Dynaaminen yrittäjä, menestyskirjailija, globaali kyberturvallisuusasiantuntija ja johtavan kyberturvallisuusalan yrityksen perustaja Robert Herjavec tulkitsee digiteknologian trendejä. Robert Herjavec jakaa yrityksille myös tietoa siitä, miten ne onnistuvat suojaamaan tietonsa tämän päivän digitaalisessa ympäristössä.
Millaisia muutoksia olet nähnyt organisaatioissa ja niiden suhtautumisessa tietoturvallisuuteen kuluneen vuoden aikana?
Organisaatiot alkavat hiljalleen ymmärtää, mistä tietoturvallisuudessa on kysymys.
Käyttäjäidentiteettien suojaaminen ja käyttöoikeuksien hallinnointi yrityksessä on yksi turvallisuustiimien suurimmista haasteista.
On selkeä ymmärrys siitä, että prosessien ja ihmisten ohella ennakoiva verkkohyökkäyksiltä puolustautuminen edellyttää ymmärrystä olemassa olevista uhista ja siitä, että eri teknologiakerrosten tulee olla tasapainossa.
Valtion kyberturvallisuuteen osoittaman riittävän rahoituksen avulla saadaan uhkiin liittyvää arvokasta tietoa ja kehitetään osaamista. USA:n sanotaan usein olevan johtavassa asemassa mitä tulee kyberuhkien varautumiskykyyn ja teknologian käyttöönottoon, mutta myös muissa maissa on otettu isoja edistysaskeleita kolmansien osapuolten palveluiden käyttöönotossa (mukaan lukien hallitut turvapalvelut ja henkilöllisyyden hallintapalvelut), kehitteillä olevan teknologian käyttöönotossa sekä aloitteellisessa suhtautumisessa vaatimusten noudattamiseen. Kaikki nämä ovat askeleita oikeaan suuntaan.
Miten yritysten tulisi suhtautua tietoturvallisuuteen EU:n yleisen tietosuoja-asetuksen (GDPR) täytäntöönpanoa ajatellen?
Organisaatioiden tulee olla tietoisia siitä, miten direktiivi vaikuttaa niiden toimintaan ja asiakkaisiin. On olemassa vakavia viitteitä siitä, että direktiiviä ei ole aina noudatettu. Mikäli EU:n tietosuoja-asetuksen tietosuojasääntöjä ei noudateta, seurauksena on merkittäviä rangaistusseuraamuksia, esimerkiksi 20 miljoonan euron sakko tai 4 prosenttia yrityksen vuotuisesta liikevaihdosta, mikä on yleensä varsin tuntuva summa. Monet yritykset saattavat kuvitella, ettei tietosuoja-asetus kosketa heitä, mutta se ei pidä paikkansa. Asetus on aktiivinen muistutus siitä, että kaikkien yritysten, jotka käsittelevät EU:n alueella toimivan luonnollisen henkilön tietoja – yrityksen omasta kotipaikasta riippumatta – tulee arvioida verkkoturvallisuuttaan ennakoivasti suhteessa sen näkyvyyteen, hallintaan ja laajuuteen.
Virtuaalisen kryptovaluutta bitcoinin kohtalo on ollut viime aikoina mediahuomion kohteena. Yhä useampi ihminen alkaa ymmärtää lohkoketjuteknologiaa ja sen rahoitusalalle tarjoamia turvallisuusetuja. Miten yritykset voivat lohkoketjuteknologian avulla turvata käyttäjätiedot?
Kyberturvallisuusammattilaiset ovat keskustelleet paljon blockchain-teknologian eli lohkoketjujen hyödyntämisestä identiteetin ja käytön hallinnassa tulevina vuosina. Sen sijaan että erilaiset instituutiot valvovat yksilön eri tietoja, niitä valvoo ja hallinnoikin yksilö itse. Tämä antaa meille mahdollisuuden esittää vähimmäismäärän tunnistetietoja tapahtuman suorittamisen yhteydessä. Lohkoketju ei ole kaikille yrityksille suinkaan mikään ihmeratkaisu. Turvallisuusasioista vastaavien johtajien tulee tehdä kotiläksynsä ja tutustua yrityksen kanssa blockchain-teknologiaan syvällisesti. Uuden alustan käyttöönotto ja hyödyntäminen edellyttää siihen panostavilta keskisuurilta ja suurilta yrityksiltä huomattavia investointeja ja kokenutta henkilökuntaa.
Kun kyseessä on käyttäjän identiteetin ja arkaluonteisten tietojen suojaaminen, miten määrität identiteetinhallinnan ja käyttöoikeuden hallinnan välisen eron?
Identiteetin hallinta on ohjelma, joka määrittelee, kuka käyttäjä on organisaation sisällä. Se tekee yhteenvedon kunkin käyttäjän identiteettiin liittyvästä käyttöoikeudesta ja valvoo käyttäjän käyttöoikeuksia, käytön ajankohtaa sekä pituutta. Järjestelmänhallintaoikeudet voivat olla täydet tai rajoitetummat. Käyttöoikeuksien hallinnassa on kyse näiden eri tason oikeuksien myöntämisestä.
Kuinka luotettavien digitaalisten käyttäjä- ja käyttövaltuushallinnan (IAM) ratkaisujen hyväksyminen voi estää tai poistaa laajamittaiset rikkomukset?
Käyttäjäidentiteettien suojaaminen ja käyttöoikeuksien hallinnointi yrityksessä on yksi turvallisuustiimien suurimmista haasteista. Heikko käyttäjä- ja käyttövaltuushallinta (IAM) johtaa tietoturvaloukkauksiin, mikä aiheuttaa taloudellisia vahinkoja ja mainehaittoja.
Tarvitaan ratkaisu, joka yhdenmukaistaa identiteetin hallinnan ja luottamuksellisen käyttöoikeuksien hallinnan niin, että se on linjassa sekä yrityksen toimintaperiaatteiden että säännösten kanssa – ja ennen kaikkea estää yritystä joutumasta tuhoisan verkkohyökkäyksen kohteeksi.
Tulisiko yritysjohtajien olla perillä tietoturvallisuusasioista? Miksi?
Ehdottomasti tulisi. On yritysjohtajien vastuulla suojata liiketoiminta mitä tulee yrityksen taloudelliseen maineeseen, brändin maineeseen sekä ylipäätään asiakasuskottavuuteen. Kyberturvallisuus ei ole mikään IT:n erityisongelma. Se on liiketoimintahaaste, joka vaatii panostuksia, sitoutuneisuutta ja koulutusta koko yrityksessä. Tarvitaan hallintaa sekä johdossa että hallituksessa niin, että ne seuraavat organisaation eri osien etenemistä kyberturvallisuuteen liittyvissä aloitteissa. Ei voi olla niin, että keskijohto syyttää IT-osastoa mahdollisesta verkkohyökkäyksestä. Kaikkien on raportoitava siitä ja oltava siitä vastuussa.
Käännös: Tiina Sjelvgren