Luet nyt: Aalto Leaders' Insight: "Kyberturvallisuus on prosessi, joka ei koskaan pääty" – Aalto EE:n ohjelma lähestyy kyberturvallisuutta monitieteellisesti
Digitalisaatio Turvallisuus

"Kyberturvallisuus on prosessi, joka ei koskaan pääty" – Aalto EE:n ohjelma lähestyy kyberturvallisuutta monitieteellisesti

Kyberturvallisuus on organisaatioiden näkökulmasta yksi aikamme merkittävimmistä haasteista, johon liittyy paitsi taloudellisia myös sosiaalisia ja eettisiä kysymyksiä. Kyberturvallisuus on tärkeä osa joustavaa ja kestävää liiketoimintaa, sanoo Aalto-yliopiston kauppakorkeakoulun apulaisprofessori ja Aalto EE:n Diploma in Cyber Security -ohjelman kouluttaja Hadi Ghanbari.

Annika Rautakoura, 07.11.2023

|

Artikkelit

Read this in English

Tietojärjestelmät ovat sidoksissa toisiinsa ennennäkemättömällä tavalla. Tämä luo organisaatioille uudenlaista painetta panostaa kyberturvallisuuteen ja tätä kautta liiketoiminnan jatkuvuuteen ja luottamuksellisuuteen. Lähes kaikki yritykset ja organisaatiot nojaavat toiminnassaan erilaisiin IT- ja digitaalisiin palveluihin tuottaakseen omia palveluitaan, mikä altistaa ne kyberuhille.

"Yritykset eivät toimi tyhjiössä – olemme kaikki osa maailmanlaajuisesti levittäytyneitä verkostoja", toteaa Hadi Ghanbari, joka työskentelee apulaisprofessorina Aalto-yliopistossa sekä kouluttajana Diploma in Cyber Security -ohjelmassa.

Ohjelma on tarkoitettu kyberturvallisuusaiheiden parissa työskenteleville ammattilaisille, jotka kaipaavat työkaluja kyberuhkien keskellä navigoimiseen tämänhetkisessä toimintaympäristössä. Ohjelma soveltaa monitieteellistä lähestymistapaa, jolloin osallistujat perehtyvät aiheeseen erilaisista liiketoiminnallisista ja yhteiskunnallisista lähtökohdista.

Kyberturvallisuuden taitoja ja määritelmiä tulisi päivittää

Ghanbari on tehnyt empiiristä tutkimusta digitaalisesta innovaatiosta ja sen sosio-teknisistä osa-alueista. Hän opettaa maisteritason kursseilla muun muassa tietoturvan hallintaa, tietoturvallisten järjestelmien suunnittelua sekä digitaalisen innovaation eettisiä kysymyksiä

Hänestä on selvää, että yritysten tulisi päivittää käsityksiään kyberturvallisuudesta.

Yritykset varautuvat usein kyberturvallisuusuhkiin ottamalla käyttöön uusia teknisiä ratkaisuja, kuten tietomurtohälyttimiä tai viruksentorjuntaohjelmia, joilla kuitataan omaisuuden suojaaminen kokonaisuudessaan. Lähestymistapa on ongelmallinen kahdestakin syystä.

Tietoturvallisimmatkin verkostot ovat riippuvaisia käyttäjistään, ja käyttäjät voivat omalla toiminnallaan vaarantaa koko organisaation."

"Digitaalinen verkostoitunut maailmamme ei ole yksittäinen verkosto, jolla on selkeät rajat”, Ghanbari painottaa. Toisin sanoen verkkotoimintojen suojaaminen tämänhetkisessä toimintaympäristössä on erittäin vaikeaa.

Toiseksi: "Kyberturvallisuus on sekä sosiaalinen että tekninen kysymys. Tietoturvallisimmatkin verkostot ovat riippuvaisia käyttäjistään, ja käyttäjät voivat omalla toiminnallaan vaarantaa koko organisaation."

Apulaisprofessori huomauttaa, että viimeaikaiset raportit paljastavat huolestuttavat seikan: työntekijöiltä ja johtajilta puuttuvat kyberturvallisuuteen liittyvät taidot, jopa alkeelliset digitaidot.

"Yksi syy tähän on se, että kyberturvallisuus on perinteisesti nähty kovin teknisenä alueena, joka on kenties täysin ulkoistettu IT-osastolle", hän toteaa. Todellisuudessa asia vaatii moniulotteisempaa tarkastelua.

Kyberturvallisuus on olennainen osa digitaalisen joustavuuden ylläpitämistä

Ghanbari painottaa, että digitaalinen joustavuus ja sietokyky vaativat yrityksiltä panostuksia tietovarantojen, kuten järjestelmien ja tietojen, suojaamiseen. Näin yritykset voivat turvata toimintonsa ja tuottaa arvoa asiakkailleen jatkossakin. Organisaatiot, jotka toimivat kyberturvallisuuden edelläkävijöinä, eivät pidä kyberturvallisuutta erillisenä toimintona vaan sisällyttävät sen mukaan liiketoimintastrategiaan.

Tämä heijastuu myös organisaation rakenteeseen. Yrityksen tietoturva-asiantuntijoilla tulee olla suora viestintäyhteys johdon suuntaan, Ghanbari huomauttaa. Lisäksi hallituksen jäsenillä ja johtohenkilöillä on oltava ajantasainen käsitys organisaation tietoturvatilanteesta, riskeistä ja tietoturvan ylläpitämiseen vaadittavista toimenpiteistä.

Vastuu kyberturvallisuudesta ja organisaation omaisuuden suojaamisesta on viime kädessä johtajilla."

"Vastuu kyberturvallisuudesta ja organisaation omaisuuden suojaamisesta on viime kädessä johtajilla", hän sanoo.

Yritykset hyödyntävät kehittyvää älyteknologiaa ja tekoälyä suojatessaan tietojaan ja järjestelmiään, mutta samalla myös hyökkääjät valjastavat uutta teknologiaa käyttöönsä.

"Kyberturvallisuus on prosessi, joka ei koskaan pääty", Ghanbari muistuttaa.

Kyberturvallisuuden tutkimus, sosiaaliset ja eettiset puolet yhä tärkeämpiä

Vaikka kyberturvallisuustaidoissa on yleisesti parannettavaa, tietoisuus aiheesta kasvaa jatkuvasti.

Ghanbari huomauttaa, että kyberturvallisuuteen kohdistuva tutkimus ja sekä julkinen että yksityinen rahoitus ovat lisääntyneet. Hän uskoo, että aihe koetaan tulevaisuudessa entistä tärkeämmäksi.

"Johtajat asetetaan vastuuseen kyberturvallisuuteen liittyvistä päätöksistään, varsinkin EU-alueella, missä tietoturva ja tietosuoja ovat loppuun asti säädeltyjä."

Yksi tärkeä, joskin usein vähälle huomiolle jäänyt kyberturvallisuuden osa-alue on etiikka.

Kyberturvallisuuden edellyttämien taitojen lisäksi johtajilla on vastuu pohtia päätöstensä vaikutuksia sidosryhmiin ja yhteiskuntaan, Ghanbari sanoo. Diploma in Cyber Security -ohjelma antaa johtajille eväitä vastata kyberturvallisuusuhkiin ja hallinnoida riskejä omissa toimintaympäristöissään.

Yritykset, jotka suhtautuvat kevyesti henkilökohtaisten tietojen suojaamiseen, voivat hyvinkin nopeasti menettää asiakkaansa."

Kyberturvallisuuden etiikka tarkastelee esimerkiksi hyökkäysten psykologisia vaikutuksia yksilöille, mainenäkökulmia ja laillisia kysymyksiä. Kyberhyökkäysten vaikutukset ovat usein kokonaisvaltaisia – taloudellinen palautuminen ei poista hyökkäyksiin liittyvää inhimillistä kärsimystä, ja toisaalta mainehaitta nakertaa taloudellista suoriutumista.

"Yritykset, jotka suhtautuvat kevyesti henkilökohtaisten tietojen suojaamiseen, voivat hyvinkin nopeasti menettää asiakkaansa kilpailijoilleen", Ghanbari huomauttaa.

Diploma in Cyber Security -ohjelma tarjoaa kattavasti tietoa siitä, miten organisaatiosta tehdään kyberturvallinen ja miten ihmisiä ja organisaatiota johdetaan digitaalisessa liiketoimintaympäristössä sekä verkostoissa.

Tutustu Diploma in Cyber Security -ohjelmaan

Artikkeli on julkaistu ensimmäistä kertaa Aalto Leaders' Insightissa heinäkuussa 2022.


Palaa Aalto Leaders' Insight -pääsivulle

Löydä lisää luettavaa ja kuunneltavaa