Miksi johtajat ovat tärkeitä kyberturvallisuudelle?
Sisällysluettelo:
Esimiehillä on ainutlaatuinen rooli organisaatiossaan – ongelmien ratkaisemisessa, riskien hallinnassa ja ylimmän johdon ja virkamiesten välisessä vuorovaikutuksessa. Juuri johtajat muuttavat strategian toiminnalliseksi menestykseksi seuraamalla, motivoimalla ja johtamalla joukkueitaan. Ja johtajat tarjoavat myös kriittistä näkemystä komentoketjussa, jos jokin ei toimi. Joten pitäisi olla huolestuttavaa, että Chartered Management Instituten (CMI) tuore tutkimus löytyi Suurin osa (85 %) Yhdistyneen kuningaskunnan johtajista on huolissaan kyberuhkien lisääntymisestä.
Onneksi myös esimiehet voivat olla osa ratkaisua – auttamalla rakentamaan kybertietoista kulttuuria organisaatiossaan.
Yhdistynyt kuningaskunta ei ole suunniteltu turvalliseksi
Suunnitteluturvaa pidetään yhä enemmän strategisena välttämättömyytenä julkisen ja yksityisen sektorin organisaatioissa. Itse asiassa se on lähestymistapa, jota puolustetaan hallituksen sydän ja samalla tavalla edistänyt GDPR-sääntelyviranomaiset. Korkealla tasolla se tarkoittaa sen varmistamista, että jokaisessa IT- tai digitaalisen elementin liiketoiminnassa on alusta alkaen mukana riskipohjainen kyberturvallisuus. Yleensä kuitenkin tarvitaan suuria kulttuurimuutoksia ja tietoisuuden lisäämistä organisaatiossa, jotta se toimisi.
Tällä hetkellä Yhdistynyt kuningaskunta näyttää olevan kaukana turvallisesta suunnittelusta. Hallituksen Kyberturvallisuusrikostutkimus 2024 korostaa lukuisia haasteita, lukuun ottamatta sitä, että 50 prosenttia yrityksistä (nousu 70 prosenttiin keskisuurista yrityksistä ja 74 prosenttia suurista yrityksistä) on kärsinyt rikkomisesta viimeisten 12 kuukauden aikana. Sen paljastamia keskeisiä puutteita ovat mm.
- Alle kolmanneksella (31 %) yrityksistä suoritti kyberriskiarvioinnit viimeisen vuoden aikana. Ja vain kolmasosa (33 %) otti käyttöön tietoturvavalvonnan
- Vain 11 % yrityksistä arvioi toimitusketjun riskit
- Vain 30 prosentilla yrityksistä hallituksen jäsenet ovat suoraan vastuussa kyberasioista osana rooliaan, luku on pysynyt samana vuoden ajan.
- Vain 58 prosentilla keskisuurista yrityksistä ja 66 prosentilla suurista yrityksistä on virallinen kyberturvallisuusstrategia.
- Vain viidenneksellä (22 %) yrityksistä on suunnitelmat hätätilanteiden hallintaan
- Vain 41 % yrityksistä hakee tietoa tai ohjausta kyberturvallisuudesta organisaation ulkopuolelta, vuoden 2023 luvuista (49 %).
- Vain joka kymmenes on tietoinen kansallisen kyberturvallisuuskeskuksen toiminnasta 10 askeleen opastus (13%) ja Cyber Essentials (12%)
- Vain 18 prosenttia yrityksistä kouluttaa henkilöstöä
Tätä taustaa vasten ei ehkä ole yllättävää, että Yhdistyneen kuningaskunnan johtajat ovat huolissaan kyberuhkista. Loppujen lopuksi heidän organisaationsa näyttävät olevan huonosti valmistautuneita käsittelemään lisääntyvää kyberriskiä. Vaikka on rohkaisevaa, että 79 % väittää osallistuneensa kyberturvallisuuskoulutukseen tai -tietoisuusohjelmiin viimeisen vuoden aikana, vain kolme viidesosaa (59 %) sanoo, että heidän työnantajansa tarjoaa säännöllistä kyberturvallisuuskoulutusta kaikille työntekijöille.
Avain turvallisempaan ja tietoisempaan organisaatioon
Kuitenkin johtajilla voi olla ratkaiseva rooli asioiden palauttamisessa oikeille raiteille, sanoo Ian Campbell, DomainToolsin vanhempi tietoturvainsinööri.
"Johto määrittää päivittäisen sävyn ja prioriteetit, samoin kuin delegointi ja voimaannuttaminen. Nämä kaikki tarjoavat suuria kulttuurisia ja teknisiä mahdollisuuksia organisaation turvaamiseen”, hän kertoo ISMS.online-sivustolle. ”C-Suite ja johtajat asettavat sävyn; johto suorittaa sen pohjatasolla. Tämä asettaa johdon suoraan ja välittömästi vaikuttamaan etulinjan turvallisuuskulttuuriin."
Auktoriteettihahmoina johtajilla voi olla myös merkittävä psykologinen vaikutus työntekijöihin, mikä voi auttaa rakentamaan kybertietoista kulttuuria organisaatioissa, CybSafen toimitusjohtaja ja perustaja Oz Alashe väittää.
"Johtajilla on auktoriteettiasema organisaatiossa, mikä vaikuttaa auktoriteettiharhaan - psykologiseen periaatteeseen, jossa ihmiset noudattavat todennäköisemmin auktoriteettihahmona näkemänsä henkilön ohjeita", hän kertoo ISMS.online-sivustolle.
"Kun johtajat priorisoivat ja mallintavat hyviä kyberturvallisuuskäytäntöjä, työntekijät seuraavat todennäköisemmin esimerkkiä."
Siksi on huolestuttavaa, että vaikka johtajien tietoisuus kyberturvallisuudesta on paranemassa – 93 % väittää omaavansa "keskitason" tai "edenneen" käsityksen verkkoturvallisuuskäytännöistä - 80 % uskoo, että heidän digitaalisia taitojaan on edelleen parannettava.
Johtaa esimerkillä
Joten mitä organisaatiot voivat tehdä antaakseen johtajilleen mahdollisuuden edistää turvallisen suunnittelun kulttuuria? Ensimmäinen askel näyttää melko ilmeiseltä: varmista, että nämä johtajat ovat asianmukaisesti koulutettuja. Heidän tulee ymmärtää kyberkäyttöön liittyvät käsitteet ja parhaat käytännöt, kuten tietoisuus sosiaalisesta suunnittelusta, vahvojen salasanojen ja monitekijätodennuksen (MFA) tarve sekä paikannuksen merkitys. Heillä tulisi myös olla käytettävissään resurssit, työkalut, politiikat ja prosessit tietoisuuden levittämiseksi ja parhaiden käytäntöjen edistämiseksi.
Osa tästä johtuu Alashen mukaan esimerkin johtamisesta.
”Esimiehet ovat ainutlaatuisessa asemassa vaikuttamaan käyttäytymiseen, ei vain suoralla ohjauksella, vaan myös omilla toimillaan. Kun johtajat osoittavat hyvää suojauskäyttäytymistä – kuten ilmoittavat epäillyistä tietojenkalasteluviesteistä – he asettavat standardin, jota muiden tulisi haluta noudattaa”, hän selittää.
"Lisäksi johtajat voivat hyödyntää sosiaalista näyttöä, jossa ihmiset katsovat ympärillään olevien käyttäytymistä ohjatakseen omia toimiaan. Luomalla ympäristön, jossa turvallisuuskäytäntöjen noudattaminen on normi ja jota harjoitetaan näkyvästi, johtajat voivat auttaa luomaan kulttuurin, jossa turvallinen käyttäytyminen on oletusarvo eikä poikkeus."
DomainToolsin Campbell on samaa mieltä väittäen, että johtajien tulisi pyrkiä luomaan "luottamuksen ja kyselyn kulttuuri", jossa henkilökuntaa rohkaistaan ilmoittamaan epäilyttävistä tapahtumista, ja heitä kehutaan siitä riippumatta, mikä on lopputulos.
"Yhdistämällä tämä kannustimiin käydä turvallisuuskeskusteluja sen sijaan, että saarnattaisiin tietoisuutta ylimääräisenä, rahoittamattomana toimeksiantona, luodaan kokonaisvaltainen turvallisuusohjelma alhaalta ylöspäin", hän lisää. "Työntekijöiden valtuuttaminen kiinnittämään huomiota uusiin tapahtumiin ja kyseenalaistamaan on valtava askel eteenpäin."
Hän lisää, että johtajien tulisi myös toimia "lynchpinna" työvoiman, teknisen tuen ja turvallisuustoimintojen välillä.
"He ovat "supersolmu", joka voi – ja sen täytyy – välittää TechOpsille ja SecOpsille raportteja teknisistä ongelmista ja työnkulun kitkasta, vaikka he välittäisivät raportteihinsa kitkan syyt ja kuinka toimia paremmin järjestelmän sisällä. Campbell jatkaa. "Tämä viestintäaliverkko on erityisen tärkeä varjo-IT:n mittaamisessa ja vähentämisessä, joka on yksi suurimmista organisaation kohtaamista pinta-alauhkista."
Tämä ei ole helppo tehtävä edes sitoutuneiden ja dynaamisten johtajien kanssa. Kulttuurimuutos voi olla haastavaa ja vie aikaa. Pohjimmiltaan sen on aloitettava luottamuksesta, mikä tarkoittaa paluuta johtamisen perusteisiin sekä luotettavien suhteiden rakentamista ja ylläpitämistä tiimin jäsenten kanssa.
"Etsi oikeat ihmiset, valtuuta heitä ja rakenna siltä perustalta", Campbell päättää.
