Yritysjohto laiskottelee tietoturvassa
0
Konsulttiyhtiö Ernst & Youngin selvityksen mukaan yritysjohtajat tiedostavat tietoturvariskit, mutta eivät tee asioiden eteen tarpeeksi. Toimet keskittyvät ulkopuolisiin uhkiin.
Ernst & Young julkaisee torstaina tietoturvaselvityksen, johon vastasi 1233 yritystä 51 maasta. Tuloksien mukaan yritykset investoivat innokkaasti tietoturvateknologiaan, mutta eivät ole valmiita kiinnittämään ensisijaista huomiota henkilöstöönsä.
"Toimet keskittyvät organisaatioiden ulkopuolisiin tietoturvauhkiin, vaikka suurimmat tietoturvariskit tulevat organisaatioiden sisältä. Useinkaan väärinkäytöstapaukset eivät tule edes yritysjohdon tietoon", Ernst & Youngin tietoturva-asiantuntija Ari Väisänen sanoo.
Johdolle raportointi harvinaista
Tutkimuksen mukaan yritysjohtajat ovat kyllä aiempaa tietoisempia riskeistä, mutta eivät tee tarpeeksi asioiden eteen.
Yritykset pitävät käyttäjien tietoturvatietoisuuden puutetta merkittävänä riskinä. Silti vain 28 prosenttia vastaajista sanoo käyttäjien tietoisuuden nostamisen olevan keskeinen kehityshanke tänä vuonna.
Väisäsen mielestä tietoturva pitäisi nähdä kilpailutekijänä, eikä pelkkänä kuluna. "Asennemuutoksen pitää olla lähtöisin ylimmästä johdosta ja hallituksesta", hän sanoo. Vain 20 prosentissa yrityksistä tietoturva on ylimmän johdon vastuulla ja lähes 70 prosentissa yrityksistä johto ei saa säännöllisesti raporttia tietoturvatilanteesta.
Tietoturva muuttunut haasteellisemmaksi
Ernst & Young teki ensimmäisen tietoturvaselvityksensä 11 vuotta sitten. Väisäsen mukaan ainakin yksi asia on säilynyt muuttumattomana. "Edelleenkin yrityksissä tehdään asioita vasta, kun jotain ikävää tapahtuu. Näin on ajateltu jo vuodesta 1993", Väisänen moittii.
Vuosien varrella yritysten toimintaympäristö on muuttunut lisääntyneiden kumppanuuksien ja ulkoistusten myötä entistä hajautetummaksi. Väisäsen mukaan tietoturvan varmistaminen on muuttunut samalla entistä haasteellisemmaksi. "Yritykset voivat ulkoistaa työtä, mutta ne eivät voi ulkoistaa tietoturvaan liittyvää vastuuta. Pelkkä luottamus kumppaniin ei riitä, vaan yrityksen on vaadittava korkeampaa tietoturvaa kumppaneilta".
Tuloksista käy ilmi, että 80 prosenttia yrityksistä ei tarkista ulkoistuspalvelun tarjoajan tietoturvapolitiikan yhteensopivuutta lain kanssa. Oman tietoturvapolitiikan kanssa yhteensopivuus jää tarkistamatta 70 prosentilta yrityksistä. (digitoday)
