Tulostusversio

1/2013

Näin perustelet tietoturvainvestoinnit

Teksti: Antti J. Lagus

Tietojärjestelmien hankinnassa on vaikeaa mitata tai hinnoitella tarkasti tietoturvan osuutta.

”Osa on käytettävyyttä, osa laatua ja osa tietoturvaa”, professori Mikko Siponen Jyväskylän yliopiston tietojenkäsittelytieteiden laitokselta sanoo

Tietoturvainvestointien tarkkaa mittaamista haittaa sekin, että uhkien määrä on arvailun varassa.

Aikaisemmassa tutkimuksessa tietoturvainvestointien oikeaan mitoittamiseen on kehitetty matemaattisia malleja. Ne perustuvat lukuisiin oletuksiin, joista yksi on suurimman mahdollisen nettotuoton hakeminen.

”Nettotuottoa varmasti haetaan esimerkiksi pörssi- ja yrityskaupoista, mutta tämä ajattelu ei sovi kaikkiin tietoturvainvestointeihin”, Siponen sanoo.

Siposen työryhmä tutki asiaa siitä näkökulmasta, miten yrityksen johto saadaan hyväksymään investointiehdotukset.

Ryhmä kysyi suurten suomalaisyritysten ylimmältä johdolta, millaisiin tietoturvainvestointeihin he olisivat valmiita. 690 yritykseen lähetetystä kyselystä tuli vastauksia noin 140, mitä Siponen pitää hyvänä vastausprosenttina.

Negatiivinen esitys huomataan

Tutkimuksessa havaittiin, että johtajat olivat halukkaita investoimaan tietoturvaan, kun investointi oli perusteltu niin, että sillä voidaan välttää kielteisiä seurauksia. Erityisesti niin sanotut emotionaaliset päätöksentekijät suosivat tällaisia ratkaisuja. Sen sijaan rationaaliset päätöksentekijät suosivat myönteisiä perusteluita.

”Jos investointi on kallis, negatiivisesti muotoiltu investointiesitys menee paremmin läpi”, Siponen kärjistää.

Mitä todennäköisempi ja vakavampi uhka oli kyseessä, sitä helpommin investointiesitykseen suostuttiin. Tutkimuksessa ilmeni myös, että mitä kalliimpi ratkaisu oli kyseessä, sitä vähemmän oli investointihalukkuutta.

Puhu johdon kieltä

Siponen muistuttaa myös, että investointiesityksissä on tärkeätä se, millaista kieltä niissä käytetään, sillä päätöksiä eivät tee IT-asiantuntijat vaan yritysjohto. Myös se vaikuttaa asiaan, että useimmiten tietoturva on yksi monien muiden investointikohteiden joukossa.

”Ennen kaikkea hankittavan ratkaisun pitää olla helppokäyttöinen. Sitä ei voi tarpeeksi alleviivata. Usein tietoturvahenkilöt ajattelevat, että tietoturvaratkaisun käyttö on itsestään selvää, mutta näin ei ole. Sen sijaan pitää puhua johdon ja muun henkilökunnan käyttämää kieltä”, Siponen sanoo.

 

 

Lue myös

Varaudu uhkiin järjestelmällisesti »
Varautumisen 5 vinkkiä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.