keskiviikko 6. lokakuuta 2010

Onko kumppanisi suurin riskisi?

Globaalin taloustilanteen ailahdellessa viimevuosina, yritysten turvallisuustoimintojen jatkuvuus häilyy kahden voiman välissä. Tietoturvallisuuden merkitys yrityksen koko liiketoiminnan jatkuvuuden kannalta ymmärretään yritysjohdossa entistä paremmin ja sitä arvostetaan, mutta tiukka taloustilanne ja varovaisuus investoinneissa on tuonut mukanaan uusia haasteita.

Global State of Information Security Survey 2011® on kahdeksatta kertaa toteutettu maailmanlaajuinen yritysten tietoturvallisuustoimintojen tilaa selvittänyt tutkimus, joka perustuu lähes 13 000 johtavassa asemassa olevan henkilön vastauksiin yrityksensä tilasta. Viimevuosien heikko taloustilanne ja siitä selviämien on nostanut turvallisuustoimintojen merkityksen tärkeyttä yritysjohdon silmissä. Varovaisuus investoinneissa sekä kustannusten leikkaaminen on kuitenkin johtanut turvallisuustoimintojen heikkenemiseen, sekä kykenemättömyyteen varautua muuttuviin uhkiin. Yrityksissä on nipistetty esimerkiksi työntekijöiden taustaselvitysten tekemisessä, sekä turvallisuuskoulutuksen järjestämisestä henkilöstölle. Juuri tästä syystä huoli onkin enenevässä määrin kääntynyt yritysten yhteistyökumppaneiden ja toimittajien suuntaan. Kuinka pahasti taloustilanne on heitä heikentänyt ja onko kustannussäästöjä haettu väärästä paikasta, turvallisuuden kustannuksella? IT- ja turvallisuuspalveluita ulkoistettaessa kumppanin tunteminen onkin entistä tärkeämpää, sillä kumppanisi riskit voivat olla sinun riskejäsi.

  • Kuinka tietohallinto on järjestetty yrityksesi ja kumppanisi välillä ja kuinka toimintaa valvotaan? 
  • Onko kumppanisi ympäristöä ja toimintaprosesseja auditoitu. Tiedätkö kuinka ja missä tietojasi säilytetään. Tiedätkö ketä kumppanillasi on töissä ja onko heidän taustojaan tarkistettu? 
  • Ovatko kumppanisi toimintaprosessit linjassa yrityksesi turvallisuus-strategian tai lakisääteisten määräysten kanssa? 
Voimakkaimmin kasvavan ja huonoimmin yrityksissä huomioidun riskin aiheuttavat kasvavat sosiaaliset verkostot, sekä vuorovaikutteisemmaksi muuttuvat netin sovellukset. Mahdollisiin maineriskeihin tai tietovuotoihin voitaisiin varautua hyvinkin edullisin investoinnein koulutuksen ja käyttöpolitiikan avulla, mutta silti 77% yrityksistä ei ole varautunut uusiin uhkakuviin lainkaan. Toteutuneiden uhkien tekemät vahingot tiedetään kuitenkin paremmin ja tehostunut seurantaa paljastuu hälyttäviä lukuja: 20% yrityksistä raportoi toteutuneista taloudellisista menetyksistä, 15% tietovarkauksista ja 14% toteutuneista brändi- tai mainehaitoista. Yksityiskohtaisempaa tietoa tutkimuksesta löytyy alta ja koko englanninkielisen dokumentin voi ladata osoitteesta http://www.pwc.com/giss2011 

Investoinnit ja budjetit: Tasapainoilua varovaisuuden ja optimismin välillä.


Investointimahdollisuudet ovat tiukassa. Lähes puolet vastanneista kertoi lykänneensä tänä vuonna turvallisuuteen liittyviä ensisijaisen tärkeitä investointeja. Selkeä viesti kuitenkin on, että tilanne on muuttumassa ja erityisesti lyhyen aikavälin projekteihin investoidaan jo herkemmin. Innostavana merkkinä optimistisesta suhtautumisesta tulevaan kertoo myös se, että tulevan vuoden investointien kasvua povaa 52% vastanneista. Luku on suurin sitten vuoden 2005

Mahdollisuudet ja riskit: Trendit ovat liian voimakkaita huomiotta jätettäviksi.

Viimeisen kolmen vuoden aikana turvallisuustoimintoihin investoiminen on ollut voimakkaassa kasvussa. Yhä suuremmalla osalla yrityksistä on tehty esimerkiksi päätason strategia yrityksen tietoturvallisuuden takaamiseksi, toimintaprosessit poistuvien laitteiden hävittämiseksi, ympäristön auditointi teknisellä tasolla jne. Vuonna 2010 kasvu on kuitenkin pysähtynyt ja kääntynyt paikoin jopa laskuun. Erityisesti uusien työntekijöiden taustaselvityksen tekemiseen, sekä työntekijöiden tietoisuuden lisäämiseen turvallisuusuhkista kiinnitetään yhä harvemmin huomiota.

Tietoisuus toteutuneiden turvallisuusuhkien vaikutuksista liiketoimintaan tunnetaan kuitenkin paremmin kuin koskaan. Vuonna 2007 40% vastanneista ei tiennyt kuinka monta uhkatilannetta yrityksessä on ollut viimeisen 12kk aikana. Tänä vuonna vastaava luku oli 23%. Kun seuranta tehostuu, paljastuu hälyttäviä lukuja: 20% yrityksistä raportoi toteutuneista taloudellisista menetyksistä, 15% tietovarkauksista ja 14% toteutuneista brändi- tai mainehaitoista.

Paineita turvallisuustoimintoihin investoimiseen siis on. Ei vain niiden ylläpitämiseksi, vaan tehostamiseksi ja ydinliiketoimintaa paremmin tukevaksi. Selkeä muutos tänä vuonna onkin, että turvallisuustoimintojen seuranta on siirtymässä yhä tiukemmin pois IT-osastoilta ja operatiiviselta puolelta liiketoimintajohdolle ja yrityksen korkeimmille päättäjille.

Uudet painopisteet: Mistä löytyvät nousevat uhkatekijät?

Verkostoitumisen ja pilvipalveluiden yleistyessä tiedon suojaaminen eri sovellusten, verkkojen ja laitteiden välillä on yrityksille suuri haaste, mutta nopeimmin kasvava uhka tulee erilaisista sosiaalisista verkostoista. Suurimpia sosiaalisen median luomia riskejä ovat tietovuodot, mahdolliset maineriskit, laittoman materiaalin lataamisen aiheuttamat mahdolliset vastuutekijät, sekä identiteettivarkaudet. Vain harva yritys on varautunut näihin uhkiin riittävällä tavalla. 77% yrityksistä ei omaa minkäänlaista käyttöpolitiikkaa sosiaalisen median suhteen tai toiminnallisempien nettisovellusten käyttöön (web 2.0). Kyse on strategiasta, jonka käyttöönotto on lähes ilmaista!

63% yrityksistä ei myöskään omaa mielestään tehokasta toimintasuunnitelmaa uhkatilanteiden toteutumisen varalta. Lähes puolella vastanneista (46%) on myös olemassa vakuutus joka suojaa tietovarkauksilta ja väärinkäytöksiltä. 17% heistä oli hakenut korvauksia ja 13% oli saanut niitä.

Ei kommentteja:

Lähetä kommentti