4 minuutin lukuaika 13 tammik. 2022
Miten vastuullinen kyberturvallisuus tukee kasvua?

Miten vastuullinen kyberturvallisuus tukee kasvua?

Kirjoittaja Timo Valonen

EY Finland, Consulting, Cybersecurity lead

EY Helsingin kybertiimin vetäjä. Sertifioitu tietosuoja-asiantuntija. Viikonloppunikkaroija, jolla myös bensaa suonissa.

4 minuutin lukuaika 13 tammik. 2022
Samankaltaisia aiheita Kyberturvallisuus Konsultointi

Vastuullisuus on selvästi nousemassa yritysten ja niiden johdon suorituskyvyn mittariksi taloudellisen menestyksen rinnalle.

Sijoittajat, asiakkaat ja viranomaiset arvioivat yhtiöitä perustuen ympäristöön, sosiaalisiin ja hyvään hallintotapaan liittyviin tekijöihin, joista muodostuu lyhenne ESG (Environmental, Social, Governance). ESG-tekijöiden huomioiminen, mittaaminen ja raportointi alkaa olla välttämätöntä yrityksille, jotka haluavat näyttää sitoutumistaan kestävään kehitykseen. Hyvä ESG-arvio tukee esimerkiksi yrityksen rahoitusmahdollisuuksia sekä houkuttavuutta sijoituskohteena. Erään varainhoitajan tutkimuksen mukaan yli puolet sijoittajista sanoo kyberturvallisuuden olevan yksi tärkeimpiä ESG-huolenaiheita.

Joissain kestävän kehityksen arvioinneissa ja indekseissä kyberturvallisuus otetaan jo huomioon. Esimerkiksi Dow Jonesin kestävän kehityksen indeksissä (DJSI) käytettävä S&P Global CSA -arviointiviitekehys katsoo yhtiön valmiuksia reagoida vakaviin tieto- ja kyberturvallisuuden häiriöihin sekä arvioi myös aiemmin tapahtuneiden tietoturvaloukkausten ja muiden häiriöiden aiheuttamia taloudellisia vaikutuksia. Lisäpisteitä arvioinnissa saa, jos yhtiön hallituksessa on selkeä kyberturvallisuudesta vastaava henkilö, jolla on kokemusta ja kykyä valvoa kyberturvallisuuden strategian toimeenpanoa. Muita tärkeitä kybervastuullisuudesta kertovia tekijöitä ovat henkilöstön osaamisen kehittäminen, tietoturvan hallinnan sertifioinnit sekä ulkoiset haavoittuvuusarviot ja muut varmennukset.

Miten kyberturvallisuus näkyy ESG-tekijöissä?

Kyberturvallisuuden ja digitaalisten riskien mittarit ovat luonteva osa ESG-viitekehysten hyvään hallintotapaan (Governance) liittyviä tekijöitä. Kestävyysraportointistandardit sijoittavat muun muassa sisäisen valvonnan ja riskienhallinnan menetelmät tähän kategoriaan, kuten myös ulkoistussuhteiden hallinnoinnin. Digitaalisten riskien mittarit ja niiden kehitys voivat kertoa paljon yrityksen johdon asenteista ja käyttäytymisestä markkinoilla. Näiden mittarien avulla voidaan viestiä, miten kyberturvallisuuteen ja tietosuojaan suhtaudutaan. Lainsäädännön vaatimusten täyttäminen on tietysti yksi tavoite, mutta siinä onnistumista tai epäonnistumista pystytään usein arvioimaan vasta jälkikäteen, kun riskille on jo altistuttu ja jälkihoidossa joko onnistutaan tai ei. Luottamusta kannattaakin rakentaa etukäteen osoittaen mittareilla miten vaikkapa toipumissuunnitelmat, kriisienhallinta ja muu varautuminen on rakennettu ja testattu.

Digitaalisten riskien mittarit ja niiden kehitys voivat kertoa paljon yrityksen johdon asenteista ja käyttäytymisestä markkinoilla. Näiden mittarien avulla voidaan viestiä, miten kyberturvallisuuteen ja tietosuojaan suhtaudutaan
Timo Valonen
EY Finland, Consulting, Cybersecurity lead

ESG-tekijöissä kyberturvallisuus liittyy myös sosiaaliseen vastuullisuuteen. Viimeaikaisten uutisten valossa ei jää epäselväksi, miten esimerkiksi potilastietoihin kohdistunut tietomurto vaikuttaa sosiaalisiin tekijöihin, kuten yksityiselämään ja turvallisuuteen. Tietoturvaloukkauksilla voi olla jopa erittäin vakavia ja kauaskantoisia vaikutuksia rikosten uhreiksi joutuneiden terveyteen. Samoin tietoturvan peruskontrolleissa epäonnistuminen on näyttäytynyt yhteiskunnan kriittisten toimintojen keskeytyksenä, kun esimerkiksi energian jakelua jouduttiin katkaisemaan Yhdysvalloissa Colonial Pipeline -öljyputkea hallinnoivaan yhtiöön kohdistuneen kyberuhan takia.

Nämä häiriöt ja muut ”kyberpäästöt” ovat hyviä esimerkkejä havainnollistamaan, mikä merkitys kyberturvallisuudella on myös ESG-tekijöihin, kun pyritään osoittamaan vastuullisuutta.

Miten kyberpäästöjä kompensoidaan?

Kyberturvallisuuden ja digitaalisten riskien mittarit voi asettaa läpinäkyvästi, ja niiden avulla voidaan välittää kuvaa organisaatiosta, joka ymmärtää millaisille uhkille se voi altistua ja miten se on varautunut niistä koituviin riskeihin asianmukaisesti. Ilmastonmuutoksenkaan osalta moni ei voi heti saavuttaa päästöjen laskennallista nollatasoa, vaan ensin hiilipäästöjä leikataan ja kompensoidaan oikeansuuntaisesta muutoksesta viestien. Kyberturvallisuuden ”päästöjä” ovat haavoittuvuudet. Toisinaan niistäkään ei voida heti päästä kokonaan eroon, vaan ensin joudutaan rakentamaan kompensoivia kontrolleja.

Pitääkö kyberturvallisuuttakin kehittää kestävästi? Onko pakko?

Tietoturvajohtajan kannattaa ottaa ESG-tekijät huomioon, kun etsitään liiketoiminnallisia perusteita kyberturvallisuuden kehittämisen investoinneille. Perinteinen ”riskeillä pelottelu” ei ole toiminut enää aikoihin – sen sijaan ylin johto haluaa nähdä konkreettista ja mitattavaa hyötyä kehitystoimille. Vastuullisuus, kestävä kehitys ja ESG-tekijät tarjoavat tähän jälleen kerran loistavan mahdollisuuden. Laadukas ja läpinäkyvä vastuullisuudesta raportoiminen ja sen varmentaminen voidaan nähdä myös kilpailuetuna.

Myös yrityksen toimiala vaikuttaa ESG-tekijöiden taloudelliseen olennaisuuteen ja voi korostaa esimerkiksi kyberturvallisuuden merkitystä. Toki vastuullisen sijoittamisen ESG-mittareiden yhteismitallisuutta kohtaan on esitetty myös kritiikkiä, ja kuumalla alalla esiintyy varmasti liian suuria odotuksia sekä tuoton että vaikuttavuuden osalta. Pakollisiksi vaatimuksiksi ESG-mittareilla on vielä matkaa, ja esimerkiksi kestävyysraportointia koskeva direktiivi on vielä työn alla. Pakko ei siis ole, mutta esimerkiksi vastuullisia sijoituskohteita etsivät ovat alkaneet tehdä jo omia johtopäätöksiään. Finsifin keväällä 2021 tekemän tutkimuksen mukaan jopa 60 prosenttia suomalaissijoittajista kertoi huomioivansa ESG-tekijöitä sijoituspäätöksiä tehdessään. 

Tietoturvajohtajan kannattaa ottaa ESG-tekijät huomioon etsiessään perusteita kyberturvallisuusinvestoinneille. Vastuullisuus, kestävä kehitys ja ESG-tekijät tarjoavat mahdollisuuden näyttää johdolle kehitystoimien konkreettista ja mitattavaa hyötyä. 

Miltä kestävästi kehittyvä kyberturvallisuus näyttää käytännössä?

Siinä on eroa, viestiikö tietoturvajohtaja kehitysaikeistaan pakollisina compliance -harjoituksina, jotka on vain pakko tehdä ESG-kriteerit täyttääkseen, vai pystytäänkö ylimmälle johdolle paremmin perustelemaan kyberturvallisuuteen panostamisen positiivinen vaikutus. Lisäksi täytyy muistaa, että ESG-arvioijien mittaristot ovat myös jatkuvan kehityksen alla. Toistaiseksi yrityksillä on myös enemmän vapauksia määritellä itse, mitä vastuullisuus juuri heidän liiketoiminnassaan merkitsee ja miten siitä viestitään (esimerkiksi kyberturvallisuuden osalta) ennen kuin standardit ja direktiivit kehittyvät entistä määrämuotoisemmiksi. Koska ESG-arviointeja on useita erilaisia, kunkin arvioijan täsmällisten kriteerien tuijottamisen sijaan on tärkeämpää ymmärtää alan yleinen suunta sekä se, miten kyberturvallisuus omalta osaltaan kehittää sosiaalista vastuullisuutta ja hyvää hallintotapaa.

Joka tapauksessa on huomioitava, että kyberturvallisuuden kyvykkyyksien rakentaminen ja kehittäminen tulee todennäköisesti kestämään kauemmin kuin lopuillakin arviointilaitoksilla kestää päivittää mittaristojaan kybervaikutusten huomioimisen osalta. Siksi on tärkeää, että kehitystoimenpiteet pidetään käynnissä, jotta ollaan valmiita osoittamaan oma valmius myös ulkoisille arvioijille. Tulevaisuudessa lienee väistämätöntä, että muutkin vastuullisuustoimet kehittyvät riskienhallinnasta ja negatiivisten vaikutusten hillinnästä kohti innovointia ja kehittämistyötä.

Vastuullisuus on mitä mainioin lisä tietoturvajohtajan työkalupakissa, kun rakennetaan perusteluita investoida esimerkiksi tietoturvahäiriöiden havainnoinnin tai reagoinnin kyvykkyyksiin, kohdistettuun osaamisen kehittämiseen tai murtotestaukseen.

EY:n 1300 kyberturvallisuuden ja riskienhallinnan ammattilaista ympäri Eurooppaa ovat valmiita auttamaan asiakkaitamme kaikissa kyberturvallisuuteen liittyvissä haasteissa. Kysy lisää!

Yhteenveto

Sijoittajat, asiakkaat ja viranomaiset arvioivat yhtiöitä ympäristöön, sosiaalisiin ja hyvään hallintotapaan liittyvien ESG-tekijöiden perusteella. Kyberturvallisuuden ja digitaalisten riskien mittarit ovat luonteva osa ESG-viitekehysten hyvään hallintotapaan ja sosiaaliseen vastuullisuuteen liittyviä tekijöitä. Tietoturvajohtajan kannattaa ottaa ESG-tekijät huomioon, kun etsitään liiketoiminnallisia perusteita kyberturvallisuuden kehittämisen investoinneille.

EY auttaa kaikissa kyberturvallisuuteen liittyvissä haasteissa – ota yhteyttä!

Tästä artikkelista

Kirjoittaja Timo Valonen

EY Finland, Consulting, Cybersecurity lead

EY Helsingin kybertiimin vetäjä. Sertifioitu tietosuoja-asiantuntija. Viikonloppunikkaroija, jolla myös bensaa suonissa.

Lisää aiheesta Kyberturvallisuus Konsultointi