Organisaation kriisinsietokyvyn varmistamiseksi on kriittistä, että kyberhyökkäyksiin varaudutaan oikealla tavalla. Perinteisessä lähestymistavassa painopiste on teknologiakontrollien arvioinnissa ja mahdollisten regulaatiovaatimusten täyttämisessä ”rasti ruutuun” -mentaliteetilla. Tällä lähestymistavalla ei voida kuitenkaan taataorganisaation valmiuksia uusia ja kehittyviä kyberuhkia vastaan.
Kyberuhat lisääntyvät ja monimutkaistuvat jatkuvasti ja ovat yhä paremmin toteutettuja ja rahoitettuja. Hyökkääjien päämäärät ja strategiset tavoitteet ovat usein pitkävaikutteisia ja tuhoisia. Valitettavan usein nämä uhat johtavat operatiivisen toiminnan keskeytymiseen, mediakohuihin ja organisaatiolle haitalliseen yleiseen epävarmuuteen.
Panokset ovat kovat: huonot valinnat ja puutteellinen reagointi välittyvät sosiaalisessa mediassa sekunneissa ympäri maailmaa. Lisäksi kehittyvä teknologia, globalisaatio, toimialojen rajojen hämärtyminen ja geopoliittiset jännitteet tuovat loputtomasti uusia riskejä niin yrityksille kuin julkishallinnollekin.
Erilaisten kyberuhkatilanteiden käytännön harjoittelu on yksi parhaista tavoista edistää organisaation varautumista. Harjoituksessa testataan sekä teknisiä että organisatorisia valmiuksia. Haasteina ovat muun muassa kriittisten päätösten tekeminen perustuen vähäiseen tai puutteelliseen informaatioon, kyky tunnistaa ja vastata kyberuhkatilanteisiin riittävän nopeasti sekä selkeä ja ajantasainen viestintä. Nämä vaativat koordinoituja toimenpiteitä useilta organisaation sisäisiltä ja ulkoisilta sidosryhmiltä.
Opens in new window