Edellisessä blogissani nostin esiin, miten kyberturvallisuudesta puhuttaessa tapetilla useimmiten on vain sen ns. tekninen puoli kuten työkalut, järjestelmät ja prosessit. Harvoin asioissa on huomioitu kyberturvallisuuden ihmislähtöinen näkökulma: tunteet, ihmisen mieli ja sen vaikutus kyberturvallisuuteen tai ihmisen käyttäytyminen ja sitä ohjaavat tekijät.
Nyt jatkan siitä, mitä ihmislähtöinen kyberturvallisuus konkreettisina toimina voi tarkoittaa. Onko kyse teekutsuista, ompeluseuroista vai saunailloista?
Yrityksissä kyberturvallisuus voi liiketoiminnan luonteen ja tavoitteiden perusteella liittyä esimerkiksi ohjelmisto- ja sovelluskehittämiseen tai teollisuusautomaatioon tehdas- ja tuotantoympäristössä. Kyberturvallisuus voi olla paitsi hyvin tietotekninen kysymys niin luonteeltaan myös vahvasti operatiivinen ja samalla vaikkapa laajempaan turvallisuuden kokonaisuuteen liittyvä yksi osatekijä. Nykymaailmassa näkökulmat ja lähtökohdat myös sekoittuvat. Yhä useammin kyberturvallisuus on olennainen osa liiketoiminnan toimintavarmuutta, jatkuvuutta ja tulosta… toimialasta riippumatta.
Toimenpiteet onkin hyvä sovittaa aina oikeaan kontekstiin. Alkuvaiheessa on aina olennaista kirkastaa sekä asiayhteys että tavoite: Mikä on olennaisinta? Mihin keskitytään? Mitä halutaan saada aikaan?
Käytännön tasolla ihmislähtöinen kyberturvallisuus voi tarkoittaa hyvin monenlaisia asioita. Tässä kokoan yhteen jotain esimerkkejä onnistumiseen olennaisesti liittyviä kokonaisuuksia, joilla on sekä yhteys että vaikutusta ihmisten kokemukseen ja käyttäytymiseen. Nämä teema-alueet löytyvät taustalta silloinkin, kun kyse on teknisestä muutoksesta tai työkalujen kehittämisestä, eivätkä ne hoidu itsestään ilman ihmis- ja ajatustyötä. Jokaisen teeman alta löydät muutaman kysymyksen saattamaan sinut alkuun ajattelussa. Joko sinulla on vastaukset kaikkiin kysymyksiin?
Asioiden ytimen kirkastaminen, konseptointi ja projektointi:
- Mitä vahva kyberturvallisuus tarkoittaa käytännössä, ja mitä sen toteutuminen vaatii ihmisiltä eri työtehtävissä ja rooleissa?
- Miten asiat ovat silloin, kun kaikki toimii kyberturvallisuuden kannalta sujuvasti, varmasti ja turvallisesti?
- Minkä haluamme muuttuvan, parantuvan, kehittyvän – millaista muutosta tavoittelemme?
- Mikä on kyberturvallisuuden kannalta olennaisin konteksti: tietoturva sisäänrakennettuna osana ohjelmistokehityksen elinkaarta vai uhkamallinnus ongelmakohtien tunnistamiseen operatiivisessa työssä, vai jokin ihan muu?
- Mikä on kyberturvallisuuden yhteys yrityksen strategiaan ja liiketoimintaan?
- Kuinka tärkeästä asiasta liiketoiminnan tuloksellisuuden ja toimintavarmuuden kannalta onkaan kyse silloin kun kyse on kyberturvallisuudesta?
- Mistä löytyvät suurimmat kyberturvallisuusriskit, ja mikä on tärkein asia, jonka osalta kehitystoimet kannattaa aloittaa ensimmäisenä?
- Mitkä ovat avaintekijät halutun muutoksen toteutumiseksi?
- Kuka ja mitkä tahot muutoksen ja halutut toimet toteuttavat, ja milloin?
Tietoisuuden ja viestinnän rakentaminen ja tukeminen:
- Miten varmistaa, että jokainen ihminen yrityksessä tietää mitä kyberturvallisuuden osalta tapahtuu, mitä häneltä odotetaan ja minkä takia hänen odotetaan osallistuvan ja toimivan?
- Miten varmistaa, että jokainen ihminen yrityksessä ymmärtää kyberturvallisuuden ja siihen liittyvien toimien merkityksellisyyden sekä oman toiminnan merkityksen kokonaisuuteen?
- Kenen on hyvä ja tarvitsee tietää ja ymmärtää mitäkin asioita?
- Mitä, ja etenkin millä tavalla asioista halutaan viestiä eri kohderyhmille?
- Miten viestiä monimutkaisista ja vaikeilta tuntuvista asioista niin, että oma lapsi tai isovanhemmatkin ymmärtäisivät mistä on kyse?
- Miten viestiä niin kiinnostavalla tavalla, että sisältö erottuu muusta taustakohinasta ja arkea kuormittavasta infoähkystä?
- Miten hyödyntää markkinoinnin keinoja kyberturvallisuusasioiden viestimiseen ja jalkauttamiseen organisaatiossa?
- Miten muutoksen etenemisestä ja toteutumisesta tulisi viestiä?
Osaamisen kehittäminen:
- Miten kyber- ja tietoturvaosaamisen kehittäminen on huomioitu osana yrityksen strategista osaamisen kehittämistä?
- Mitä yrityksessä eri rooleissa työskentelevien tulee osata nyt ja tulevaisuudessa?
- Mitä perustason asioita jokaisen tulisi osata roolista riippumatta?
- Mitä erikoisosaamista eri rooleissa tai liiketoiminnoissa toimivilta voidaan odottaa ja edellyttää?
- Millaisin ratkaisuin tukea kyberturvaosaamisen vahvistumista eri työntekijäryhmissä ja/tai yrityksen toiminnan eri tasoilla?
Muutosverkostot:
- Miten saada johto ja esimiehet mukaan kyberturvallisuusasioiden puolestapuhujiksi ja tukemaan muutosta ja haluttuja toimia, tavoitteita?
- Tarvitaanko asioiden viestimiseen ja jalkauttamiseen muutosverkostoa, tai sittenkin esimerkiksi sissimarkkinointia?
- Miten muutosverkosto rakennetaan, ja miten sitä johdetaan niin, että se toimii tehokkaasti tavoitteita tukien?
Muutoksen johtaminen, mittaus ja vaikutusten arviointi:
- Miten haluttu viesti, työkalu tai toimintamalli saadaan tehokkaasti ja tuloksekkaasti jalkautettua läpi organisaation?
- Miten toteuttaa muutosta ketterässä ympäristössä, DevOps-toimintamallissa tai tarvittaessa vesiputousmallilla?
- Miten organisoida, motivoida ja perehdyttää tai kouluttaa tekijät halutun muutoksen johtamiseksi ja toteuttamiseksi?
- Miten muutoksen etenemistä, asioiden kehittymistä ja ihmisten käyttäytymisen muutosta voidaan seurata ja mahdollisesti myös mitata?
- Miten edistymisen seurannasta saatua tietoa voidaan hyödyntää muutoksen johtamiseen ja toimien jatkosuunnitteluun?
- Miten toteutunut muutos ja sen vaikutukset voidaan todentaa?
Näissä kaikissa kysymyksissä ja niiden ratkaisemisessa voimme auttaa!
CCEAn ammattilaisten suurin lisäarvo kyberturva-aiheisiin liittyvässä hankkeessa on se, että meillä on monipuolinen osaamistausta usein ihan muulta kuin kyberturva-alalta. Voimme vahvalla muutososaamisellamme, ihmislähtöisellä lähestymistavallamme ja erinomaisilla kommunikaatio- ja viestintätaidoillamme täydentää kyberturva-alan teknisimpienkin syväosaajien joukkoa. Kokemukseni mukaan olemme se täydentävä puuttuva palanen, joka yhdessä kyberturva-asiantuntijoiden kanssa laittaa yrityksessä pyörät pyörimään ja lastut lentämään ihmislähtöisen kyberturvallisuuden toteutumisen puolesta.
Osaamme ajatella kyberturvallisuudenkin osalta ”boksin ulkopuolelta”, ja ottaa kokemuksemme kautta nopeasti haltuun uudet asiakokonaisuudet niin, että voit nauttia edistymisen tunteesta ja näkyvistä tuloksista jo pian saatuasi meidät mukaan. Kyberturvallisuusaiheissakin olemme jo olleet tukena useammassa yrityksessä ja asiakontekstissa, joten tuomme projektiisi mukanamme myös muualta opittuja kokemuksia ja parhaita käytäntöjä.
Lue sarjan edellinen osa: Taru Hermunen-Kuusela – Ihmislähtöinen kyberturvallisuus
