Yksi viime vuosien puhutuin aihe on ollut quiet quitting, eli Yhdysvalloista rantautunut työelämän ilmiö, jossa työhön suhtaudutaan rennommin. Työntekijä suorittaa vain hänelle määrätyt työtehtävät, eikä senttiäkään enempää. Nyt ilmassa on merkkejä konsernitason quiet quittingista: tehdään, budjetoidaan ja investoidaan vain absoluuttinen minimi. Tämä trendi pakottaa pohtimaan, mitä minimillä on mahdollista saada nopeasti muuttuvassa maailmassa.
Pääomalla on tällä hetkellä suurempi kustannus, joten investointipäätöksiin suhtaudutaan suuremmalla harkinnalla. Rahan käyttäminen harkitusti, tarkoin punnitut investoinnit ja säästölinja eivät itsessään ole negatiivisia asioita, mutta kannattaako kaikesta säästää? Varsinkin kyberturvan kohdalla päätös olla tekemättä tarpeellisia investointeja muuttuu päätökseksi hyväksyä riskit tietoisesti.
Samaan tapaan, kuin hyvin alkaneen kasvavan liiketoimintasuunnitelman toteutuksen voi tukehduttaa riittämättömällä budjetoinnilla, voi myös kyberturvan vaatimustasosta jäädä auttamatta jälkeen.
Miksi tämä konsernitason quiet quitting sitten painaa mieltäni näin kevään kynnyksellä? Osittain sen vuoksi, että olen päässyt keskustelemaan tietoturvasta jokapäiväisten sidosryhmieni lisäksi myös joukon omien osa-alueidensa huippuasiantuntijoiden kanssa tehdessämme jatkoa Kyberrosvot-podcast sarjalle.
Podcastin äänityksissä kuultujen, tosielämän tapahtumiin perustuvien tapausesimerkkien kautta käy tehokkaasti selville se, kuinka raskaasti tietoturvariskit voivat realisoitua ja kuinka hyödyllistä pitkäjänteinen ja alati jatkuva parannus- ja kehitystyö on. Kyberuhkakenttä monimuotoistuu ja kehittyy jatkuvasti.
Hyökkääjien kyvyt, kyberrikollisuuden ammattimaistuminen, geopoliittiset riskit, keinojen monipuolisuus, hankintaketjujen tila, automaatio, tekoäly, deep fake, kvanttikoneiden tuomat mullistukset algoritmeihin ja inhimilliset haavoittuvuudet ovat vain muutamia esimerkkejä tästä.
Tämän myötä myös suojautumisen vaatimustaso nousee. Tämän tulisi kirittää yrityksiä ja organisaatioita oikeaan suuntaan, eli varmistamaan toimintojensa jatkuvuus suojautumalla entistä paremmin. Kyberuhkiin varautuminen kannattaa, sillä ennaltaehkäisy ja varautuminen ovat korjaamista ja palauttamista edullisempia.
Vastuu organisaation toiminnan turvaamisesta seuraa päättäjiä. Suunnitelmallisuus ja kulmahuoneen kyky viedä läpi pitemmän ajan kehityssuunnitelma määrittää huomisen voittajat. Varautumisstrategiassa onnistuminen on täysin mahdollista ja sitä edesautetaan myös kansainvälisellä tasolla.
Uusi NIS2 -direktiivi astuu voimaan lokakuussa. Tämä EU:n uusi direktiivi ottaa kantaa kriittisten alojen yritysten tietoturvaan. Aikaisempi, eli ensimmäinen NIS-direktiivi vaatii poikkeuksista ilmoittamista, mutta uudemman version myötä yritysten täytyy huolehtia myös tietoturvan käytännöistä. NIS2 asettaakin toimijoille uuden minimitason kyberturvallisuusriskien hallintaan ja lisäksi yrityksien täytyy satsata perustason kyberhygieniakäytäntöihin ja kyberturvallisuuskoulutukseen.
Kukaan ei pääse piiloon kyberuhkilta. Jo nyt tietoturvatekeminen on jo laajalti hyvää, mutta aina voi, ja usein myös on, velvollisuus parantaa. Tärkeimpänä podcastin nauhoitusten keskusteluista mieleeni jäi asenne, asiantuntijuus ja johtajuus sekä kyky selvittää, oppia ja ratkaista.
Kyberammattilaisten velvollisuus on olla valmiudessa tekemään vähän extraa, että pysymme askeleen uhkia edellä. Apua on saatavilla – yhteisö on suotuisa rohkeille ja rehdeille. Laitetaan yhdessä liiketoiminta nousuliitoon ja kyberrosvot ahtaalle valmistautumalla ja investoimalla tarvittavaan kybersuojaan.
Klikkaa kuuntelemaan Kyberrosvot-podcastia!
Blogi päivitetty 22.2.2024. Alunperin blogi on julkaistu 7.4.2023.
