Howden Finland

Tietoturvallisuuden kehittäminen ja kyberriskien hallinta on tänä päivänä monen yrityksen intresseissä. Kybervahinkoja tapahtuu päivittäin, mutta onneksi myös kyberriskeihin on mahdollista varautua vakuutuksella. Ennen kuin vakuutuksen voi hankkia kyberturvallisuuden täydentäväksi osaksi, täytyy muutamia pääkohtia olla mietittynä ja valmisteltuna.

Tärkeä lähtökohta on tehdä kyberturvallisuusstrategia, jossa määritellään kuinka kyberturvallisuutta edistetään ja toteutetaan organisaatiossa. Strategiassa käydään läpi mitkä yrityksen toiminnassa ovat sellaisia kriittisiä osa-alueita, jotka altistuessaan kybertapahtumalle voisivat aiheuttaa suurimmat vahingot. Strategiassa rakennetaan myös selkeä toimintasuunnitelma ja askelmerkit siihen, miten riskejä vastaan varaudutaan sekä miten ne ehkäistään.

Havaitse ja tunnista riskit

Kyberturvallisuusstrategiassa laitetaan riskienhallinnan prosessit kuntoon. Organisaation tulee määrittää itselleen relevantit riskiskenaariot eli tunnistaa ne olemassa olevat riskit, jotka voivat toteutua sekä millaisen vahingon ne voivat organisaatiolle aiheuttaa. Tämän lisäksi on tärkeää pystyä seuraamaan riskejä sekä niiden kehitystä, ja riskejä pitää kyetä myös hallitsemaan työkalujen ja toimintamallien avulla. Organisaation omaa henkilöstöä on koulutettava säännöllisesti tunnistamaan riskit, sillä kiireessä ja enempää ajattelematta, esimerkiksi vain epäluotettavasta lähteestä tulleen sähköpostin linkkiä klikattaessa koko yrityksen tietoturva saatetaan vaarantaa. Tärkeää on myös rajata henkilöstön käyttöoikeuksia järjestelmiin, jotka sisältävät kriittistä tietoa. Järjestelmien tulisi olla ajan tasalla ja niitä tulisi pitää yllä uusimmilla ohjelmilla, jotta haavoittuvuudet voidaan estää.

Yksi riskitekijä organisaation toiminnan turvaamiselle on myös alihankkijat ja niiden tietoturvan taso. Usein keskitytään oman  organisaation tietoturvan varmistamiseen, mutta jätetään huomioimatta riippuvuudet ja linkit alihankkijoiden järjestelmiin. Organisaation tulisikin arvioida riskit alihankkijaa mahdollisesti kohtaavan kybertapahtuman varalta, ettei se vaaranna omaa liiketoimintaansa. Järjestelmissä olevan datan osalta tulee määritellä, hallinnoidaanko sitä itse vai alihankkijan toimesta, ja kenen vastuulla on, että tiedot pysyvät turvassa.

Ennakointi on kaiken a ja o

Kun yrityksessä on määritelty riskitekijät, jotka toteutuessaan voisivat aiheuttaa merkittävää vahinkoa toiminnalle, voidaan vahinkoja pyrkiä ehkäisemään ennen kuin mitään ehtii tapahtua. On tärkeää tunnistaa mahdolliset muutokset ja poikkeamat ja määritellä mistä niissä on kyse, jotta osataan reagoida mahdolliseen uhkaan.  Jos pahin mahdollinen pääsee kuitenkin tapahtumaan, on oltava valmiit kirjalliset toimintamallit, joilla minimoidaan vahinko mahdollisimman pieneksi. Toimintamalleja on myös hyvä harjoitella säännöllisesti ennakkoon, jotta pystytään toimimaan tilanteessa nopeasti sekä taata toiminnan jatkuvuus parhaalla mahdollisella tavalla.

Johdon tuettava kyberturvallisuuden jatkuvaa kehittämistä ja varautumista vahinkoihin

Organisaatiolla tulee olla hyvä kokonaiskuva omasta riskipositiostaan ja varautumisestaan, jotta pystytään määrittelemään liiketoiminnan keskeytyksestä aiheutuvan vahingon suuruus. Lainsäädäntö tuo myös omat vaateensa ja määrittelee yrityksen toimintaa tietoturvallisuuden näkökulmasta. Organisaation tulee pystyä luomaan käytänteet, jotta pystytään omalla toiminnalla vastaamaan regulaatioihin ja olemaan sääntelyn mukainen. On kuitenkin hyvä muistaa, että vaikka prosessit, resurssit ja vaateet olisi huomioitu, mutta yrityksen johto ei olisi sitoutunut kyberturvallisuusohjelman toteuttamiseen ja jatkuvaan kehittämiseen, strategia ei toteudu.

Kybervakuutuksen hankinta osana riskienhallinnan toteuttamista onkin viime aikoina noussut korostetulla tavalla johdon vastuuasiaksi. Hallituksen jäseniä on myös haastettu vastuuseen siitä, että he ovat tietoisesti jättäneet varautumatta kyberriskeihin, vaikka se olisi ollut mahdollista. Vakuutuksella voidaan täydentää yrityksen kyberturvallisuutta sekä kattaa kustannuksia, joita voi aiheutua liiketoiminnan keskeytyksestä, asiantuntija-, laki-, PR- ja muista ylimääräisistä kuluista, vastuukysymyksistä sekä ikävimmissä tapauksissa myös kiristystilanteista. Vakuutus pitää huolen siitä, että vaikka vahinko realisoituu, organisaatiosi ei lamaannu.

Ota yhteyttä

Juho Heikkinen asiakaspäällikkö, yritykset
kybervakuutukset ja Financial lines
p. +358407544547
Kuinka voimme auttaa?

    (*pakollinen kenttä)

     

    Ota yhteyttä