Kyberturvallisuudesta (tässä tekstissä synonyymi tietoturvallisuudelle) on tullut osa yleistä keskustelua digitaalisten järjestelmien ja tekoälyn vaikuttaessa yhä voimakkaammin arkeemme. Kyberhyökkäysten ja tietovarkauksien uutisvirtaa seuratessa havaitsee, että koko ajan laajemmin ja syvemmin digitaalisen maailman kautta pyritään vaikuttamaan aina maailman politiikan tasolta yksittäiseen ihmiseen. Hyökkäykset ovat hienostuneempia ja ne kattavat kaikki yhteiskunnan tasot. Kun viime viikolla vakoiltiin valtionhallinnon laitteita niin tänään yritystä kiristetään kaapatuilla tiedoilla ja ihmisiä huijataan tekoälyn laatimilla täysin aitoa vastaavilla viesteillä.
Tämän kaiken keskellä yritykset pyrkivät tasapainoilemaan kyberuhkien, kiristyvän kyberturvallisuuden lainsäädännön, toiminnan sujuvuuden ja kustannusten kanssa. Tähän kakkuun lisätään vielä asiakkaiden erilaiset kyberturvaan kohdistuvat vaatimukset, niin ei ole mikään ihme, että pk-yrityksessä alkavat osaaminen ja resurssit natista liitoksistaan sekä usko loppua selviämiseen.
Kyberturva ei ole vain teknistä
Olen vuosien varrella käynyt näistä aiheista lukuisia keskusteluita yritysten päättäjien kanssa. Kyberturvallisuuden vahva liitos teknologiaan on usein ohjannut keskustelua teknisiin suojauksiin, kun viimeisin suuri tietomurrosta kertova uutinen on herättänyt huolta. Keskeisin havaintoni näistä keskusteluista on se, että usein kyberturvallisuus nähdään teknisenä toimena mikä kuitataan it-osaston vastuulle ja siihen tartutaan, kun jotain menee pieleen tai uutisotsikko sattuu osumaan omalle verkkokalvolle. Muutoin aihe loistaa poissaolollaan asialistoilta sekä sisäisestä ja ulkoisesta viestinnästä. Kyberturvan vastuu kuitataan yhdellä sivulauseella ja suurin hallinnollinen ponnistus on muutaman vuoden välein tehtävä pölyjen pyyhintä vuosia sitten laaditusta politiikasta mikä sekin kopioitiin netistä.
Myönnän, olin vähän epäreilu äsken. Aihe on hankala, se on elänyt murroksessa ja oikeamielisiä saarnaajia siitä, miten asiat tulee korjata, on kolmetoista tusinassa.
Kyberturvallisuus on koko organisaation vastuulla
Kaiken maailman käsienheiluttelijat (minä mukaan lukien) ja teknologianörtit kertovat miten asiat tulee tehdä pilkuntarkasti ja standardin mukaan. Kuka ihme tässä tilanteessa haluaisi myöntää, että kyberturvallisuus on minun vastuullani? Ei välttämättä kukaan mutta kyllähän totuus on se, että sille on löydettävissä vastuulliset eivätkä ne ole yksistään it-osastolla.
Kyberturvallisuuden vastuut yrityksessä leikkaavat läpi koko organisaation. Se alkaa hallituksesta kiertäen koko organisaatiokaavion jokaiseen työntekijään saakka.
Tässä on ensimmäinen oppi, jos olet jonkin organisaation kirjoilla, niin sinulla on oman roolisi mukainen vastuu kyberturvallisuudesta. Asian voi kääntää myös siten, että jos omassa roolissasi et ole kuullut mitään organisaation kyberturvallisuudesta, niin nosta käsi pystyyn ja esitä kysymys esihenkilöllesi. Se on vähintä mitä voit tehdä asian eteen.
Tiivistän ja yleistän seuraavaksi vastuut eri tasoilla. Tätä yleiskuvausta on syytä jokaisen tulkita omaan organisaatioon soveltaen sillä organisaation koko ja rakenne voivat yhdistää tai erottaa osan rooleista.
Hallitus
Hallitus vastaa kyberturvallisuuden kokonaisuudesta ja toteutuksen valvonnasta. Hallituksen tulee olla tietoinen organisaation kyberturvallisuuden tilannekuvasta, keskeisistä riskeistä ja niihin kohdistuvista keinoista. Hallituksen on myös tunnettava organisaatioon kohdistuvat lainsäädännölliset ja sopimukselliset kyberturvallisuuden velvoitteet. Hallitus myös usein linjaa ja hyväksyy politiikan kyberturvallisuudelle. Todettakoon vielä, että hallituksen ei tarvitse mennä konehuoneen puolelle ja ymmärtää teknologisia ratkaisuja tai tuntea jokaista hallinnollista yksityiskohtaa. Hallituksen tehtävänä on tiivistetysti tuntea kokonaisuus ja valvoa sen toteutusta. Hallituksen puheenjohtajalle suosittelen, että kyberturvallisuus tuodaan osaksi hallituksen vuosikelloa
Toimitusjohtaja
Toimitusjohtaja vastaa siitä, että kyberturvallisuuden toimia edistetään kuten hallitus on linjannut. Toimitusjohtaja varmistaa, että kyberturvallisuudelle on riittävät resurssit ja käytännön vastuut on nimetty. Toimitusjohtajalta myös edellytetään samaa ymmärrystä tilannekuvasta, riskeistä ja velvoitteista kuin hallitukselta. Toimitusjohtajalle suosittelen, että kyberturvallisuus tuodaan osaksi johtoryhmän vuosikelloa.
Kyberturvallisuudesta vastaava
Kyberturvallisuudesta vastaava taho vie kyberturvallisuutta käytäntöön. Hän hyödyntää toimissaan organisaation muita resursseja kuten hallintoa ja it-osastoa varmistaakseen niin hallinnollisen kuin teknisen turvallisuuden toteutumisen. Henkilöstöhallinto ja esihenkilöt ovat keskeisessä roolissa edistämään tietoisuutta kyberturvallisuudesta yhdessä siitä vastaavan kanssa. Samaa kaavaa on syytä noudattaa tilaturvallisuuden osalta. Kyberturvallisuudesta vastaavan työvälineitä ovat toimiva ja organisaatiolle mitoitettu hallintajärjestelmä ja vuosikello mitkä varmistavat toistuvan systemaattisen työn. Niiden avulla kyberturvallisuudesta vastaava pystyy organisoimaan esimerkiksi riskien arvioinnit.
Työntekijä
Jokaisen, ja korostan tässä kohtaa sanaa jokaisen, organisaatiossa työskentelevän vastuulla on kyberturvallisuutta koskevien ohjeiden noudattaminen ja pyrkiä havainnoimaan sekä raportoimaan poikkeamia niissä. Jokaisen vastuu on siten hyvin samankaltainen kuin muissakin asioissa, noudata ohjeita, tunnista vaaratilanteita ja ole aktiivinen.
Kyberturvallisuus osaksi kilpailukykyä
Kyberturvallisuus ei siis ole yksittäisen teknisen roolin tehtävä, vaan koko organisaation yhteinen vastuu. Se ulottuu hallituksesta alkaen päättyen jokaiseen työntekijään. Hallituksen tehtävänä on ymmärtää kokonaiskuva ja valvoa toimeenpanoa, toimitusjohtajan roolina on varmistaa resurssit ja ohjata kehitystä, ja kyberturvallisuudesta vastaava taho vie työn käytäntöön hallintajärjestelmien, vuosikellon ja riskienarviointien avulla. Lopulta jokaisella työntekijällä on velvollisuus noudattaa ohjeita ja toimia aktiivisesti vaaratilanteiden tunnistamiseksi. Kun vastuut ovat selkeät ja kyberturvallisuus sisällytetään osaksi organisaation arkea, niin siitä tulee luonnollinen osa toimintaa ja kilpailukykyä.
Kirjoittaja: Mika Lindberg, Opsec Oy liiketoimintajohtaja
Mika Lindberg on Opsec Oy:n kyberturvallisuudesta vastaava ja liiketoimintajohtaja. Mika on toiminut IT-alalla yli 25 vuotta, joista viimeiset 15 kyberturvaan painottuen. Hänellä on laaja-alaisesti kokemusta pk-yritysten kyberturvallisuuden järjestämisestä ISO27001 perusteisesti ja hän tuntee myös hallitustyöskentelyn. Mikalla on useita kansainvälisesti tunnettuja kyberturvallisuussertifiointeja ja HHJ-tutkinto. Tällä hetkellä hänellä on työn alla kyberturvallisuuden maisteriopintojen pro gradu työ minkä aiheena kyberturvallisuus pk-yritysten kilpailuedun tekijänä.
.png)
