Pääomasijoittajalla ei ole varaa unohtaa tietoturvaa

 

Apr 21, 2021
 

Kun pääomasijoittaja alkaa suunnitella sijoitusta uuteen yritykseen, on tärkeää varmistaa, että tietoturvasta on huolehdittu. Tietoturvayhtiö Nixun liiketoimintajohtaja Antti Nuopponen kertoo, mitä pääomasijoittajan pitää huomioida.

 
Tuomas Syrjänen

 

Viime vuodelta kaikkien suomalaisten tuoreessa muistissa on psykologiapalveluja tuottavan Vastaamon tietomurtotapaus, joka on sittemmin johtanut erimielisyyksiin yrityksen ostaneen pääomasijoittajan ja yrityksen myyjien välillä.


Vastaamossa realisoitunut tietoturvariski oli monella tavalla mittakaavassaan omaa luokkaansa. Pääomasijoittaja voi minimoida vastaavien riskien toteutumista omissa sijoituskohteissaan. Sataprosenttista varmuutta siitä, että mitään ei koskaan sattuisi, on silti mahdotonta saada, tietoturvayhtiö Nixun liiketoimintajohtaja Antti Nuopponen huomauttaa.


”Jokaisessa yhtiössä kannattaa selvittää minkälaisia kyberriskejä toimintaan liittyy ja varmistaa, että niihin on varauduttu asianmukaisesti. On silti hyvä muistaa, että kyberriskien realisoitumista ei voi kokonaan estää”, Nuopponen toteaa.


 

 

Tärkeintä ymmärtää tietojärjestelmien merkitys liiketoiminnalle

 

Nuopponen kehottaa sijoittajaa lähtemään liikkeelle siitä, että arvioi tietojärjestelmien ja digitalisaation merkitystä yrityksen liiketoimintaan. Mikä rooli järjestelmillä ja digitaalisilla ratkaisuilla on yrityksen liiketoiminnan tekemisessä ja yrityksen arvolle?

 

”Jos mietitään perinteistä liiketoimintaa, vaikkapa videovuokraamoa, niin yritys pystyisi pyörittämään toimintaansa, vaikka vuokrausjärjestelmä kaatuisi. Mutta jos hakkeri murtautuu Netflixille tai tekninen häiriö estää heidän palvelunsa käyttämisen, se voi pysäyttää rahantulon saman tien”, Nuopponen kuvaa.

 

Mitä pidemmälle digitalisaatio on viety yrityksessä, sitä suurempia vaikutuksia kyberuhilla yleensä on liiketoiminnalla. Kyberpoikkeamista ja tietoturvaongelmista suurimmat vahingot tyypillisesti syntyvät toiminnan keskeytymisestä.

 

”Erityisesti alustataloudessa liiketoiminnan arvo muodostuu digitaalisista ratkaisuista, kun taas perinteisemmässä liiketoiminnassa niillä on pienempi rooli. Tämä vaikuttaa myös siihen, millaisilla keinoilla tietoturva-auditointi kannatta tehdä esimerkiksi yrityskauppavaiheessa”, Nuopponen sanoo.

 

Avainasemassa ylimmän johdon sitoutuminen

 

Kun kartoitus on tehty ja liiketoimintaymmärrys tietoturvan kannalta syntynyt, kannattaa miettiä, mikä voisi mennä pieleen. Mitkä riskit voivat pahimmillaan realisoitua ja miten?

 

”Tietoturvatarkastuksessa tunnistetaan oleelliset riskit ja mietitään, miten ne voisivat realisoitua. Lisäksi tunnistetaan kontrollit, jotka voivat estää riskien toteutumisen, esimerkiksi erilaiset kehityskäytännöt ja auditoinnit”, Nuopponen sanoo.

 

Yrityskaupan due dilligence -vaiheessa tietoturvatarkastus toteutetaan yleensä sisäpiirissä olevia henkilöitä haastattelemalla, dokumentaation läpikäynnillä, prosessien toiminnan varmistamisella ja teknisillä tarkastuksilla.

 

”On kuitenkin tärkeä muistaa, että asiat eivät aina todellisuudessa ole sitä miltä ne näyttävät. Kun tietoa on saatavilla vain ylimmältä johdolta ja muutenkin joudutaan pyörimään aika ylätasolla, ollaan luotettavuuden kanssa hieman hataralla pohjalla. Jokin prosessi voi olla paperilla eri kuin käytännössä”, Nuopponen korostaa.

 

Nuopponen painottaa, että kaiken avain on ylimmän johdon sitoutuminen tietoturva- ja tietosuoja-asioihin. Johdon tehtävä on varmistaa, että organisaatiossa on riittävät resurssit ja osaaminen tietoturvasta huolehtimiseen. Onko tietoturvapäälliköllä oikeasti aikaa ja tietotaitoa tehtävän hoitamiseen?

 

Yrityksen prosessit ja dokumentaatio pitää myös mitoittaa yrityksen koon mukaan, jotta ne toimivat arjessa. Esimerkiksi start-upissa dokumentaatio voi olla muutama wiki-sivu, joilla näytetään, että asiat on mietitty ja henkilöstöä on ohjeistettu asianmukaisesti. Siltikin aina jää kysymykseksi, toimiiko organisaatio ohjeiden mukaisesti.

”Usein tietoturvaongelmat liittyvät siihen, että perusasioiden tekemisessä on puutteita ja prosessit päivitysten tekemiseen ja elinkaaren hallintaan eivät ole kunnossa.”

 

Kuvalähteet: Philipp Katzenberger/Unslapsh, Nixu Oyj

 

 

Zapflow by Mandatum on Mandatum  ja suomalaisen Zapflow-ohjelmistoyhtiön rakentama digitaalinen ekosysteemi. Pääomasijoittajille ja muille alan toimijoille suunnattu ekosysteemi mahdollistaa koko sijoitustoiminnan hallinnan yhden alustan kautta. Sen kautta onnistuu niin hankevirran hallinnointi, kohdeyhtiöiden seuranta, rahoituskierrokset ja portfolioyhtiöiden raportointi kuin asiantuntijapalveluiden hakeminen ja yhteistyö eri sidosryhmien kesken.

 

JAA ARTIKKELI