Ovatko yhtiöt arvioineet tietoverkkorikollisuuden riskit? Richard Chambersin blogi 20.8.2018
Blogissaan Richard Chambers (IIA President and CEO, CIA, QIAL, CGAP, CCSA, CRMA) jakaa henkilökohtaiset pohdintansa ja sisäisen tarkastuksen ammattiin liittyvät näkemyksensä. Tässä on ote hänen uusimmasta kirjoituksestaan.
Viimeksi kuluneiden kymmenen vuoden aikana kyberturvallisuus on muuttunut tietoturvapäällikön vastuulle jätetystä salaperäisestä tietotekniikkakysymyksestä hallituksen ja johdon tärkeäksi painopisteeksi. Edistyminen on kuitenkin ollut tuskallisen hidasta ongelmalle, joka kaikkien mielestä kasvaa nopeasti.
Raportit korkean profiilin verkkohyökkäyksistä ovat nyt rutiinia, eikä mikään organisaatio ole immuuni uhalle. Itse asiassa Privacy Rights Clearinghouse on dokumentoinut lähes kymmenentuhatta tietovuotoa tai tietorikosta vuodesta 2005 alkaen (pelkästään viime vuonna lähes tuhat tietovuotoa). San Diegon yliopiston oikeustieteellisen Public Interest Law -laitoksella sijaitseva ryhmä myöntää, että se ei pysty keräämään edes kaikkia onnistuneita verkkohyökkäyksiä. Silti se arvioi, että yli 11 miljardia asiakirjaa on murrettu siitä lähtien, kun se alkoi seurata verkkohyökkäyksiä.
Siitä huolimatta minun on myönnettävä, että olen huolissani joka kerta, kun luen verkkohyökkäyksistä, jotka olisi voitu välttää. Liian usein onnistuneisiin hyökkäyksiin liittyy ihmisen toimintaan liittyvät puutteet, eivät tekniikan syytä. Tämä on erityisen huolestuttavaa, kun otetaan huomioon, että tietoturvallisuus on kaikkien riskienhallinta- ja hallintatutkimusten kärjessä tai ainakin sen lähellä.
Aloitan mietteeni sillä, ruokkiiko kyberturvallisuuden joka päiväisyys jopa toimettomuutta tietyissä organisaatioissa. Ihmettelen, ovatko yritykset yksinkertaisesti heittäneet pyyhkeen kehään ja hyväksyneet sen, minkä he uskovat olevan ”väistämätöntä”. Huolimatta siitä, että he tietävät, että tietovuodot voivat tehdä uskomatonta taloudellista ja mainevahinkoa, organisaatiot eivät tee edes kaikkia kohtuullisia toimenpiteitä itsensä suojaamiseksi. Mikä pahempaa, pessimistinen tai fatalistinen näkemys hakkeroinnin mahdollisuudesta voi olla heikko tai valvonta tehotonta.
Kaksi viimeaikaista tutkimusta antaa lisäesimerkkejä kamppailuistamme tietoturvallisuudessa. Spencer Stuartin S & P 500 -yrityksen tekemästä tutkimuksesta kävi ilmi, että vaikka viime vuonna yhtiöiden hallitukset palkkasivat eniten uusia johtajia yli kymmeneen vuoteen, niin vain viidesosalla heistä oli tausta teknologiassa tai tietoliikenteessä. Tämä viittaa siihen, että vaikka tietoisuus tietoyhteiskuntaa ja tietoturvaa tuntevien johtajien tärkeydestä on kasvanut, se ei ole kuitenkaan johtanut käytännön toimiin.
Tietoturvapalveluyritys IOActiven uusin raportti tunnisti tietoturvahaavoittuvuudet lähes kaikilla suurimmilla verkkokaupan kaupankäyntialustoilla, joita se tutki. Haavoittuvuudet vaihtelivat vakavuuden mukaan salaamattomien salasanojen tallentamisesta ominaisuuksiin, jotka altistavat tietojärjestelmät haittaohjelmille.
Tämä kuvaa sitä jatkuvaa haastetta, jossa tietoturvaa ei ole integroitu organisaation kaikkiin osiin. Olen varma, että mikään näistä verkkokauppa-alustoista ei ole pyrkinyt tekemään itsestään hyökkäyksen kohdetta, mutta liian usein käyttömukavuuden tai asiakasystävällisyyden tarve aiheuttaa suuremman haavoittuvuuden riskin.
Jos johto antautuu tietoturvariskien suhteen, sisäisen tarkastajan ei ole varaa liittyä heihin. Meidän ei pidä vain varmistaa, että henkilöstöllämme on hyvät mahdollisuudet tarkastella tietohallinnon prosesseja ja valvontaa. Meidän on myös oltava tietoisia siitä, miten kyberturvallisuutta tarkastellaan koko organisaatiossa. Lyhyesti sanottuna osana sisäisen tarkastuksen tehtävää on arvioida organisaation verkkokulttuuria ja auttaa rakentamaan tietoturvallinen verkkokulttuuri.
Taloudellinen kyky saattaa olla haasteellinen. Esimerkiksi sisäisen tarkastuksen johtaja raportoi merkittävistä haasteista rekrytoida henkilöstöä, jolla on kyberturvallisuuden, tietosuojan, tiedonlouhinnan ja analyyttisyyden taitoja. Siitä huolimatta meillä on selkeät vaiheet varmistaaksemme, että meillä on oikeat ihmiset valmiina vastaamaan sidosryhmien vaatimuksiin ja nämä henkilöt ovat innovatiivisia ja ketteriä.
On tunnistettu kuusi tekijää, jotka tukevat oikeiden ihmisten rekrytointia, lahjakkuusstrategian kehittämistä, hakijoiden etsimistä erilaisista taustoista sekä tulevaisuuteen keskittyvää koulutusta ja kehittäminen. Mutta yksi tärkeimmistä tehtävistä on kuitenkin varmistaa, että sisäisen tarkastuksen koulutus ohjaa henkilöstön osaamisen laventamiseen.
Sisäisen tarkastuksen rooli kybersuuntautuneen kulttuurin rakentamisessa kulkee käsi kädessä kattavan resursoinnin kanssa. Sisäiset tarkastajat voivat myös arvioida, miten organisaation kulttuuri edistää tietoverkkojen turvallisuuden menestymistä ja epäonnistumisia.
Sisäisen tarkastuksen tulisi toimia yhteistyössä tietoturvapäällikön kanssa, jotta voidaan havaita puutteet organisaation kyberturvallisuuden valvonnassa ja käytännöissä. On erityisen tärkeää, että sisäisen tarkastuksen ja tietohallintojohtajien välinen suhde on terveellä pohjalla ja yhteistyöhaluinen. Loppujen lopuksi molemmat työskentelevät yhteisenä tavoitteena tehokas tietoturva.
Sisäisen tarkastuksen on kaikissa olosuhteissa annettava hallitukselle selkeä ja objektiivinen arvio siitä, miten kyberturvallisuus toteutetaan organisaatiossa ja tukeeko organisaatiokulttuuri sitä vai toimiiko sitä vastaan. Yhtä tärkeää on, että annamme varmuuden siitä, että organisaatio on valmis vastaamaan, jos tai kun tietoturvallisuutta loukataan.
Haluaisin tietää, miten arvioit organisaatiosi tietoturvakulttuuria. Kuten aina, odotan teidän kommentteja.