Boardmanin ja Huoltovarmuuskeskuksen järjestämä yhteistilaisuus 23.10.2024 toi yhteen yritysjohtajat ja hallitusten jäsenet pohtimaan, miten kyberfyysinen turvallisuus vaikuttaa liiketoimintaan ja millaisia valmiuksia johdon on kehitettävä menestyäkseen tulevaisuudessa.

Woltin turvallisuusjohtaja Tomi Tuominen herätti puheenvuorossaan tärkeän kysymyksen: kuinka monessa yrityksessä on hallituksessa tai johdossa ihmisiä, jotka todella ymmärtävät tietotekniikkaa ja kyberturvallisuutta?

Teknologiajättinä tunnettu Wolt toimii 28 maassa ja on niin sanottu hyperskaalautuva yritys, mikä asettaa sen jatkuvien turvallisuushaasteiden eteen. Kyberturvallisuudesta ei kuitenkaan voida enää puhua vain teknisenä kysymyksenä – se on kriittinen liiketoiminnallinen haaste, joka voi pahimmillaan tuhota yrityksen, jos sitä hoidetaan huonosti.

Monessako yrityksessä johto ja hallitus todella ymmärtävät kyberturvallisuuden merkityksen?” Tuominen herätti kysymyksen puheenvuorossaan, joka käsitteli yritysten johdon roolia kyberturvallisuudessa. KUVA: JULIA RUOTSI

Tuomisen alustuksessa korostui se, kuinka tärkeää on, että johto ja hallitus ymmärtävät kyberturvallisuuden merkityksen osana yrityksen strategiaa ja tulevaisuutta. Tässä artikkelissa pureudumme siihen, mitä hallituksen ja johdon tulisi ymmärtää kyberturvallisuudesta, ja miksi se on kriittinen osa liiketoimintaa – ei vain kustannuspaikka.

Kaikki yritykset ovat teknologiayrityksiä

Tuominen avasi puheenvuoronsa muistuttamalla, että elämme maailmassa, jossa ”kaikki yritykset ovat teknologiayrityksiä.” Perinteiset paperilla ja kynällä tehtävät liiketoiminnot ovat historiaa. Tämä tarkoittaa, että jokainen yritys on myös alttiina teknologisille uhkille, ja siksi kyberturvallisuutta ei voida jättää yksin IT-osaston vastuulle. Johdon tulee olla tietoinen siitä, miten kyberturvallisuus kytkeytyy yrityksen päivittäiseen liiketoimintaan.

Tuomisen mukaan turvallisuus on kuin happi – niin kauan kuin sitä on, sitä ei juuri ajatella, mutta kun se loppuu, koko liiketoiminta pysähtyy. Tässä kontekstissa hallituksen ja johdon rooli on tukea kyberturvallisuuden integroimista liiketoiminnan kaikkiin osa-alueisiin – ei pelkästään nähdä sitä kustannuksena.

Tomi Tuomisen mukaan kyberturvallisuus ei ole vain tekninen asia, vaan keskeinen liiketoiminnan haaste, joka vaatii johdon sitoutumista ja strategista ajattelua. KUVA: JULIA RUOTSI

Turvallisuusorganisaation keskeinen tehtävä on tehdä hyökkäyksistä mahdollisimman kalliita ja vaikeita hyökkääjille. Tuominen nosti puheenvuorossaan esille konkreettisia esimerkkejä, miten vaikeuttaa hyökkäyksiä. Woltilla esimerkiksi Chromebookien käyttöönotto ja passkeys-teknologian hyödyntäminen vaikeuttavat merkittävästä hyökkäyksiä. Tämän tyyppiset valinnat eivät ole pelkästään teknisiä päätöksiä, vaan ne ovat osa koko yrityksen turvallisuuskulttuuria, joka johdon on hyväksyttävä ja tuettava.

Teknologiset valinnat ja investoinnit

Tuominen toi esille, kuinka tärkeää on ollut luoda malli, jossa kyberturvallisuus tukee liiketoiminnan kasvua ja kehitystä, eikä vain estä tai rajoita toimintaa. Woltilla tämä näkyy erityisesti teknologian investoinneissa: turvallisuusjohtaja on mukana päätöksissä, jotka vaikuttavat yrityksen teknologisiin valintoihin ja tulevaisuuden kestävyyteen.

Woltin esimerkki osoittaa, että teknologiset valinnat ovat strategisia päätöksiä, jotka vaikuttavat suoraan yrityksen tulevaisuuteen. Tuominen kertoi konkreettisen esimerkin siitä, kuinka väärin valitut teknologiat, kuten vanhentuneet ohjelmointikielet, voivat kasvattaa niin sanottua teknistä velkaa. Tekninen velka on kuin näkymätön kuorma, joka ajan kuluessa kasvaa ja vaikeuttaa toimintaa.

Hallitus ja johto ovat keskeisessä roolissa valvomassa, että yrityksen teknologia ja turvallisuusratkaisut ovat tulevaisuuden kestäviä. Woltin kohdalla tämä tarkoittaa esimerkiksi pilvipohjaisen infrastruktuurin valvontaa ja reaaliaikaista näkyvyyttä siihen, mitä yrityksen järjestelmissä tapahtuu.

Compliance vs. todellinen turvallisuus

Vaikka vaatimustenmukaisuus, kuten ISO-sertifioinnit, ovat tärkeitä, ne eivät automaattisesti suojele yritystä todellisilta uhkilta. Tuominen nosti esiin, että hyökkääjät eivät lue yrityksen tietoturvapolitiikkaa ennen hyökkäystä – he hyödyntävät heikkouksia, jotka vaatimustenmukaisuusauditoinnit eivät välttämättä paljasta. Siksi on kriittistä, että turvallisuusorganisaatio toimii myös proaktiivisesti ja käyttää esimerkiksi hyökkäyspolkukarttoja mallintaakseen mahdollisia hyökkäyksiä.

Boardmanin ja Huoltovarmuuskeskuksen yhteistilaisuudessa 23.10. yritysjohtajat ja hallitusten jäsenet keskustelivat, kuinka kyberfyysinen turvallisuus vaikuttaa liiketoimintaan ja millaisia taitoja johto tarvitsee menestyäkseen tulevaisuudessa. KUVA: JULIA RUOTSI

Tuomisen puheenvuoro Woltin kokemuksista korostaa selkeästi, että kyberturvallisuus ei ole pelkästään tekninen kysymys, vaan strateginen kysymys, jonka johdon ja hallituksen tulee ottaa vakavasti. Kyberturvallisuuden laiminlyönti voi vaarantaa yrityksen liiketoiminnan, ja sen huomioiminen päätöksenteossa mahdollistaa turvallisen kasvun ja kehityksen.

Hallitus ja johto, joilla on ymmärrystä teknologian ja turvallisuuden vaikutuksista liiketoimintaan, ovat avainasemassa varmistamassa yrityksen menestymisen ja kestävyyden. Kyberturvallisuuden tulisi olla jatkuvasti johdon agendalla, ja siihen tehtävät investoinnit ovat investointeja koko yrityksen tulevaisuuteen.