16.05 2022

KPMG:n yleiskatsaus kyberturvallisuuteen vuonna 2022

Vuoteen 2022 tullessa on tärkeää, että organisaatiot ja ihmiset arvioivat uudelleen nykyisen teknologisen maiseman, erityisesti kyberturvallisuuden alalla. KPMG:n CEO Outlook -raportin mukaan 75 % toimitusjohtajista uskoo, että vahva kyberturvallisuusstrategia on ratkaisevan tärkeä luottamuksen herättämiseksi keskeisten liiketoiminnan sidosryhmien keskuudessa. Kyberturvallisuus kehittyy jatkuvasti, mikä tuo mukanaan sekä haasteita että mahdollisuuksia. KPMG on arvioinut kyberturvallisuuden maisemaa ja julkaissut "Yleiskatsauksen kyberturvallisuuteen vuonna 2022: Luottamus turvallisuuden kautta", jossa yksilöidään kahdeksan keskeistä kyberturvallisuusaihetta, jotka tietoturvapäälliköiden (CISO) tulisi ottaa huomioon vuonna 2022. Ennen kun kutakin aihetta tarkastellaan yksityiskohtaisemmin, on tärkeää huomauttaa, että CISO:jen olisi yleisesti muutettava ajattelutapaansa. Heidän tulisi asettua organisaatioon kyberturvallisuustoimenpiteiden ja -käytäntöjen vaikuttajiksi eikä täytäntöönpanijiksi. Inspiraatio on usein tehokkaampi tapa ihmisille toimia pidemmällä aikavälillä kuin pakottaminen. Tämä periaate pätee myös kyberturvallisuuteen. CISO:n tulisi pikemminkin vaikuttaa työtovereihin ja inspiroita heitä tekemään asiat turvallisesti sen sijaan, että he kertoisivat kollegoilleen, mitä he voivat tehdä ja mitä eivät voi tehdä.

Kahdeksan kyberturvallisuusaihetta vuodelle 2022

Strateginen muutos

Kyberturvallisuus koskee nykyään lähes kaikkia teknologiayritysten liiketoiminnan osa-alueeIta ja vaikuttaa niihin. Kyberturvallisuus ei ole enää alue, jota käsittelevät vain turvallisuushenkilöstö ja It-ammattilaiset. Siksi on ymmärrettävää, ettei yksinomaan It-ammattilaiset ole vastuussa kyberturvallisuudesta, vaan se on yrityksen yhteinen vastuu. CISO:lla pitää olla monta eri hattua päässään ja hänen on kyettävä linjaamaan yrityksen liiketoimintastrategia kyberstrategian kanssa. Siksi on tärkeää, että tietoturva sisällytetään liiketoimintaprosessiin. CISO:n pitäisi auttaa johdon jäseniä tekemään siirrosta mahdollisen.

X-tekijä: kriittiset kyvyt ja taidot

Tarve nopeuttaa markkinoille saattamista yhdistettynä siihen liittyvien riskien analysointiin lisääntyi Covid-kriisin vauhdittamana, mutta oli tärkeä sitä ennenkin. Nykyisin osaavista kyberturvallisuuden ammattilaisista on kova pula. KPMG suosittelee etsimään vaihtoehtoisia ratkaisuja siihen tarpeeseen vastaamiseksi ottamalla mukaan esimerkiksi freelance-työntekijät ja automatisoimalla kyberturvallisuustoimintoja. Lisäksi CISO:ja kehotetaan katsomaan kykyjenetsinnässä perinteisiä osaajaryhmiä kauemmas ja poistamaan ammattiin pääsyä hankaloittavat esteet houkutellaakseen alalle kasvavan määrän kyvykkäitä työntekijöitä.

Kybersuojauksen mukauttaminen pilvipalveluihin sopivaksi

Kyberturvallisuusympäristöä on muuttanut myös kasvava organisaatioiden määrä, jotka ovat siirtyneet pilvipalveluihin. Perinteisen kyberturvallisuuden edellyttämät prosessit ja osaaminen eivät välttämättä enää sopii pilviympäristössä. KPMG:n raportin mukaan 90 % organisaatioista voi olla alttiina turvallisuusuhille, jotka liittyvät pilvipalveluiden asetusten virheellisiin määrityksiin. CISO:jen on autettava tiimiensä ymmärtämään pilviympäristön kyberturvallisuusvaatimukset ja mukauttamaan kybersuojausta pilvipalveluihin sopivaksi. Tämä tulisi tehdä pitäen silmällä alaa sääntelevää oikeudellista kehystä ja ottaa huomioon se, miten säädökset kuten yleinen tietosuoja-asetus tai Yhdysvaltain sairausvakuutusten siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (Health Insurance PortabilIty and AccountabilIty Act, HIPAA) vaikuttavat pilviturvallisuuteen.

Identiteetin hallinta on nollaluottamus-mallin ytimessä

Miljoonat työntekijät siirtyvät etätyöhön ja ostavat puhelimillaan tavaroita mistä päin maailmaa tahansa. Siksi on yhä tärkeämpää asettaa identiteetin hallinta ja nollaluottamus-malli (englanniksi Zero Trust Security) liiketoimintaprosessien ytimeen. Nollaluottamus-mallia ei pitäisi enää nähdä teknologiana tai lisäominaisuutena, vaan pikemminkin tietoturvastandardina, joka kaikkien CISO:jen tulisi ottaa käyttöön. Identiteetin hallinnan pitäisi olla keskeinen osa nollaluottamus-mallia.

Turvallisuusjärjestelmien automaatio

Automaatio auttaa usein vapauttamaan resursseja, jotka voidaan käyttää paremmin kuin yksitoikkoisiin, toistuviin tehtäviin. Tämä koskee myös kyberturvallisuutta, jossa esimerkiksi järjestelmien skannaus haavoittuvuuksien varalta, lokianalyysi ja vaatimustenmukaisuuden arviointi suoritetaan automaattisesti.

Automaatio auttaa tietoturva-ammattilaisia keskittymään todella kriittisiin tilanteisin sen sijaan, että he käyttävät aikaa alemman tason uhkiin, joita voidaan käsitellä automatisoidusti. CISO:ita kannustetaan hyödyntämään automaatiota täysimääräisesti.

Tietosuoja

Tällä hetkellä kyberturvallisuutta ja tietosuojaa käsitellään eri aloina, jotka toimivat usein erillään toisistaan. Tietosuojatietoisuuden ja tietosuojan tärkeyden ymmärtämisen lisääntyessä kasvaa tarve pitää tietosuojaa toimintona, joka ei ole pelkästään itsenäinen oikeustieteen ala, vaan toimintona, joka yhdistää useita aloja. Tietosuojan ja kyberturvallisuuden pitäisi olla voimakkaasti sidoksissa toisiinsa, mikäli yritykset noudattavat liiketoiminnassaan sisäänrakennetun tietosuojan periaatteita.

Kyberturvallisuus, joka ulottuu yrityksen rajojen ulkopuolelle

Yritykset ovat nykyään useammin riippuvaisia toimitusketjujen luotettavuudesta ja useista liikekumppaneista. Tällaisien riippuvuuksien takia 79 % kyberturvallisuustiimeistä ymmärtää, että yrityksen liikekumppanin ekosysteemin ja toimitusketjun suojeleminen on yhtä tärkeää kuin oman kyberpuolustuksen rakentaminen. Siksi ovat kehittyneet yritysverkostot, jotka toimivat yhdessä ja edellyttävät riittäviä valvontajärjestelmiä omien ja kumppaniensa tietojen suojaamiseksi samanaikaisesti. Tarvitaan vahvaa riskienhallintajärjestelmää, joka sopii kyberuhkien hallintaan organisaatiossa ja sen ulkopuolellakin. Tämä edellyttää CISO:lta ennakoivaa toimintaa: automaation, jatkuvan valvonnan ja nollaluottamus-mallien avulla hän voi auttaa varmistamaan turvallisuuden yrityksen rajojen ulkopuolellakin.

Keskustelun aiheena on kyberresilienssi

KPMG:n raportissa CISO:ja kannustetaan käymään keskustelua organisaation ylimmän johdon kanssa siitä onko yritys valmis kyberhyökkäykseen. Kyberresilientin yrityksen on arvioitava keskeisiä liiketoiminnan perusprosesseja ja strategisia perusprosesseja. CISO:n tulisi muotoilla kyberresilienssiä käsittelevä keskustelu siten, että se kattaisi yrityksenlaajuista valmiutta kyberhyökkäysten lieventämiseksi ja suurimpien riskien havaitsemiseksi.

Toivottavasti tässä kirjoituksessa esitetyt suositukset hyödyttävät sinua. Sillä ei ole väliä edustatko organisaatiota tai olet CISO.

Yksityiskohtaisen yleiskatsauksen saat koko raportista täältä


Yusef Ward

Kyberturvallisuusneuvoja

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Narva mnt 5, 10117 Tallinna, Viro
${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.

Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.

Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.

Email again: