KYLKIRAUTA
kr3_16
kr3_16
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Johtaja on vastuunkannon ammattilainen<br />
ja organisaation ylin päättäjä.<br />
Jokainen tietää, kuka hänen<br />
omassa organisaatiossaan viime kädessä<br />
vastuun kantaa. Kutsuttakoon häntä<br />
tässä kirjoituksessa vaikkapa toimitusjohtajaksi.<br />
Jos yrityksen strategia ei tuota toivottua<br />
tulosta, katseet kääntyvät toimitusjohtajaan.<br />
Epäily lahjusskandaalista?<br />
Toimitusjohtajan on selvitettävä asia<br />
ja varmistettava, ettei vastaavaa pääse<br />
enää jatkossa tapahtumaan. Toimenkuva<br />
kattaa kaiken mahdollisen liiketoimintaa<br />
hyödyttävän toiminnan ja<br />
esteiden raivaamisen sen tieltä. Säännöt<br />
ovat yksinkertaiset: menestyksekkäälle<br />
liiketoiminnalle esteeksi muodostuva<br />
toimitusjohtaja on pian entinen toimitusjohtaja.<br />
Toimitusjohtajasta sukeutuu nopeasti<br />
riskienhallinnan ammattilainen.<br />
Jokaisen päätöksen vaikutukset on<br />
punnittava uhkien ja mahdollisuuk sien<br />
kautta. Vastuuta ei voi paeta – myös<br />
päättämisestä pidättäytyminen on<br />
päätös. Entäpä miten on kyberturvallisuuden<br />
laita?<br />
Yritysjohtajien kanssa keskustellessani<br />
johdattelen keskustelun usein<br />
kyberturvallisuuteen. Haluan kuulla,<br />
millaisia ajatuksia aihe heissä herättää.<br />
Mitä johtamishaasteita vastaan<br />
on tullut, ja millaiset lähestymistavat<br />
ovat tuottaneet tulosta? Käytyjen keskustelujen<br />
perusteella oloni on hieman<br />
levoton.<br />
Vastaukset ovat olleet pinnalta<br />
hyviä, mutta sisältä raakoja: ”Kyberturvallisuus<br />
on yksi niistä asioista,<br />
jotka pitävät minut hereillä öisin.”<br />
Vastauksesta voisi päätellä asioiden<br />
olevan kunnossa. Kysyn kuitenkin,<br />
tietääkö toimitusjohtaja ne tietojärjestelmät,<br />
joihin murtautuminen aiheuttaisi<br />
suurimmat vahingot? Miten niiden<br />
suojaamiseen on paneuduttu, kuinka<br />
sitä on käytännössä testattu, ja millä<br />
tavalla hyökkäyksestä toipumista on<br />
harjoiteltu?<br />
Keskustelu tökkää useimmiten jo<br />
ensimmäiseen kysymykseen. Monesti<br />
vastaus kuuluu: ”Meillä tämä asia<br />
on hoidossa.” Tietenkin hyvä johtaja<br />
delegoi, valtuuttaa ja antaa alaisilleen<br />
vapauden järjestää työnsä parhaalla<br />
kolumni<br />
Ajan kaikuja<br />
mahdollisella tavalla – kuka nyt olan<br />
takaa kyttääjää pomokseen haluaisi!<br />
Valitettavan usein kyberturvallisuus<br />
nähdään vain huipputekniikkana ja<br />
käsittämätöntä kieltä puhuvien hämärien<br />
hupparityyppien omana alueena.<br />
Yrityksen suojaksi on hankittu hienointa<br />
ja kalleinta tekniikkaa ymmärtämättä,<br />
että ammattimaiset hyökkääjät<br />
marssivat sen läpi niin halutessaan.<br />
Psykologi näkisi tässä arkkityyppisen<br />
kognitiivisen dissonanssin: ollaan huolissaan<br />
uhasta, jota ei ymmärretä, mutta<br />
luotetaan toisen sanaan siitä, että ongelma<br />
on ratkaistu tavalla, jota kuitenkaan<br />
ei ymmärretä. Ei ihme, ettei uni tule.<br />
Myös kyberturvallisuuden tulisi<br />
olla johdettu tila. Se tarkoittaa tavoitteita,<br />
seurantaa, päätöksiä ja ennen kaikkea<br />
riskien punnintaa. Ilman johtajuutta<br />
kyberturvallisuutta tehdään poukkoilevasti,<br />
sännäten kulloinkin kiiltävimmän<br />
mahdollisuuden perään tai pakenemalla<br />
kovaäänisimmin huudettua uhkaa.<br />
Useimmilta puuttuu kognitiivinen<br />
malli kybertoimintaympäristön lainalaisuuksien<br />
ja riippuvuusketjujen<br />
hahmottamiseen. Moni joutuu pinnistelemään<br />
ymmärtääkseen, että sähköpostissa<br />
tulleen liitteen avaaminen saattaa<br />
johtaa kymmenien miljoonien eurojen<br />
tappioihin. Jopa omalta henkilökunnalta<br />
visusti suojatut asiakastiedot<br />
saattavat päätyä iltapäivähakkeroinnin<br />
sivutuotteena teiniikäisen haltuun.<br />
Jälkiselvittelyissä käy ilmi, että yksinkertaiset<br />
laiminlyönnit ja suojauksen<br />
puutteet ovat kostautuneet ikävällä<br />
tavalla. Niistä ei vain oltu tietoisia<br />
– kuka nyt omia järjestelmiään vastaan<br />
haluaisi hyökätä. Kriittisten järjestelmien<br />
suojauksia ei ole testattu eikä<br />
toipumista harjoiteltu.<br />
Toimitusjohtajan tulee ottaa hänelle<br />
kuuluva rooli kyberturvallisuuden johtamisessa.<br />
Jos priorisointi on organisaatiolle<br />
epäselvää, tulee johtajan ensin<br />
määrittää tärkeimmät suojattavat kohteet.<br />
Kannattaa aloittaa niistä, joiden<br />
vahingoittaminen vaarantaisi yrityksen<br />
toiminnan vakavimmin. Mitkä tiedot<br />
eivät missään nimessä saisi vuotaa kilpailijalle<br />
tai julkisuuteen? Entä millaisen<br />
hintalapun asettaisit maineellesi tai<br />
valvovan viranomaisen hyväksynnälle?<br />
Asiakkaidensa pyynnöstä FSecure<br />
tunkeutuu jatkuvasti näiden tärkeimpiin<br />
tietojärjestelmiin. Tilattu hyökkäys<br />
onnistuu yleensä helpohkosti. Asiakas<br />
saa paljon oppia onnistuneista murtautumisista.<br />
Seuraavalla kerralla ei sama<br />
murtautumistapa enää ehkä toimikaan.<br />
On hyvä antaa asiantuntijoiden<br />
kokeilla, miten helppoa suojausten<br />
murtaminen on. Sen perusteella selviävät<br />
tarvittavat korjaustoimet. On hyvä<br />
tiedostaa myös ”pehmeät kohteet”,<br />
joiden suojaamiseksi ei ole teknistä<br />
ratkaisua. Niissä täytyy luottaa oman<br />
henkilökunnan, kumppanien ja jopa<br />
asiakkaiden hoksottimiin. Tunnistavatko<br />
he nämä uhat, osaavatko he toimia<br />
oikein, ja miten osaamista luodaan ja<br />
harjoitellaan?<br />
Johtamisen rooli korostuu vielä<br />
entisestään silloin, kun turvallisuuden<br />
parantaminen edellyttää investointeja<br />
tai resursointia, monen yhtäaikaisen<br />
toimenpiteen yhteensovittamista tai<br />
kokonaista kulttuurin muutosta. Sellaisia<br />
päätöksiä ei voi tehdä ”joku<br />
jossakin”, vaan ne kuuluvat toimitusjohtajalle.<br />
Jos kyberturvallisuuden<br />
huomioon ottaminen ei jo ennestään<br />
kuulu yrityksen toimintakulttuuriin,<br />
edellyttää elintilan saaminen aina johtajan<br />
myönteistä esimerkkiä. Muutos<br />
lähtee ylhäältä!<br />
Hakkeroi yrityksesi jo tänään –<br />
nukut yösi paremmin.<br />
Risto Siilasmaa<br />
39 Kylkirauta 3/2016