Teknologia ja digitalisoituminen ovat mahdollistaneet paljon, mutta samalla altistaneet maailman uudenlaisille riskeille. Digitalisoitunut yhteiskunta on riippuvainen kasvavassa määrin tietoverkkojen toimintavarmuudesta ja turvallisuudesta, joiden varmistamista kutsutaan kyberturvallisuudeksi. Sisäisen tarkastuksen on tulevaisuudessa vastattava yhä suurempiin haasteisiin arvioidessaan kyberturvallisuuteen liittyviä riskejä eri organisaatioissa. The Future of Cybersecurity in Internal Audit -tutkimusraportin mukaan tämä on mahdollista kehittämällä suhteita, hallitsemalla laajoja kokonaisuuksia ja panostamalla asiantuntijuuden hankkimiseen.
Elämme tiedon ja verkkojen varassa
Yhteiskunnalle välttämättömät toiminnot – kuten energiahuolto, vedenjakelu, pankkitoiminta ja liikenteen sujuvuus – ovat tietoverkkojen varassa. Kyberturvallisuus on syvästi sidoksissa yritysten liiketoimintaan, ja aivan viime vuosina siitä on tullut yksi merkittävimmistä haasteista organisaatioiden ja yritysten riskienhallinnassa. Kyberturvallisuuteen liittyy monia epävarmuuksia ja sen toimintaympäristö muuttuu jatkuvasti. Pysyykö sisäinen tarkastus kyberturvallisuuden tuomien haasteiden tasalla?
The Internal Audit Foundation, the Institute of Internal Auditors’ (IIA’s) sekä Crowe Horwarthin tekemä tutkimusraportti [1] esittelee, miten sisäisen tarkastuksen tulisi vastata kasvavaan kyberuhkaan. Tutkimuksessa kysyttiin sisäisen tarkastuksen ja kyberturvallisuuden ammattilaisilta ja asiantuntijoilta toimintatapoja kyberriskien hallinnassa. Kyselyyn vastaajat esittivät myös näkemyksiä sisäisen tarkastuksen roolista kyberturvallisuudessa.
Tutkimusraportti nostaa esille kolme laajaa osa-aluetta, joihin tulisi kiinnittää erityistä huomiota. Ensimmäinen osa-alue on suhteiden kehittäminen sisäisen tarkastuksen yksikön sekä muiden strategisesti tärkeiden yksiköiden välillä, joita ovat muun muassa tietotekniikka- ja tietoturvayksikkö sekä organisaation riskienhallintayksikkö. Toinen osa-alue on sisäisen tarkastuksen roolin merkityksen kasvaminen. Tällä tarkoitetaan, että sisäisen tarkastuksen tulee hallita entistä laajempia kokonaisuuksia kyberturvallisuusriskiä arvioidessa. Kolmantena osa-alueena on kyberturvan asiantuntijuuden hankkiminen.
Kyberturvan yksiköiden suhteiden pitää toimia hyvin
Kyberturvallisuus ajaa organisaatioita määrittämään ja tekemän uudestaan riskien hallinnan kolme vaihetta, joita ovat
1) vaarojen ja haittojen tunnistaminen,
2) tunnistettuun vaaraan liittyvän riskin merkityksen arviointi sekä
3) riskien torjunta tai pienentäminen.
Tämän toteuttamiseksi sisäisen tarkastuksen tulee hallita laajoja alueita, ja se taas vaatii entistä enemmän yhteistyötä ja suhteiden kehittämistä muihin organisaation toimijoihin, kuten IT-osaajiin ja tietoturva-asiantuntijoihin. Yhteistyöhaluiset ja positiiviset suhteet ovat ratkaisevassa roolissa sisäisen tarkastuksen toiminnassa ja voivat edesauttaa tarkastustyön onnistumista sekä parantaa sen laatua.
Raportin mukaan erityisesti vakaat suhteet sisäisen tarkastuksen ja IT-toimintojen välillä ovat keskeisessä roolissa kyberturvallisuuden parantamisessa – sisäisen tarkastuksen riippumattomuus ei kuitenkaan saa vaarantua. Vakaat ja luotettavat suhteet luovat perustan kyberriskien ehkäisylle, mikä saattaa vaatia koordinointia ja tehtävien uudelleen allokointia.
TIETOTEKNIIKAN, TIETOTURVAN JA SISÄISEN TARKASTUKSEN YKSIKÖT PUOLUSTAVAT ORGANISAATIOTA KYBERRISKEILTÄ. NÄIDEN YKSIKÖIDEN TEHTÄVÄT JA TYÖNJAKO KYBERUHKIEN TORJUNNASSA SAATTAVAT KUITENKIN OLLA EPÄSELVIÄ
Sisäisen tarkastuksen ja tietotekniikan tiimit voivat yhteistyötään kehittämällä selkeyttää ja lisätä ymmärrystä organisaation kyberturvallisuuden riskeistä. Kyberuhkien lisäksi laaja-alaiset tietomurrot ovat saaneet sisäisen tarkastuksen yksiköt keskittymään kykyynsä arvioida ja määrittää menettelytapoihin perustuvia, henkilökohtaisia ja teknisiä kontrolleja organisaatioidensa aineisto- ja tietoturvakäytänteisiin. Tämä johtaa myös riskienhallinnan vaiheiden uudelleen suunnittelemiseen.
Sisäisen tarkastuksen rooli kyberturvassa usein vähäinen
Suurimmassa osassa kyselyyn osallistuneista organisaatioista sisäisen tarkastuksen rooli IT-projekteissa oli rajoittunut vain konsultointiin, ja puolella organisaatioista rooli oli hyvin minimaalinen tai sitä ei ollut lainkaan. Kuitenkin hieman yli puolet vastaajista kertoi, että sisäisellä tarkastuksella on jäsen organisaation Projekti – tai Hyvä tiedonhallintatapa (IT Governance) -ohjausryhmissä tai komiteoissa. Sisäisen tarkastuksen tulisikin kyetä vakuuttamaan ja osoittamaan entistä selkeämmin, miten se voi tuottaa lisäarvoa tietotekniikkahankkeiden riskien hallintaan. Vastaajat korostivat myös tarvetta suurempaan näkyvyyteen kyberturvallisuuden huoliin hallitustasolla, mutta vain 39 prosenttia vastaajista kertoi organisaationsa raportoivan kyberturvallisuusriskeistä ja -suuntauksista johdolle tai tarkastusvaliokunnalle.
Kyberturvauhkien kasvaessa sisäisen tarkastuksen tulisi pyrkiä ennalta ehkäisevään rooliin. Kyberturvan tarkastussuunnitelmaa laadittaessa sisäisen tarkastuksen tulee ymmärtää johdon valitsema kyberturvallisuuden rakenne ja organisointi.
Organisaatioiden tulee myös laatia riskiperusteinen kyberturvaohjelma ja päivittää sitä säännöllisesti riskiympäristön muuttuessa. Tässä työssä käytetyistä viitekehikoista tutkimukseen vastanneet nimesivät yleisimmin seuraavat kolme: The NIST Cybersecurity Framework (NIST CSF/SP 800-53), COBIT 5 ja ISO/IEC 270001. Näistä ensimmäinen on kyberturvan viitekehikko, COBIT 5 on geneerinen tietohallinnon ja johtamisen malli ja viimeksi mainittu tietoturvan standardi.
Kyberturva tuo uusia osaamisvaateita sen tarkastajille
Tutkimusraportin mukaan sisäisen tarkastuksen ammattilaisilla on oltava osaamista ja ymmärrystä kyberturvallisuusohjelmien elementeistä sekä riittävä määrä tietoa näiden kontrolleista ja testauksesta. Tämä johtaa siihen, että sisäisen tarkastukseen on hankittava lisää kyberturvallisuuden asiantuntijuutta. Tietojärjestelmähallinnan osaaminen on avainasemassa: tämä tarkoittaa teknistä osaamista ja ymmärrystä verkkopalvelimista, sovelluksista, tietokanta-alustoista ja muista toiminnoista, jotka ovat haavoittuvaisia kyberturvallisuusuhkille. Verkkojen suunnittelu- ja kokoonpanotaidot ovat myös tärkeitä, sillä monet kriittiset havaitsemis- ja suojakomponentit – kuten tietomurtohälytinjärjestelmät, käyttöoikeusluettelot ja palomuurit ja – ovat osa toimintaverkkoa. Ilman näitä taitoja sisäisen tarkastuksen on vaikea onnistua kyberturvatehtävässään.
Lähteet
[1] Jamison, J., Morris, L., & Wilkinson, C. (2018) A joint research report by the Internal Audit Foundation and Crowe Horwath. The Future of Cybersecurity in Internal Audit.