Perustuuko tietoturvabudjettisi arvauksiin vai tunnistettuihin riskeihin?

Perustuuko tietoturvabudjettisi arvauksiin vai tunnistettuihin riskeihin?

Riskit, jotka ymmärrämme

Päättäisitkö sinä vuodeksi etukäteen sijoitussuunnitelmasi, ei vain sijoitusten euromäärän vaan myös arvopaperin tarkkuudella? ”Ensi vuoden syyskuussa ostan Applea 1000 rahalla, lokakuussa Microsoftia 1000 rahalla…” Et varmaan, mutta miksi tämä kuulostaa järjenvastaiselta?

Kyse on tietysti siitä, että et voi etukäteen tietää mikä arvopaperi on ostamisen arvoinen ensi vuonna. Minkä kurssi on noussut jo liian korkealle, kenen business vetää ja kenen laahaa. Kysymys on riskistä ja siitä, että riski on aina sidottu aikaan.

Riski, joka nyt on pieni, voi ensi kuussa olla suuri ja päinvastoin. Koska arvopapereihin liittyy riskiä sisäänrakennettuna haluat ehkä suunnitella jatkuvan säästämisesi määrän ja tason, mutta et lukita sitä edes sillä tasolla, että säästätkö osakkeisiin, rahastoihin vai kenties johonkin ihan muuhun. Puhumattakaan yksittäisen arvopaperin valinnasta.

Riskit yritysten digitaalisessa toimintaympäristössä

Riskejä löytyy myös muualta, jos niitä vain haluaa nähdä. Tarkastellaan tarkemmin yritysten digitaalista toimintaympäristöä.

Monella organisaatiolla digitaalisuus ja ylipäätään IT on niin keskeinen osa yrityksen liiketoimintaa, että jos emailit eivät kulje, 365 ei päästä sisään, CRM sekoilee tai verkkokauppa on nutullaan, niin yrityksen liiketoiminta seisoo ja menetykset alkavat varsin pian. Digitaalinen toimintaympäristö pitää siis sisällään riskejä.

Kaikkea sitä toimintaa, millä näiden digitaalisten palveluiden jatkuvuus koitetaan varmistaa, kutsutaan usein tietoturvaksi. Tietoturva ja sen kehittäminen on osa yritysten liiketoimintariskien hallintaa. Siis riskien hallintaa.

Osaatko siis sanoa mitkä ovat vuoden päästä top 3 tietoturvariskiä, siis riskiä, jotka uhkaavat digitaalisten palveluittesi ja siten yrityksesi liiketoiminnan jatkuvuutta? Väittäisin, että et osaa.

Syy on sama kuin esimerkissä sijoituksista. Riskeille on luontaista se, että ne tulevat ja menevät, kasvavat ja pienenevät ajassa. Pahikset keksivät uusia keinoja huijata meitä, käyttämistämme palveluista löytyy uusia haavoittuvuuksia tai maailmantilanne voi muuttua ylipäätään entistä hullummaksi. Näidenkin riskien osalta on elettävä ajassa.

Riskit ja budjetointi

Miksi yrityksissä siis edelleen harjoitetaan sellaista kuin budjetointi? Budjetit laaditaan kalenterivuosille, ja ne perustuvat aina johonkin roadmappiin tai vastaavaan suunnitelmaan siitä, mihin rahat käytetään. Miksi näin pitkällä aikajänteellä halutaan lähes poikkeuksetta lukita sekä käytetyn rahan määrä että rahan käytön kohde eli riski, jonka korjaamiseksi raha käytetään? 

Suunnittelu ja budjetointi ovat tietysti tärkeitä, mutta nyt kun niitä kohta taas kuumeisesti rakennellaan, niin haastaisin miettimään ainakin seuraavia pointteja:

  • Mitä asioita kannattaa ja on mahdollista suunnitella yli vuosi etukäteen ja millä tarkkuudella?  Ajattelen, että vaikka muutto uusiin tiloihin tai uuden ERP:n osto tai muu vastaava kulu tai investointi, voi olla tällainen budjetoitava hanke. Nämä hankinnat tehdään, koska ne ovat joko välttämätöntä yrityksen toiminnalle tai parhaassa tapauksessa luovat uusia toimintamahdollisuuksia tai jopa kilpailuetuja. Väittäisin, että joustavampi suhtautuminen budjetointiin ja rahan allokointiin riskien mitigoimiseen toisi paljon hyötyjä, dynamiikkaa ja tehokuutta.
  • Mitkä asiat ovat liiketoimintasi jatkuvuuteen kohdistuvia riskejä, ja miten varaudut niiden hoitamiseen? Olisiko mahdollista arvioida riskejä pitemmällä aikavälillä karkeasti ja lyhyellä aikavälillä tarkemmin? Voisiko suunnittelukaudella varautua hoitamaan kulloinkin suurimmat riskit, lyömättä lukkoon hankkeen tarkkuudella mihin rahat vuoden aikana käytetään?

Väittäisin, että joustavampi suhtautuminen budjetointiin ja rahan allokointiin riskien mitigoimiseksi toisi paljon hyötyjä, tehokuutta ja parempaa tietoturvaa.

Ja aivan kuten sijoittaminenkin, myös riskien mitigointi eli tietoturva on pitkäjänteistä toimintaa. Tietoturvan johtamisella pitää olla selkeä sovittu suunta ja tavoite, samaan aikaan kun sen on elettävä ajassa ja reagoitava riskien muutoksiin ja kohdistettava akuutit toimenpiteet suurimpien riskien mitigointiin. Mutta tämä pitkän aikavälien suunnitelma on eri asia kuin budjetti. Kyse on myös arkkitehtuurisesta kehittämisestä, liiketoiminnan tukemisesta, asiakaskokemuksen ja käyttäjäkokemuksen parantamisesta ja vaikka kustannusten hallinnasta tietoturvan parantamisen yhteydessä.

Nyt on hyvä aika aloittaa toimimaan fiksummin

Jos olet saanut tarpeeksesi oikeiden ”sijoituskohteiden” eli hankkeiden arvaamisesta ensi vuodelle ja budjetin muodostamisesta tällaisen suunnitelman pohjalta, niin otapa yhteyttä. Voimme auttaa myös sinua.

Me emme nimittäin tyrkytä teknologiaa (ymmärtämättä mitkä teidän riskinne ovat) vaan haluamme auttaa mitigoimaan juuri teidän riskejä. Tai jos kaikki riskit eivät ole vielä tiedossa, niin autamme ensin selvittämään ne. Tähän mennessä olemme aina löytäneet myös ”en tiennytkään, että en tiennyt” -tyyppisiä riskejä.

Entistä fiksumpaa budjetointikautta toivottelee,

Antti

Antti Rajala

Antti Rajala