Tärkeintä ymmärtää tietojärjestelmien merkitys liiketoiminnalle
Nuopponen kehottaa sijoittajaa lähtemään liikkeelle siitä, että arvioi tietojärjestelmien ja digitalisaation merkitystä yrityksen liiketoimintaan. Mikä rooli järjestelmillä ja digitaalisilla ratkaisuilla on yrityksen liiketoiminnan tekemisessä ja yrityksen arvolle?
”Jos mietitään perinteistä liiketoimintaa, vaikkapa videovuokraamoa, niin yritys pystyisi pyörittämään toimintaansa, vaikka vuokrausjärjestelmä kaatuisi. Mutta jos hakkeri murtautuu Netflixille tai tekninen häiriö estää heidän palvelunsa käyttämisen, se voi pysäyttää rahantulon saman tien”, Nuopponen kuvaa.
Mitä pidemmälle digitalisaatio on viety yrityksessä, sitä suurempia vaikutuksia kyberuhilla yleensä on liiketoiminnalla. Kyberpoikkeamista ja tietoturvaongelmista suurimmat vahingot tyypillisesti syntyvät toiminnan keskeytymisestä.
”Erityisesti alustataloudessa liiketoiminnan arvo muodostuu digitaalisista ratkaisuista, kun taas perinteisemmässä liiketoiminnassa niillä on pienempi rooli. Tämä vaikuttaa myös siihen, millaisilla keinoilla tietoturva-auditointi kannatta tehdä esimerkiksi yrityskauppavaiheessa”, Nuopponen sanoo.
Avainasemassa ylimmän johdon sitoutuminen
Kun kartoitus on tehty ja liiketoimintaymmärrys tietoturvan kannalta syntynyt, kannattaa miettiä, mikä voisi mennä pieleen. Mitkä riskit voivat pahimmillaan realisoitua ja miten?
”Tietoturvatarkastuksessa tunnistetaan oleelliset riskit ja mietitään, miten ne voisivat realisoitua. Lisäksi tunnistetaan kontrollit, jotka voivat estää riskien toteutumisen, esimerkiksi erilaiset kehityskäytännöt ja auditoinnit”, Nuopponen sanoo.
Yrityskaupan due dilligence -vaiheessa tietoturvatarkastus toteutetaan yleensä sisäpiirissä olevia henkilöitä haastattelemalla, dokumentaation läpikäynnillä, prosessien toiminnan varmistamisella ja teknisillä tarkastuksilla.
”On kuitenkin tärkeä muistaa, että asiat eivät aina todellisuudessa ole sitä miltä ne näyttävät. Kun tietoa on saatavilla vain ylimmältä johdolta ja muutenkin joudutaan pyörimään aika ylätasolla, ollaan luotettavuuden kanssa hieman hataralla pohjalla. Jokin prosessi voi olla paperilla eri kuin käytännössä”, Nuopponen korostaa.
Nuopponen painottaa, että kaiken avain on ylimmän johdon sitoutuminen tietoturva- ja tietosuoja-asioihin. Johdon tehtävä on varmistaa, että organisaatiossa on riittävät resurssit ja osaaminen tietoturvasta huolehtimiseen. Onko tietoturvapäälliköllä oikeasti aikaa ja tietotaitoa tehtävän hoitamiseen?
Yrityksen prosessit ja dokumentaatio pitää myös mitoittaa yrityksen koon mukaan, jotta ne toimivat arjessa. Esimerkiksi start-upissa dokumentaatio voi olla muutama wiki-sivu, joilla näytetään, että asiat on mietitty ja henkilöstöä on ohjeistettu asianmukaisesti. Siltikin aina jää kysymykseksi, toimiiko organisaatio ohjeiden mukaisesti.
”Usein tietoturvaongelmat liittyvät siihen, että perusasioiden tekemisessä on puutteita ja prosessit päivitysten tekemiseen ja elinkaaren hallintaan eivät ole kunnossa.”
Kuvalähteet: Philipp Katzenberger/Unslapsh, Nixu Oyj