Case study: Liiketoimintalähtöinen kyberstrategia ja sen implementointi

Liiketoiminnan digitalisoituessa tai suurten muutosten yhteydessä yrityksen liiketoiminta ei välttämättä tunnista muutoksista aiheutuvia kyberriskejä – IT-osasto saattaa olla täysin pimennossa näistä muutoksista, ja uusien riskien tunnistaminen voi olla vaikeaa. Kyberuhkien massasta tulee ymmärtää ja tunnistaa oman liiketoiminnan kannalta ne kriittisimmät, jotka elävät reaaliaikaiesti ja muuttuvat aina kun liiketoimintaa kehitetään. Näin kävi yhdessä asiakkuudessamme, tämän tarinan jaamme alla. 

Kyberturvallisuuden nykytila-analyysista kannustin kyberstrategian kehittämiseen

Toteutimme asiakasyrityksellemme kyberturvallisuuden nykytila-analyysin, sillä niiden liiketoiminta oli murroksessa ja nykyisen kyberstrategian arvioitiin olevan tiensä päässä. Hyödynsimme tähän Deloitten kyberstrategiaviitekehystä (CSF). Sen avulla pystyimme vertaamaan yrityksen nykytilaa globaalisti ja lokaalisti samankokoisiin yrityksiin, jotka toimivat samalla toimialalla. CSF:n avulla pystyimme myös tekemään kokonaisvaltaisen uhkakartoituksen juuri niiden yritystä koskevista kyberriskeistä ja tietoturvauhista. CSF-viitekehys pohjautuu muun muassa iso27001 standardiin ja pitää sisällään useita muita eri alan parhaita käytänteitä. 

Nykytila-analyysi osoitti että yrityksen sen hetkinen tietoturvan johtaminen, kehittäminen ja hallinta eivät vastanneet liiketoiminnan tämänhetkisiä vaatimuksia tai yrityksen uutta strategiaa – liiketoimintaa vietiin digitaalisempaan suuntaan, joka vaatii uusia teknisiä ratkaisuja, jotta yritys voi päästä tavoitteisiinsa.

Kun analyysin tulokset raportoitiin ylemmälle johdolle ja nykytilaan havahduttiin, johto sitoutui kehittämään kyberturvallisuuttaan; Lähdimme kehittämään yritykselle aidosti liiketoimintalähtöistä kyberstrategiaa, kehityssuunnitelmaa ja olimme mukana implementoimassa sitä. 

Liiketoimintalähtöinen kyberstrategia ja sen implementointi

Yhteisen aloitustyöpajan pohjalta syvensimme tietouttamme entisestään asiakkaamme organisaatiosta, liiketoiminnasta, sen tavoitteista ja odotuksista kyberturvaa kohtaan. Lisäksi määrittelimme yhdessä tavoitetilan, jonka pohjalta kehityssuunnitelmaa lähdettiin rakentamaan. Kehitimme uutta kyberstrategiaa vahvasti myös dokumentaation ja sidosryhmähaastatteluiden pohjalta. Selvitimme, mitkä olivat yrityksen liiketoiminnan kannalta kriittisimmät tietoturvariskit ja -uhat, sen tärkeimmät voimavarat ja yrityksen riskinkantokyky ja sen tahtotila. 

Erilaisia kyberuhkia on niin paljon, että valitettavasti kaikkia uhkia vastaan ei voida suojautua - kyberriskit pitää priorisoida. Kyberuhkien kriittisyys vaihtelee täysin yrityksittäin ja toimialoittain: osana kehityssuunnitelmaa priorisoimme kaikkiin eri kehityskohteisiin liittyvät kyberriskit. Määritimme muun muassa sen, missä järjestyksessä niitä edistetään riippuen siitä, miten ne linkittyivät liiketoiminnan tarpeisiin sekä investointi- ja riskinottohalukkuuteen. Tästä muodostui hyvä ja kattava kyberturvastrategia, johon oli kirjattu myös selkeät toimenpiteet näiden saavuttamiseksi.

Kun uusi strategia oli valmis, asiakas perusti sisäisen kehitysprojektin, jossa roolimme oli auttaa uuden kyberstrategian implementoinnissa. Toimimme tietoturvallisuudenhallintajärjestelmän implementoinnin pääkumppanina. Lisäksi implementoimme kehityssuunnitelman ja strategian mukaisesti määriteltyjä osa-alueita osaksi yrityksen arkea ja käytänteitä. Autoimme muun muassa politiikan luomisessa, periaatteiden uudistamisessa sekä organisaation – ja kulttuurin muutosjohtamisessa. Pääsimme tiiviiksi osaksi uuden strategian implementointia, ja lisäksi loimme yritykselle hyvän mallin, jotta yritys pystyy ylläpitämään saavutettua maturiteettiaan jatkossa omilla resursseillaan.

Kyberstrategian jalkautus on pitkä projekti, mutta yrityksen elinehto 

Uuden strategian jalkautus ja sen seuranta on yhä käynnissä, nämä ovat usein, yrityksen koosta riippuen, monivuotisia kehitysprojekteja. Toimeksiannon lopputuotoksena toimitimme yritykselle päivitetyn kyberturvallisuusstrategian ja kehityssuunnitelman. Näiden avulla yritys pystyy varmistamaan aidosti nykyisen liiketoimintastrategian mukaisen kyberturvansa vuosiksi eteenpäin. Lisäksi asiakasyritys osti Deloitten CSF työkalun, jotta se voi seurata kyberturvansa maturiteettia ja raportoida sitä säännöllisesti myös yrityksen johdolle.  Monesti yrityksiltä puuttuu sisäinen, mutta tarvittava linkki yritysjohdon ja kyberturvallisuusasiantuntijoiden väliltä. Meiltä asiakas koki saaneensa suurta lisäarvoa siitä, että toimimme tällaisena linkkinä, kun meiltä sai liiketoiminta- ja kyberturvaosaamisen samassa paketissa. Asiakas valitsi meidät toimeksiantoon, sillä se tiesi, että Deloittella on valmiit toimivat mallit ja metodologiat, syväymmärrys kyberturvasta - myös liiketoiminnan näkökulmasta ja kyvykkyys auttaa strategian implementoinnissa. Maailman johtavana kyberturvallisuuspalveluiden tarjoajana, meillä on käytössämme myös globaalit verrokkidatat, ja tietotaito ratkaista haastavimmatkin kyberkysymykset. CSF-työkalun kautta meillä on käytössämme jatkuvasti päivittyvä, reaaliaikainen kyberuhkatilanne. jolloin myös yrityskohtainen uhkatilakartoitus on mahdollista tehdä hyvin kattavasti. Tämä työkalu on rakennettu liiketoimintalähtöisen kyberstrategian ja kehityssuunnitelman laadintaan. 
 
Haluatko kuulla lisää palveluistamme? Ota yhteyttä