Vaikka moni yritysjohtaja saattaa ajatella, ettei yrityksen johto voi realistisesti vastata tietoturvasta, on tämä näkemys vanhentunut ja vaarallinen. Lainsäätäjä määrittelee johdon vastuun tietoturvasta uudessa kybeturvallisuuslaissa.
Eduskunnassa käsiteltävänä oleva kyberturvallisuuslaki perustuu EU:n NIS2 -direktiiviin. Se asettaa yrityksen johdolle – mukaan lukien hallitus ja toimitusjohtaja – vastuullisen ja vaativan roolin kyberturvallisuuden riskienhallinnassa. Johdon on tunnettava yrityksen tietoturvan nykytila, riskit ja tarvittavat toimenpiteet näiden riskien hallitsemiseksi. Laki tulee velvoitamaan myös johdon varmistamaan, että kaikki vaaditut ilmoitukset ja toimenpiteet hoidetaan oikein ja ajallaan.
“Varautuminen on avain, syyttely ei auta”
Yhteiskunnallisessa keskustelussa syyttely tietoturvaloukkauksista on valitettavan yleistä. Tämä ei auta yrityksiä selviämään tietoturvahaasteista. Varautuminen ja ennakoiva toiminta ovat avainasemassa tietoturvariskien hallinnassa.
Miten tietoturvaa johdetaan?
1. Järjestelmällinen riskienhallinta:
Johdon on toteutettava ja valvottava järjestelmällistä riskienhallintaa. Tämä alkaa yrityksen tietoturvan nykytilan kartoituksella ja tavoitetilan määrittelyllä. Riskienhallinnan tulee olla jatkuvaa ja siihen on sisällyttävä säännölliset tarkistukset ja päivitykset. Riskiperusteinen tietoturvajohtaminen pitää huolen myös siitä, että tietoturvaan ei yli-investoida tai rakenneta liiketoimintaa haittaavia järjestelyjä. Hyvän tietoturvajuristin kokemus johtamisjärjestelmien rakentamisesta ja riskiperusteisista arvioista varmistaa, että yrityksen tietoturvakäytännöt ovat ajantasaisia ja tehokkaita. Johdon tehtäväksi jää tehdä päätöksiä, joilla varmistetaan, että tietoturvan kehittämiseen resursoidaan tarvittavat taloudelliset ja henkilöstöresurssit tavoitellun tason saavuttamiseksi.
2. Henkilöstön koulutus ja sitouttaminen:
Tietoturva ei ole vain IT-osaston tekninen asia, vaan se koskee koko henkilöstöä. Johdon on varmistettava, että kaikki työntekijät on koulutettu ja sitoutettu noudattamaan tietoturvakäytäntöjä. Tämä voidaan saavuttaa säännöllisillä koulutuksilla ja selkeillä ohjeistuksilla. Tietoturvajuristin tekninen ymmärrys ja kyky kommunikoida sekä teknisten että ei-teknisten työntekijöiden kanssa on avainasemassa tässä prosessissa.
3. Kumppaneiden hallinta:
Tietoturvaan liittyvät vaatimukset koskevat myös yrityksen alihankkijoita ja kumppaneita. Johdon on syytä varmistaa, että kaikki tärkeät hankintasopimukset sisältävät tietoturvaklausuulit ja että kumppanit noudattavat sovittuja tietoturvaprosesseja. Tietoturvajuristi voi auttaa sopimusten laadinnassa ja varmistaa, että ne täyttävät kaikki lakisääteiset ja standardien mukaiset vaatimukset.
4. Kriisinhallinta:
Tietoturvaloukkauksen tapahtuessa johdon on toimittava nopeasti ja järjestelmällisesti. Tämä sisältää vahinkojen arvioinnin, viranomaisten informoinnin ja tietoturvan palauttamisen. Kriisinhallinnassa kokeneen tietoturvajuristin rooli on keskeinen. Hän osaa nopeasti arvioida tilanteen, rajoittaa vahinkoja ja varmistaa, että yritys toipuu mahdollisimman nopeasti ja tehokkaasti. Ennakoiva varautuminen ja kriisinhallintasuunnitelmat ovat keskeisiä vahinkojen minimoimisessa.
Tietoturvajuridiikka erikoisalana ja in-house -juristien rooli
Tietoturvan hallinta ja siihen liittyvät oikeudelliset kysymykset ovat monimutkaisia ja vaativat perehtymistä sekä erikoisosaamista. Yhtiöoikeutta tai työoikeutta pääsääntöisesti tekevällä in-house juristilla ei välttämättä ole tarvittavaa tietoturvaosaamista tai aikaa keskittyä näihin asioihin riittävästi. Osaamisen hankkiminen voi siksi tuntua erityisen hankalalta myös yritysjohdolle. Tässä kohtaa tietoturvaan erikoistunut juristi voi olla korvaamaton apu.
Hyvä tietoturvajuristi omaa seuraavat keskeiset ominaisuudet:
- Kokemus johtamisjärjestelmien rakentamisesta ja riskiperusteisista arvioista: Tietoturvajuristilla tulee olla laaja kokemus tietoturvan johtamisjärjestelmien rakentamisesta sekä riskiperusteisista arvioista. Tämä kokemus mahdollistaa sen, että hän osaa auttaa yritystä kehittämään kattavan ja järjestelmällisen lähestymistavan tietoturvaan. Riskiperusteiset arviot ovat tärkeitä, sillä ne auttavat priorisoimaan toimenpiteitä ja resurssien käyttöä tehokkaasti.
- Tekninen ymmärrys ja koulutus: Hyvällä tietoturvajuristilla on riittävä tekninen ymmärrys ja koulutus, joka mahdollistaa sujuvan keskustelun teknisten tietoturvakonsulttien ja yrityksen oman IT-osaston kanssa. Tämä tekninen osaaminen on keskeistä, jotta juristi voi tulkita ja soveltaa teknisiä tietoturvavaatimuksia oikeudellisesta näkökulmasta ja varmistaa, että kaikki toimenpiteet ovat sekä lainmukaisia että käytännössä toteutettavissa.
- Kokemus kriiseistä ja niiden hoitamisesta: Tietoturvajuristin kokemus erilaisten tietoturvakriisien hoitamisesta on korvaamatonta. Tämä kokemus auttaa ennakoimaan mahdollisia uhkia ja laatimaan tehokkaita varautumissuunnitelmia. Kriisien hallinnassa kokenut juristi osaa nopeasti arvioida tilanteen, rajoittaa vahinkoja ja varmistaa, että yritys toipuu mahdollisimman nopeasti ja tehokkaasti.
Yhteenveto
Yritysjohdon vastuulla on varmistaa, että yrityksen tietoturva on ajantasainen ja kattava. Tämä edellyttää järjestelmällistä riskienhallintaa, aktiivista perehtymistä ja jatkuvaa valvontaa. Jos hallituksen vuosikellosta ei vielä löydy tietoturva-asioita, nyt on viimeistään syytä kalenteroida tietoturvan tilan seuraaminen ja kehittäminen parii kertaa vuoden aikana hallituksen työlistalle. Lainsäätäjä on antanut selkeät ohjeet johdon vastuusta, ja niiden noudattaminen on ensiarvoisen tärkeää sekä yrityksen menestyksen että maineen kannalta. NIS2-direktiivin myötä tietoturvaloukkauksille on asetettu varsin kova hinta – hallinnolliset sakot mitataan miljoonissa.
Tietoturvajohtamista ei tulisi katsoa yksistään kulueränä tai keinona välttää hallinnolliset sakot. Oikein hallittu tietoturva toimii myös kilpailuetuna ja varmistaa, että yritys voi toimia luotettavana kumppanina ja turvallisena liiketoimintaympäristönä. Hyvän tietoturvajuristin ominaisuudet, kuten kokemus johtamisjärjestelmistä, tekninen ymmärrys ja kriisinhallintakokemus, ovat avainasemassa näiden tavoitteiden saavuttamisessa. Jos tietoturvaan erikoistunutta juristia ei löydy yrityksen sisältä, sellaisen palkkaaminen on tehokkaampaa kuin itse tekeminen. Ehkä tätä keskeisempää on se, että ulkopuolinen tietoturvajuristi saa tuloksia aikaan sovitussa ajassa. Asiat tulevat tehtyä ja yrityksen johdon on helppo jatkaa tietoturvan kehitystä hyvän perustan päälle.
