Sisältöön

Kyberturvallisuuden johtaminen - SecMeter

Ohita valikko
Ohita valikko

Kyberturvallisuuden johtaminen

Yritysturvallisuus > Johtaminen
Tietoturva johtamisvastuuna



Vuonna 2025 tietoturva siirtyi kellarista ylimmän kerroksen kulmahuoneeseen. Jos yritys ei pysty mittaamaan turvallisuustasoaan, se ei pysty myöskään johtamaan sitä. Kyse on riskistä, jota yksikään yrityksen hallituksen jäsen ei halua enää ottaa.

Digitalisaation kiihtyminen, geopoliittisen toimintaympäristön epävakaus ja teknologisen kehityksen eksponentiaalinen luonne ovat muokanneet yritysten riskiprofiilia perustavanlaatuisesti.

Kyberturvallisuudesta on muodostunut keskeinen osa kriittistä infrastruktuuria, liiketoiminnan jatkuvuutta ja yhteiskunnallista vakautta. Samanaikaisesti sääntely-ympäristö on tiukentunut merkittävästi.

Euroopan unionin NIS2-direktiivi vahvistaa riskienhallintavelvoitteita ja kohdistaa vastuun kyberturvallisuuden asianmukaisesta hallinnasta ylimpään johtoon. CSRD-direktiivi puolestaan sisällyttää riskienhallinnan ja hallintorakenteet osaksi yritysten vastuullisuusraportointia.

Näiden normatiivisten muutosten seurauksena kyberturvallisuus on siirtynyt operatiivisesta IT-toiminnosta strategiseksi yrityshallinnon ja oikeudellisen vastuun osa-alueeksi.

Kyberturvallisuus ei siten ole enää yksinomaan tekninen kysymys, vaan osa yritysjohdon fidusiaarista velvollisuutta. Tämä tarkoittaa, että tietoturva kuuluu johdon lakisääteiseen ja luottamukselliseen vastuuseen toimia huolellisesti ja yhtiön edun mukaisesti.

Fidusiaarinen velvollisuus sisältää erityisesti kaksi ydinelementtiä:

  • huolellisuusvelvollisuuden (duty of care), joka edellyttää päätöksentekoa riittävän tiedon ja asianmukaisen riskinarvioinnin perusteella.
  • lojaliteettivelvollisuuden (duty of loyalty), joka velvoittaa johdon toimimaan yhtiön edun mukaisesti eikä omien tai ulkopuolisten etujen ajamana.

Johto ei ainoastaan hyväksy tietoturvallisuuden ohjausasiakirjoja, vaan vastaa niiden riittävyydestä, toimeenpanosta ja valvonnasta. Vastuu konkretisoituu erityisesti tilanteissa, joissa kyberriski realisoituu. Arvioinnin kohteena ei ole pelkästään tekninen epäonnistuminen, vaan se, onko yrityksen hallinnollinen huolellisuus ollut asianmukaista.

Tässä yhteydessä keskeiseksi nousee mitattavuus. Yrityksen on kyettävä osoittamaan, että riskienhallinta on systemaattista, dokumentoitua ja suhteutettua tunnistettuihin uhkiin. Mittarit, auditointiprosessit ja jatkuva seuranta muodostavat näyttöön perustuvan johtamisen perustan sekä välineen osoittaa huolellisuusvelvoitteen täyttyminen.

Ilman strukturoitua mittaristoa kyberturvallisuuden johtaminen jää reaktiiviseksi ja altistaa yrityksen oikeudellisille, taloudellisille ja maineellisille riskeille.
Yritysjohdon tehtävälista
Kyberturvallisuus strategiseksi hallintavastuuksi

Hallintorakenne ja vastuun määrittely

  1. Vahvista hallitustasoinen vastuu kyberturvallisuudesta (agenda- ja raportointirakenne)
  2. Nimeä selkeä vastuutaho (CISO / riskienhallintajohtaja)
  3. Määritä kyberriskin riskinottohalukkuus (risk appetite)
  4. Varmista, että kyberturvallisuus sisältyy yhtiön strategiaan

NIS2-vaatimusten toimeenpano

  1. Arvioi organisaation asema NIS2:n piirissä (olennaiset / tärkeät toimijat)
  2. Päivitä riskienhallintamalli vastaamaan NIS2-vaatimuksia
  3. Dokumentoi johdon hyväksymät riskienhallintatoimenpiteet
  4. Ota käyttöön säännöllinen hallitustason kyberturvaraportointi
  5. Varmista poikkeamien ilmoitusprosessien toimivuus

Tavoite: Johdolla on todennettava due diligence -näyttö.

Mittaristo ja seuranta

  1. Määritä keskeiset KPI:t (esim. MTTD = Mean Time To Detec. keskimääräinen havaitsemisaika. MTTR = Mean Time To Respond (tai Recover), keskimääräinen reagointi- tai palautumisaika)
  2. Varmista auditointien säännöllisyys (sisäinen + ulkoinen)
  3. Dokumentoi korjaavien toimenpiteiden toteutuminen

Tavoite: Turvallisuustaso on mitattava, ei oletettava.

Toimitusketjun turvallisuus

  1. Tunnista kriittiset toimittajat
  2. Ota käyttöön alihankkijoiden kypsyysarviointi
  3. Sisällytä sopimuksiin tietoturvavaatimukset
  4. Seuraa toimittajien riskipisteytystä jatkuvasti
  5. Toteuta säännölliset toimitusketjuauditoinnit

Tavoite: Ekosysteemin riskitaso on hallittu ja dokumentoitu.

Tekoäly ja uudet uhkat

  1. Arvioi tekoälyn vaikutus uhkamaisemaan
  2. Toteuta phishing-simulaatiot ja mittaa resilienssi
  3. Ota käyttöön AI-avusteinen uhkien tunnistus
  4. Kouluta johto ja henkilöstö deepfake- ja AI-huijauksista

Tavoite: yritys on resilienssi tekoälypohjaisia hyökkäyksiä vastaan.

ESG-raportointi ja sidosryhmät

  1. Sisällytä kyberturvallisuus ESG-raportointiin (CSRD). Virallinen vastuullisuusraportointi Euroopan unionin CSRD-direktiivi mukaisesti. Kyberturvallisuus kuuluu ensisijaisesti G-osa-alueeseen, mutta se liittyy myös S-osa-alueeseen (henkilötietojen suoja, asiakasluottamus) ja  E-osa-alueeseen epäsuorasti (esim. kriittinen infrastruktuuri)
  2. Määritä raportoitavat tietoturva-KPI:t. (KPI, Key Performance Indicator = keskeinen suorituskykymittari)
  3. Dokumentoi sertifioinnit ja auditointitulokset
  4. Kommunikoi turvallisuuskyvykkyys sijoittajille ja asiakkaille

Tavoite: Kyberturvallisuus tukee kilpailuetua ja luottamusta.

Harjoittelu ja kriisivalmius

  1. Toteuta vuosittainen kyberkriisisimulaatio hallitukselle
  2. Testaa viestintäprotokollat
  3. Päivitä liiketoiminnan jatkuvuussuunnitelma (BCP, Business Continuity Plan)
  4. Dokumentoi opit ja parannustoimet

Johdon oma vastuunsuoja

  1. Varmista päätösten dokumentointi
  2. Seuraa riskienhallintatoimenpiteiden toteutusta
  3. Tarkista D&O-vakuutuksen (Directors & Officers insurance) kattavuus kyberriskien osalta
  4. Pyydä riippumaton arvio kyberturvallisuuden kypsyystasosta
Johdon vastuu ja due diligence NIS2-sääntelyn valossa
NIS2 velvoittaa jäsenvaltiot säätämään säännökset, joiden mukaan olennaisten ja tärkeiden toimijoiden johto vastaa kyberturvallisuuden riskienhallintatoimenpiteiden hyväksymisestä ja valvonnasta. Direktiivi mahdollistaa myös hallinnolliset seuraamukset vakavissa laiminlyöntitapauksissa.

Due diligence kyberturvallisuudessa ei tarkoita riskittömyyttä, vaan osoitettavaa, riskiperusteista ja systemaattista toimintaa. Tähän liittyviä keskeisiä mittareita ovat esimerkiksi:

  • riskienhallintaprosessin kattavuus ja päivityssykli
  • havaitsemis- ja reagointimittarit (MTTD, MTTR)
  • kontrollien tehokkuusaste
  • johdon ja henkilöstön koulutusaste
  • korjaavien toimenpiteiden toteutumisprosentti

Dokumentoidut auditointiraportit, hallituksen pöytäkirjat ja seurantaraportit muodostavat huolellisuusnäytön, jolla johto voi osoittaa täyttäneensä velvoitteensa.

Sisäinen ja ulkoinen auditointi sekä jatkuva seuranta siirtävät riskienhallinnan pistemäisestä tarkastuksesta dynaamiseen valvontaan. Ne toimivat paitsi operatiivisen kehittämisen välineinä myös mekanismeina, joilla johto voi osoittaa aktiivista ja järjestelmällistä valvontaa.

Toimitusketjun turvallisuus ja ekosysteeminen riskivastuu
Kyberhyökkäykset kohdistuvat yhä useammin toimitusketjujen kautta. Yrityksen turvallisuustaso on sidoksissa sen kumppaniverkoston kypsyystasoon. NIS2 edellyttää toimitusketjuriskien huomioimista osana kokonaisvaltaista riskienhallintaa.

Toimitusketjun hallinta edellyttää mitattavia ja vertailukelpoisia arviointikriteerejä, kuten:

  • alihankkijoiden kypsyysarviointi
  • kriittisyyteen perustuva riskiluokitus
  • auditointien kattavuus
  • sopimuksellisten tietoturvavaatimusten toteutumisaste

Systemaattinen mittaristo vähentää informaation epäsymmetriaa ja mahdollistaa riskien priorisoinnin.

Tekoäly on samaan aikaan uhka ja mahdollistaja
Tekoälyn kehitys lisää kyberriskien kompleksisuutta. Generatiiviset mallit mahdollistavat kohdennetut phishing-hyökkäykset ja deepfake-identiteettihuijaukset, samalla kun automatisoidut työkalut tehostavat haavoittuvuuksien etsintää.

Samanaikaisesti tekoäly tarjoaa tehokkaita puolustusmekanismeja. Keskeisiä mitattavia tekijöitä ovat:

  • phishing-simulaatioiden läpäisyaste
  • epäilyttävien viestien raportointiprosentti
  • tunnistusjärjestelmien tarkkuus
  • poikkeamien käsittelyaika

Tehokas kyberturvallisuus edellyttää hybridimallia, jossa hallinnolliset kontrollit ja teknologiset ratkaisut tukevat toisiaan.

Kyberturvallisuus osana ESG-raportointia
CSRD laajentaa yritysten raportointivelvollisuuksia kattamaan hallintorakenteet ja riskienhallinnan. Kyberturvallisuus kytkeytyy erityisesti hallintoulottuvuuteen. Raportointia varten keskeisiä mittareita ovat esimerkiksi:

  • tietoturvakypsyystaso
  • poikkeamien määrä ja vakavuus
  • koulutusaste
  • toimitusketjun riskipisteytys
  • sertifiointien kattavuus

Läpinäkyvä raportointi vahvistaa sijoittajaluottamusta ja voi toimia kilpailuetuna.

Johtopäätökset
NIS2 konkretisoi johdon vastuuta kyberturvallisuuden hallinnassa, ja CSRD integroi siihen liittyvät rakenteet osaksi vastuullisuusraportointia. Keskeinen johtopäätös on, että mitattavuus, auditointi ja jatkuva seuranta eivät ole pelkkiä teknisiä tukitoimia, vaan strategisen hallinnan rakenteita. Ne muodostavat:

  • johdon huolellisuusnäytön perustan,
  • operatiivisen riskienhallinnan infrastruktuurin,
  • sekä strategisen kilpailuedun lähteen.

Kyberturvallisuuden johtaminen on siten osa modernia corporate governance -kehystä, jossa vastuullisuus ja arvonluonti kytkeytyvät toisiinsa.
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön