtajien vastuu, jolloin heidän täytyy tutkia tarkasti tietoturvarakenteiden, koulutuksen, kolmansien osapuolten palveluiden ja konsultoinnin hankintoja.

Kun IT-osastojen budjetit ovat jatkuvan kiristyspaineen alla ja olemassa olevan tietoturvahenkilöstön käytön tehokkuus on maksimoitava, riskien arvon ymmärtäminen on kriittinen ominaisuus liiketoiminnassa. On aika päättää tietoturvaratkaisujen erottaminen liiketoiminnan arvosta. Tietoturvajohtajien täytyy vaatia tietoturvaohjelmistojen ja -palveluiden toimittajilta mahdollisuutta tehdä parhaimpia ratkaisuja omaan tiettyyn liiketoimintaympäristöön, mikä alkaa tarpeesta suojella yrityksen tuottoarvoa.