Katri Kolesnik
Feb 2, 2012

CISO, joka sanoo aina ”kyllä”

Kuluttajistuminen on ollut esillä hyvin monessa keskustelussa viime aikoina, ja yritykset ovat joutuneet miettimään, miten suhtautua työntekijöiden omien laitteiden käyttöön työtehtävien tekemiseen. Tietohallintoammattilaisten mielipide tästä tuntuu olevan vähintäänkin vastahakoinen etenkin, jos kyseessä on tietoturvasta vastaava henkilö

Niinpä kun liiketoiminta kysyy lupaa jonkun uuden laitteen käyttöönottoon, on tietohallinnon vastaus yleensä tyly ”ei”. Jos hyvin käy, asiakas saa myös perustelun: se ei käy, koska emme ole ehtineet testata laitetta, emmekä pysty takaamaan, että se toimii yrityksen tietoturvapolitiikan mukaisesti. Kuitenkin lopulta voi silti käydä niin, että tämä laite joudutaan – markkinavoimien paineesta – hyväksymään yrityksen työvälineeksi. Tosin siinä vaiheessa, kun hyväksyntä vihdoin ja viimein saadaan, kukaan ei enää haluakaan sitä, sillä markkinoille on tullut jo uudempi ja parempi laite. Toisaalta työntekijät ovat voineet ottaa laitteen käyttöön vakioitujen laitteiden rinnalle omin luvin (nk. varjo-IT ilmiö), ja näin tietohallinnolla on entistä huonompi mahdollisuus kontrolloida, mitä tietoja laitteella käsitellään ja millä tavalla.

Entäpä jos tietohallinto muuttaisikin taktiikkaa ja alkaisi kartoittaa ja testata markkinoille tulevien uutuuslaitteiden turvaominaisuuksia jo ennen kuin niistä tulee haluttuja työvälineitä? Tai vielä pidemmälle vietynä: mitäpä jos tietoturva-asiantuntijat yhteistyössä tietohallinnon kanssa kartoittaisivat liiketoiminnan todellisia (sic!) tarpeita jo etukäteen ja etsisivät ennakoivasti liiketoiminnalle sopivia ja sen toimintaa parhaiten tukevia välineitä tietoturvanäkökulmat huomioiden. Toisin sanoen, uutuusteknologiaan suhtauduttaisiin ensisijaisesti positiivisena liiketoiminnan kasvun mahdollistajana eikä potentiaalisena tietoturvariskinä.

Ensimmäisenä esteenä nähdään todennäköisesti resurssipula: mistä saadaan resursseja tällaiseen kun muutenkin jo juostaan jo jälkijunassa. Tästä herää kysymys, että kohdistuuko esim. yrityksen tietoturvasta vastaavien asiantuntijoiden aika oikeisiin asioihin. Onko järkevää käyttää näiden ihmisten aikaa verkkoliikennetapahtumien tutkimiseen sen sijaan, että jätettäisiin liikenteen monitorointi ja insidenttien hallinta toimittajien huoleksi? Näin yrityksen omat tietoturvaihmiset voisivat keskittyä liiketoimintaa tukevien ja tietoturvallisten ratkaisujen kehittämiseen. Tuloksena olisi parhaimmillaan win-win-tilanne sekä tietoturva- että liiketoimintajohtajalle: liiketoimintaihmiset saisivat käyttää uusimpia sekä liiketoimintaa parhaiten tukevia ratkaisuja tietoturvallisesti, ja tietoturvajohtaja pystyisi jo ennakkoon näkemään, mitä uusia laitteita ja ratkaisuja ollaan hankkimassa ja mahdollisesti ohjata näitä hankintoja jo etukäteen. Melko varmasti tällaiseen kehittämistoimintaan löytyisi paljon helpommin ymmärrystä ja rahaa myös talous- ja liiketoimintajohtajilta.

Olisipa hauska olla kärpäsenä katossa katsomassa tilannetta, jossa tietoturvajohtaja lähestyy liiketoimintajohtajaa kysyäkseen, haluaisiko hän kenties vaihtaa jo vanhentuneen laitteensa juuri markkinoille tulleeseen uusimpaan vekottimeen. Tässä tapauksessa ko. tietoturvajohtajan olisi varmaan parasta varmistaa ensin, että liiketoimintajohtaja on istumassa, ettei hän vaan pyllähdä takamukselleen pelkästä hämmästyksestä.

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.