Taru Hermunen-Kuusela: Ihmislähtöinen kyberturvallisuus

Kyberturvallisuus ymmärretään usein hyvin tekniseksi asiaksi ja aiheeksi. Vain kyberturvallisuuden kovat ammattilaiset tietävät ja osaavat. Monesti luotetaan siihen, että nämä samat ammattilaiset myös huolehtivat asioista niin, ettei tavallisen ihmisen, työntekijän, nyt niin tarvitsekaan ymmärtää tai osata. Arjessa harvoin muut kuin kyberturvan ammattilaiset ymmärtävätkään mistä on kyse, miten asiat liittyvät itseen tai omaan työhön, tai miten pitäisi toimia kyberturva-asioiden osalta erityisesti silloin, kun on tarve toimia. Useimmiten esillä on vain kyberturvallisuuden ns. tekninen puoli, eli vaikkapa työkalut, järjestelmät ja prosessit. Harvoin asioissa on huomioitu kyberturvallisuuden ihmislähtöinen näkökulma: tunteet, ihmisen mieli ja sen vaikutus kyberturvallisuuteen ja sen toteutumiseen tai ihmisen käyttäytyminen ja sitä ohjaavat tekijät.

Kun kuitenkin ajatellaan erilaisia muutoksia, jotka liittyvät kyberturvallisuuden kehittämiseen, vahvistamiseen ja varmistamiseen työssä, liiketoiminnassa tai organisaatiossa, ihmisen vaikutus onnistumiseen on merkittävä, ellei jopa kriittinen siinä, miten tavoitellussa lopputuloksessa onnistutaan. Tässä suhteessa kehitystyö ja muutosten tekeminen, tukeminen ja läpivienti yrityksessä tarvitsee kyberturvallisuuteen liittyvissä kysymyksissä samaa mitä missä tahansa muussakin muutoksessa: ihminen on saatava mukaan muutokseen. Vaikka lähtökohta tekemiseen ja kehittämiseen olisi tekninen, onnistumisen edellytyksenä on silloinkin pysyvä ihmisten käyttäytymisen muutos. Kyberturvallisuudenkin osalta kaiken suunnittelutyön, työkalujen käyttämisen, prosessien mukaan toimimisen ja mahdollisiin poikkeavuuksiin reagoimisen tekee aina lopulta ihminen.

Jotta on mahdollista saada aikaan pysyvä muutos ihmisten toiminnan ja käyttäytymisen tasolla, ihmiset tulee saattaa johdonmukaisesti eteenpäin muutoksen portailla, jotka auttavat jokaista yksilöä omaksumaan valitut asiat ja toiminaan omassa arjessaan toivotulla, kyberturvallisuuden toteutumista tukevalla tavalla jokaisessa työtehtävässä, henkilön roolista riippumatta.

Ensimmäisellä portaalla ihmistä autetaan tiedostamaan tärkeimmät tunnistetut organisaation tai työtehtävän kannalta merkityksellisimmät kyberturvallisuuteen liittyvät asiat. Tästä portaat jatkuvat johdattamalla ihminen vielä tarkemmin ymmärtämään asioiden yhteys omaan työhön ja toimintaan sekä oppimaan ja omaksumaan tarvittavat työkalut ja työtavat, mitä kautta asioiden on mahdollista juurtua jokaisen ihmisen arkeen ja organisaation kulttuuriin.

Vaikka kyberturvallisuus olisi yrityksessä tai organisaatiossa tunnistettu liiketoiminnan kannalta keskeiseksi ydinasiaksi, on se samalla pääsääntöisesti suurimmalle osalle työntekijöistä haastava ja vaikea, usein myös hyvin abstrakti, epämääräinen asia. Asioista puhuminen ja niistä viestiminen kyberturva-ammattilaisen jargonilla monesti vain vaikeuttaa asioiden ymmärtämistä ja omaksumista silloinkin, kun ne olisivat oleellisen tärkeitä muillekin yrityksen työntekijäryhmille. Vaikeaselkoisuus ja yksikertaisen konkretian puute on puolestaan omiaan herättämään epävarmuuden, ulkopuolisuuden ja jopa pelon tunteita, jotka puolestaan entisestään hankaloittavat haastavan aiheen ja asian omaksumista ja soveltamista arjessa.

Moni voi ajatella, että ”kun kerran en ymmärrä, niin asia ei varmaan edes kuulu minulle” – on kyse sitten kyberturva-ammattilaisen mielestä miten pienestä ja yksinkertaisesta asiasta hyvänsä. Tällöin parhaat käytännöt, toimintaohjeet ja hyvin mietityt prosessit jäävät jalkautumatta, ja arjen tilanteissa ihminen saattaa pahimmillaan toimia hätäillen ja oman luulonsa varassa hyvinkin ennakoimattomasti. Jos yhteisiä tapoja ei tunneta ja noudateta, asioissa onnistuminen on vähintäänkin tehotonta, eikä esim. eri työkaluista tai toimintamalleista saada suunniteltua parasta hyötyä. Kyberturvallisuuden toteutumisen kannalta tällöin ollaan verraten kaukana optimaalisesta.

Tästä syystä kyberturvallisuuteen liittyvien eri toimenpiteiden suunnittelu ja toteutus ihmislähtöisesti on entistäkin tärkeämpää. Toimenpiteillä on pystyttävä paitsi toteuttamaan haluttu teknisen puolen muutos, myös rakentamaan tietoisuutta, ymmärrystä ja osaamista ja tätä kautta vahvistamaan yksilötason oivaltamista, luottamusta, turvallisuutta ja halua, motivaatiota toimia oikein sovituilla tavoilla. Jos ihmisen tunteet voivat olla esteenä asioiden toteutumiselle arjessa, voivat ne myös oikein huomioituna ja tuettuina tehdä muutoksista ja niihin liittyvistä toimista sujuvaa, vaivatonta ja nopeaa! Kyberturvallisuusaiheissakin ihmisen on helppo lähteä mukaan niin tarinaan kuin toimiinkin, kun asiat ovat helposti ymmärrettäviä, jokainen ymmärtää niiden vaikutuksen omaan työhön ja oman toiminnan vaikutuksen kokonaisuuteen, ja kun oikein toimimisesta tehdään paitsi helppoa ja mahdollista myös hauskaa ja palkitsevaa.

Lue sarjan toinen osa: Taru Hermunen-Kuusela – Ihmislähtöinen kyberturvallisuus käytännön toimenpiteinä