Kyberturvallisuus koetaan turvallisuuden tunteena – tai turvattomuuden
Helsingin Sanomien Turvallisuus -liitteen (viikko 48/2022) Puheenvuorossa Jarno Limnéll (sotatieteiden tohtori ja Aalto-yliopiston työelämäprofessori) totesi, että ”turvallisuus on ensisijaisesti tunne – vaikka kuinka rationaalisesti yrittäisimme asioita ajatella. Yhteiskunnan vakaus ja yksilön henkinen hyvinvointi ovat riippuvaisia juuri turvallisuuden tunteesta. Arviot turvallisuusasioista eivät kuitenkaan saa olla ainoastaan turvattomuutta ilmentäviä, eli puhetta uhkista ja riskeistä. Turvallisuus on ensisijaisesti nähtävä valtion perustehtävänä ja mahdollistavana asiana – luottamuksen perustana.”
Täydennän tähän itsestään selvän asian: valtion ja yksilön lisäksi tärkeä toimija ovat myös yritykset ja organisaatiot.
Yrityksen kyberturvallisuuden moniulotteisuus
Mikä tekee tästä turvattomuuden tunteesta entistä ikävämmän, on se että kyberturvallisuus ei koske vain meidän yrityksemme toimintaa, vaan se ulottaa lonkeronsa kaikkeen ja kaikenlaiseen yhteistyöhön, verkostoihin ja myös asiakkaisiin. Jos asiat eivät ole yrityksessämme kunnossa, voimme altistaa asiakkaamme ja yhteistyökumppanimme hirvittäville riskeille. Ja toisaalta, jos yhteistyökumppanimme, tai vaikkapa merkittävän asiakkaamme asiat eivät ole kunnossa, tulemme altistuneeksi itse. Katseen on siis oltava todella laaja-alainen, ja sellaista laaja-alaisuutta edustavat yrityksen hallitus ja sen nimittämä ylin operatiivinen johto.
Hallituksen ja ylimmän johdon nyrkkisäännöt
Kyberturvallisuudesta tekee erityisen ikävän se, että vain hyvin harva meistä on sen asiantuntijoita, erityisasiantuntijuudesta puhumattakaan. Mutta silti siihen on yrityksen ylintä vastuuta kantavien itse tartuttava. Hallitus- ja ylimmän operatiivisen johdon tasolle voidaan antaa muutama nyrkkisääntö, joita kannattaa noudattaa:
Varaudu mieluummin jo etukäteen, kuin reagoi pakon edessä – pahimman jo tapahtuessa tai tapahduttua.
Nyt on vain tartuttava toimeen ja nostettava asia keskusteluun myös ylimmässä johdossa ja hallituksessa. Se että siitä toki joskus puhuttiin, ei enää riitä. Asiakaskantanne on todennäköisesti muuttunut, yhteistyökumppaninne ovat kenties vaihtuneet ja toimintanne on saanut uudenlaisia muotoja ehkä uusien liiketoimintojen aloituksen vuoksi, kenties uusilla markkinoilla tai vähintäänkin kasvavan digitalisaation ja verkkopalveluiden muodossa. Ja vaikka näistä mitään ei olisi tapahtunutkaan, toimintaympäristönne on varmasti muuttunut.
Ei riitä että operatiivisessa johdossa on asiantuntija, tai että teillä on konsulttikumppani tai IT-asiantuntija, joka kyllä huolehtii. Mikään näistä tahoista ei elä sitä kokonaisuutta todeksi, tai näe niin pitkälle kuin hallituksessa nähdään ja aktiivisesti katsotaan yhdessä operatiivisen johdon kanssa. Siksi hallituksen on nyt tartuttava tähän itse.
Hallituksessa ja ylimmässä johdossa on siis oltava omaa osaamista, ja ennen kaikkea ymmärrystä kokonaisuudesta ja sen osa-alueista. Ymmärryksen myötä havahdutaan aktiivisesti kysymään asiantuntijoilta tarvittaessa asioita, sekä osataan kytkeä kyberturvallisuus osaksi strategiatyötä ja liiketoiminta- tai muiden skenaarioiden arviointia. Siksi riittävä ymmärrys asiasta, terminologian tuntemus sekä henkinen kantti puhua ja kysyä asiasta on hankittava itselle.
Älä ulkoista vastuuta, älä jättäydy toisen varaan.
Tosipaikan tullen vetoaminen ulkopuoliseen kumppaniin ryvettää vain teidät molemmat.
Onneksi oman vastuun ottaminen on nyt mahdollista. Arvelen, että olet jo ehtinyt miettiä, miten omaa näkemystä voisi kasvattaa. Kyberturvallisuutta käsittelevää materiaalia ja koulutusta on runsaasti – itse asiassa siinä määrin liikaa, että infoähky saattaa ohjata kuulijan vääriin näkökulmiin, jotka eivät ole itselle tai omalle toiminnan tasolle niitä relevanteimpia. Näitä edustavat esim. hallituksen ja ylimmän johdon osalta liian pian ja liian syvälle sukeltavat yksityiskohdat. Ne ovat tietenkin kriittisen tärkeitä, mutta parhaiten hyödynnettävissä asiantuntijoiden käsissä. Yrityksen ylin johto ja hallitus tarvitsevat heidän tasolleen sopivaa koulutusta ja tietoa.
Yrityksen ylimmän johdon ja hallitustason kyberturvallisuuskoulutus
InHunt ja Keskuskauppakamari ovat tarttuneet tähän tärkeään teemaan. Ensimmäinen ylimmän johdon Kyberturvallisuuskoulutus pidettiin tänä syksynä, ja sen päätöstilaisuus todistusten jaon ja juhlamaljojen saattelemana oli viime viikolla. Uskon että maljankohotuksen virittämät hymyt eivät heränneet pelkästään kurssin käymisen ilosta, vaan huojennuksesta siitä, että oma ymmärrys oli selkeästi kirkastunut uudella tasolla. Se helpottaa ja se rauhoittaa – vaikka varsinainen oma panos yrityksessä onkin vasta edessäpäin. Mutta nyt siihen on syntynyt konkreettinen, juuri omalle yritykselle luotu runko ja kirkas näkemys siitä, miten tästä mennään eteenpäin.
Kurssilaisten kommentteja kyberturvallisuuskoulutuksesta:
- “Käsitteistö kirkastui! Oikean terminologian käyttö ja sen kääntäminen yhteiseksi kieleksi auttaa.”
- ”Hyvä läpileikkaus: osa oli tuttua jo entuudestaan mutta tiesin, ettei se kata kaikkea. Nyt kokonaisuus täydentyi.”
- ”Holistinen näkymä.”
- ”Konkreettinen suunnitelmapohja, johon oli helppo tarttua.”
- ”Kattaa kaikki johtamisen alueet, myös henkilöstöjohtamisen näkökulman.”
- ”Valtavan hyvä, pilkkoi elefantin osiinsa”.
- ”Ihan loistavaa materiaalia.”
- ”Itse tekemäni kyberturvallisuussuunnitelma lisäsi konkreettisella tavalla omaa kuvanmuodostusta ja ymmärrystä. Nyt on varmuus alkaa puhua.”
- ”Antoi valmiuksia myös ostaa palveluita tälle alueelle.”
Tarja Ilvonen
Johtaja Board Competencies, Senior Headhunter
