Onnistunut kyberharjoitus alkaa huolellisella valmistautumisella

• Ratkaisevan tärkeää on tietää mitä järjestelmiä organisaation eri verkoissa on, mitkä järjestelmät ovat yhteydessä toisiinsa, kenellä on pääsy tiettyihin tietoihin, sekä kuka omistaa minkäkin verkon tai palvelun.
• Kriittiset tietotekniset resurssit ovat tiedossa.
  Mitkä tietoteknisen ympäristön osat ovat tärkeimpiä liiketoimintatavoitteiden saavuttamiseksi, esimerkiksi pitkäikäiset asiakkuudet.

• Organisaatiolla on prosessi, jolla varmistetaan, että päätöksentekijät saavat mahdollisimman kattavat tiedot. Prosessissa on keskityttävä ensisijaisesti siihen, että päätöksentekijät voivat tehdä päätöksiä parhaiden mahdollisten saatavilla olevien tietojen pohjalta. Päätöksentekijöitä voivat olla hallitus, johto tai muut organisaation työntekijät. Sekä hallituksen että toimenpiteen toteuttajan on saatava mahdollisimman paljon ymmärrettävää tietoa päätöksenteon tueksi.
  
• Hallitus ja johto ovat määritelleet selvästi, miten riskejä organisaatiossa hallitaan. Tämä sisältää selkeät riskien raportointia koskevat prosessit, riskien merkityksen viestimisen organisaatiossa, sekä kasautuvien riskien huomioinnin.
  
• Kyberriskien hallintaan sovelletaan samoja riskienhallinnan periaatteita kuin muihinkin riskeihin. Kyberturvallisuuden ratkaisut ja teknologiat kehittyvät kuitenkin niin nopeasti, että vaarana on jäädä jälkeen ja käyttää kyberriskien arviointiin vanhentuneita menetelmiä. Siksi kyberriskejä olisi hyvä arvioida useammin kuin muita riskejä.

• Henkilöstö tietää, miten ja kenelle huolenaiheista tai poikkeamista voi raportoida. He myös kokevat olevansa kannustettuja raportointiin.
• Henkilöstö ei pelkää negatiivisia seurauksia raportoidessaan huolenaiheista tai poikkeamista.
• Henkilöstö kokee voivansa kyseenalaistaa toimintamalleja rakentavalla tavalla.
• Henkilöstön näkemyksiä hyödynnetään aidosti turvallisuuskäytäntöjen muovaamisessa.
• Henkilöstö ymmärtää kyberturvallisuuden tärkeyden ja merkityksen organisaatiolle.
• Epäonnistumisten sijaan raportoinnissa ja sisäisessä viestinnässä keskitytään onnistumisiin (kerrotaan esimerkiksi moniko raportoi tietojenkalastelusähköposteista, eikä sitä moniko lankesi niihin).

Suunnitelman on katettava teknisten osa-alueiden lisäksi:

• ihmiset ja prosessit, kuten tiedotusvälineet sekä viestintä asiakkaille ja sidosryhmille
• ilmoituksen tekeminen Kyberturvallisuuskeskukselle
• raportointi sääntelyviranomaisille
• rikosilmoituksen tekeminen Poliisille.
  

Yleisimpiä poikkeamia varten voi olla hyödyllistä laatia erityinen suunnitelma, jossa määritellään organisaation toimenpiteet.

• Miten tietoturvahäiriöihin varaudutaan?
• Miten vahinkoja rajoitetaan, jos yritys joutuu tietoturvaloukkauksen uhriksi?
• Miten yritys toipuu tietoturvahäiriöstä?