4 minuutin lukuaika 23 kesäkuuta 2020
Ulkoistusriskienhallinnan merkitys korostuu poikkeusaikoina – ovatko yrityksesi tiedot turvassa?

Ulkoistusriskienhallinnan merkitys korostuu poikkeusaikoina – ovatko yrityksesi tiedot turvassa?

Kirjoittajat

Henriikka Hoikka

EY Finland, Advisory, Cybersecurity consultant

Toimistoaikoina ajatukset kyberturvallisuuden strategisissa aspekteissa ja kyberturvallisuuden rakentamisessa luonnolliseksi osaksi jokaista modernia organisaatiota.

Essi Säilä

EY Finland, Advisory, Senior Consultant

Kyberturvallisuuden moniosaaja ja sertifioitu tietosuoja-asiantuntija. Musiikkia harrastava kulinaristi, joka viihtyy myös luonnon keskellä.

4 minuutin lukuaika 23 kesäkuuta 2020

Verkottuneessa ja digitalisoituneessa liiketoiminnassa kolmansien osapuolien varassa on yhä merkittävämpiä osia yritysten toiminnasta. Samalla kun toimitusketjut ovat entistä monimutkaisempia ja näkyvyys niiden osana oleviin toimijoihin voi olla puutteellinen, ulkoistusriskienhallinnan merkitys korostuu.

EY:n globaalissa Third Party Risk Management 2019–2020 -kyselytutkimuksessa 36 prosentilla vastanneista organisaatioista oli kahden viime vuoden aikana ollut kolmannen osapuolen takia tapahtunut tietoturvaloukkaus ja 47 prosentille vastanneista organisaatioista oli kolmannen osapuolen vuoksi aiheutunut erilaisia IT-palveluiden katkoksia.

Koronaviruspandemian aiheuttamassa poikkeustilanteessa kolmansien osapuolien, kuten toimittajien ja palveluntarjoajien, mukanaan tuomat riskit jäävät helposti huomiotta yritysten keskittyessä tilanteen vaatimiin käytännön järjestelyihin. Kyseisten riskien merkitys kuitenkin korostuu vallitsevan tilanteen luodessa taloudellista epävarmuutta ja otollista maaperää esimerkiksi kyberhyökkäyksille. Muun muassa Europol on raportoinut kyberhyökkäysten määrän kasvaneen koronaviruspandemian aikana. Mikäli hyökkäyksen kohteena olevalla palveluntarjoajallasi on hallussaan yrityksesi kriittistä dataa, tietoturvaloukkaustapauksessa hyökkäyksen negatiiviset vaikutukset eivät rajaudu vain kohteena olevaan organisaatioon vaan heijastuvat myös omaan liiketoimintaasi.

Vaikka sopimukset toimittajien ja muiden kolmansien osapuolien kanssa olisivat kunnossa, ne eivät itsessään ole riittävä riskivakuutus. Jos jotain ikävää tapahtuu, vähintään maineriskin joutuu yritys kantamaan aina itse. Pandemian aikana testataan yrityksesi kyvykkyys hallita toiminnan ulkoistamiseen liittyviä riskejä. Nyt on siis korkea aika varmistaa, että yrityksesi tunnistaa kolmansien osapuolien mukanaan tuomat riskit ja hallitsee niitä riittävällä tasolla. Mitä siis tulisi tehdä?

Neljä askelta toimivampaan ulkoistusriskienhallintaan
  1. Selvitä ensin, mitä keskeisiä kolmansia osapuolia yritykselläsi on ja mikä on niiden kriittisyys toiminnallesi. Huomioi myös muut kuin IT-palveluntarjoajat. Millä toimittajilla on hallussaan esimerkiksi yrityksesi kriittiseksi luokiteltavaa dataa? Aiheutuuko häiriöistä jonkin toimijan palveluissa yrityksellesi tietoturva- tai tietosuojariskejä? Luokittele kolmannet osapuolet niiden kriittisyyden perusteella.
  2. Arvioi kriittisten kolmansien osapuolien toimintaa uhkaavat keskeiset riskit ja osapuolien kyvykkyys vastata niihin. Onko palveluntarjoajalla riittävän vakaa taloudellinen tilanne jatkaa palveluidensa tuottamista, vaikka poikkeustilanne jatkuisi pidempään? Miten käy, kun globaali IT-palveluntarjoaja joutuu sulkemaan toimistonsa ja etäyhteyksissä on ongelmia? Pohdi, ovatko oman yrityksesi keinot hallita kyseisiä kolmansiin osapuoliin liittyviä riskejä riittävät vai onko tarpeen tehdä lisätoimenpiteitä riskien pienentämiseksi.
  3. Kun poikkeustilanne alkaa helpottua, jatka kriittisten kolmansien osapuolien seurantaa keskittyen tunnistettuihin riskeihin. Seuraa esimerkiksi toimijoiden taloudellista vakautta ja kyvykkyyttä jatkaa palveluidensa tarjoamista häiriöttä. Vie seuranta osaksi yrityksesi rutiinitoimintaa.
  4. Kun poikkeustilanne laantuu, vapautuu aikaa oman ulkoistusriskienhallinnan kokonaisvaltaisempaan tarkasteluun. On hyvä siirtää ajatukset siihen, miten kolmansia osapuolia ja niiden luomia riskejä tulisi omassa yrityksessäsi ylipäätään hallita, jotta ne saadaan minimoitua myös tulevaisuudessa. Minkä osapuolen tulisi kantaa vastuu ulkoistusriskienhallinnasta? Ovatko nykyiset ulkoistusriskienhallintaprosessit riittävän kattavat ja tarkoituksenmukaiset? Miten valvot toimittajien itsearviointeja tai toteutat itse tarkempia auditointeja korkeamman riskitason toimittajiin? Entä miten toimittajasuhteen elinkaaren päättyessä toimitaan esimerkiksi tietojen palauttamisen ja poiston suhteen?

Koronaviruspandemia tuskin on viimeinen poikkeustilanne, jota tulemme todistamaan. Poikkeustilanteesta saatujen oppien pohjalta voidaan rakentaa uusia käytäntöjä, jotta kolmansien osapuolten mukanaan tuomat riskit saadaan paremmin hallintaan myös tulevaisuudessa. Tärkeää on rakentaa kokonaisvaltainen ja omiin tarpeisiin perustuva tapa hallita ulkoistusriskejä. Käytännön tasolla järjestelmällinen lähestymistapa ulkoistusriskienhallintaan tulee viedä osaksi jatkuvaa, jokapäiväistä toimintaa. 

Yhteenveto

EY:llä on vahva osaaminen niin ulkoistusriskienhallinnan kokonaisvaltaisesta kehittämisestä kuin käytännön riskiarvioiden tekemisestäkin. Kynnyksen esimerkiksi riskiarvioiden tekemiseen ei tarvitse olla korkea. Tärkeintä on, että kolmansien osapuolien hyödyntämisestä aiheutuvat riskit saadaan tasapainotettua ulkoistamisen tuomien hyötyjen kanssa. Näin myös erilaisista poikkeustilanteista selvitään helpommin tulevaisuudessa.

Tästä artikkelista

Kirjoittajat

Henriikka Hoikka

EY Finland, Advisory, Cybersecurity consultant

Toimistoaikoina ajatukset kyberturvallisuuden strategisissa aspekteissa ja kyberturvallisuuden rakentamisessa luonnolliseksi osaksi jokaista modernia organisaatiota.

Essi Säilä

EY Finland, Advisory, Senior Consultant

Kyberturvallisuuden moniosaaja ja sertifioitu tietosuoja-asiantuntija. Musiikkia harrastava kulinaristi, joka viihtyy myös luonnon keskellä.