Viisi kysymystä tietoturvallisuudesta, vastaajana Mika Lindberg

Opsec Oy on kyberturvallisuuden asiantuntijayritys, joka tuottaa yrityksille tietohallinnon, tietoturvan ja tietosuojan johtamis- ja asiantuntijapalveluita.  Into Securityn Ville Koskinen, Niki Klaus ja Tatu Suhonen toimivat auditoijina Opsecin ISO 27001 -sertifioinnissa. Viralliset auditoinnit teemme tytäryhtiömme Into Certification Oy:n kautta. Yhteistyö sujui erinomaisesti ja luottamuksen hengessä – ja ISO 27001 -sertifikaatti myönnettiin.

Haastattelimme liiketoimintajohtaja Mika Lindbergiä, jolla on takanaan vaikuttavat 25 vuotta IT-alalla. Mika on toiminut urallaan monipuolisissa rooleissa teknisestä asiantuntijasta projektipäällikköön, kouluttajasta kyberturvallisuuden asiantuntijaksi. Nyt hän toimii Opsecissa sekä liiketoimintajohtajana, mutta myös tietoturvapäällikkönä. 

Mikan erityisosaamista ovat riskienhallinta, tietoturvan hallintajärjestelmät (ISMS) ja käytännön tietoturvaratkaisut. Hänellä on alan arvostetuimmat sertifikaatit, kuten CISSP, CISA ja CISM. 

Esitimme Mikalle viisi kysymystä tietoturvallisuudesta, tässä hänen ajatuksiaan, ole hyvä!  

1. Tietoturvallisuudesta vastaavan työlista on pitkä. Mitkä ovat mielestäsi keskeisimmät asiat organisaation tietoturvallisuuden varmistamiseksi ja ylläpitämiseksi? 

Todellakin, tekemistä on paljon. Mielestäni aivan keskeistä on selkeä toimintamalli, joka lähtee johdon sitoutumisesta ja perustuu tunnistettuihin riskeihin. 

On myös päivän selvää, että tekninen suojaus ei yksin riitä. Hallittu kokonaisuus syntyy kolmesta asiasta:  

• jatkuvasta henkilöstön koulutusta ja tietoisuuden vahvistamista,
• ajantasaisista prosesseja tietoturvatyöhön
• sekä konkreettisista toimintaperiaatteista IT:n ja liiketoiminnan tasolla.

Korostan asiakkaillemmekin sitä, että tietoturvan ja liiketoiminnan yhteys täytyy rakentaa näkyväksi eikä sitä tule piilottaa IT-osastolle.

2. Tietoturvallisuuden varmistaminen on yhteispeliä. Miten hyvin toimiva yhteistyö tietoturvakysymyksissä liiketoiminnan ja IT:n välillä kanssa rakentuu parhaiten? Mikä tekee tietoturvatiimistä hyvän kumppanin koko organisaatiolle?

Toimiva yhteistyö syntyy yhteisymmärryksestä, jatkuvasta keskustelusta ja yhteisistä tavoitteista. Nämä kaikki ovat tärkeitä yhteistyötä rakennettaessa. 

Liiketoiminta antaa tavoitteet ja realiteetit, joihin IT etsii ratkaisut. Tietoturvatiimin rooli on sitten tulkata nämä kaksi kieltä toisiaan ymmärtävään muotoon. Summaisin tämän näin – osaava tietoturvatiimi:

• viestii selkeästi ilman pelottelua mutta realiteetit huomioiden, 
• tarjoaa ratkaisuja, ei pelkkiä ongelmia, ja 
• toimii johdon strategisena tukena. 

3. Miten tietoturvainvestointien arvoa ja hyötyjä voi perustella johdolle? Mitä mittareita onnistumisen osoittamiseen löytyy?

Johdon kanssa puhutaan oikein käsittein eli riskeistä, jatkuvuudesta ja luottamuksesta, eikä esimerkiksi palomuureista ja konfiguraatioista. Tällainen teknopuhe menee ohi korvien. 

Hyviksi koettuja mittareita ovat esimerkiksi nämä neljä:  

1. havaittujen poikkeamien määrä ja reagointinopeus,
2. auditointien tulokset ja kehityskohteiden sulkeutuminen,
3. asiakas- ja kumppaniverkostojen luottamustaso (esim. vastuullisuusarvioinnit),
4. laadukkaan tietoturvatyön mahdollistamat kaupalliset toimet.

Tärkeää on myös muistaa raportoida tietoturvasta liiketoimintatermein eli millainen uhka saatiin estettyä, millainen keskeytys vältettiin, miten luottamus onnistuttiin säilyttämään, ja bonuksena kun hyvin käy, mikä uusi asiakkuus avautui.

4. Tietoturvavaatimukset ulottuvat myös organisaation ulkopuolelle. Miten varmistatte, että myös pienet ja keskisuuret kumppanit ja alihankkijat noudattavat tietoturvavaatimuksianne? 

Kumppaneiden hallinta on helposti aliarvioitu tietoturvatekijä. Olenkin organisaatiossamme aina korostanut käytäntöjen selkeää sopimista. Muistilistani on seuraava: 

• minimissään tulisi käyttää vakiopohjaista tietoturvakriteeristöä, 
• edellyttää tiettyjä perustason käytäntöjä, joita nykyisin tarjoaa myös lainsäädäntö (muun muassa NIS2), ja
• dokumentoida nämä sopimuksiin. 

Älä ulkoista riskiä alihankkijalle huomaamattasi, vaan pikimminkin delegoi tehtävä, ja säilytä vastuu siitä mitä et voi ulkoistaa.  Viime kädessä kannat aina vastuun itse.  

5. Kerro vielä lopuksi oma suosikkikehityskohteesi tietoturvallisuuden alueella vuodelle 2025. 

Tälle vuodelle, jo pelkästään NIS2-direktiivin esille nostaman johdon vastuun kautta, nostaisin teemaksi johtamisen ja hallintamallien kehittämisen sekä ihmisten roolin vahvistamisen koulutuksen, toimintakulttuurin ja motivoinnin avulla. 

Näihin kannattaa panostaa viipymättä – toivotan onnea matkaan kaikille kollegoille!