Taru Hermunen-Kuusela: Ihmislähtöinen kyberturvallisuus käytännön toimenpiteinä

Mitä ihmislähtöinen kyberturvallisuus konkreettisina toimina voi tarkoittaa? Käytännön tasolla toimet voivat tarkoittaa hyvin monenlaisia asioita. Yrityksissä kyberturvallisuus voi liiketoiminnan luonteen ja tavoitteiden perusteella liittyä esimerkiksi ohjelmisto- ja sovelluskehittämiseen tai teollisuusautomaatioon tehdas- ja tuotantoympäristössä. Kyberturvallisuus voi siis olla paitsi hyvin tietotekninen kysymys niin luonteeltaan myös vahvasti operatiivinen ja samalla vaikkapa laajempaan turvallisuuden kokonaisuuteen liittyvä yksi osatekijä. Nykymaailmassa näkökulmat ja lähtökohdat myös sekoittuvat, ja yhä useammin kyberturvallisuus on olennainen osa liiketoiminnan toimintavarmuutta, jatkuvuutta ja tulosta. Toimenpiteet onkin hyvä sovittaa aina oikeaan kontekstiin, ja samalla asiayhteydestä riippumatta jo alkuvaiheessa kirkastaa tavoite, eli mitä halutaan saada aikaan. 

Itse tekeminen kyberturvallisuuteen liittyen voi olla hyvin moninaista. Tässä kuitenkin jotain esimerkkejä, millaisia onnistumiseen olennaisesti liittyviä kysymyksiä on mahdoton ratkaista pelkillä työkaluilla ilman ihmistä ja ihmistyötä: 

Asioiden ytimen kirkastaminen, konseptointi ja projektointi: 
  • Miten asiat ovat silloin, kun kaikki toimii sujuvasti, varmasti ja turvallisesti? 
  • Minkä haluamme muuttuvan ja millaista muutosta tavoittelemme?
  • Mikä kyberturvallisuuden kannalta olennaisin konteksti: tietoturva sisäänrakennettuna
    osana ohjelmistokehityksen elinkaarta (software development life-cycle) vai esim. uhkamallinnus ongelmakohtien tunnistamiseen operatiivisessa työssä vai ihan jotain muuta?
  • Mikä on kyberturvallisuuden yhteys yrityksen strategiaan ja liiketoimintaan?
  • Kuinka tärkeästä asiasta liiketoiminnan tuloksellisuuden ja toimintavarmuuden kannalta
    onkaan kyse?
  • Mistä löytyvät suurimmat riskit, ja mikä on tärkein asia, jonka osalta toimet kannattaa
    aloittaa?
  • Mitä vahva kyberturvallisuus tarkoittaa käytännössä, ja mitä sen toteutuminen vaatii
    ihmisiltä eri työtehtävissä ja rooleissa?
  • Mitkä ovat avaintekijät halutun muutoksen toteutumiseksi?
  • Kuka ja mitkä tahot muutoksen ja halutut toimet toteuttavat, ja milloin? 
Tietoisuuden ja viestinnän rakentaminen ja tukeminen: 
  • Miten varmistaa, että jokainen ihminen yrityksessä tietää mitä kyberturvallisuuden osalta
    tapahtuu, mitä häneltä odotetaan ja minkä takia hänen odotetaan osallistuvan ja toimivan?
  • Miten varmistaa, että jokainen ihminen yrityksessä ymmärtää kyberturvallisuuden ja siihen
    liittyvien toimien merkityksellisyyden sekä oman toiminnan merkityksen kokonaisuuteen?
  • Kenen on hyvä ja tarvitsee tietää ja ymmärtää mitäkin asioita? Mitä, ja etenkin millä tavalla
    asioista halutaan viestiä eri kohderyhmille?
  • Mitä haluamme viestiä?
  • Miten viestimme monimutkaisista ja vaikeilta tuntuvista asioista niin, että oma lapsikin
    ymmärtäisi?
  • Miten viestimme niin kiinnostavalla tavalla, että se läpäisee muun taustakohinan ja arkea
    kuormittavan infoähkyn?
  • Miten hyödyntää markkinoinnin keinoja kyberturvallisuusasioiden viestimiseen ja
    jalkauttamiseen organisaatiossa?
Osaamisen kehittäminen:
  • Mitä yrityksessä eri rooleissa työskentelevien tulee osata nyt ja tulevaisuudessa: kyber- ja tietoturvaosaamisen kehittäminen osana strategista osaamisen kehittämistä?
  • Mitä perustason asioita jokaisen tulisi osata roolista riippumatta?
  • Mitä erikoisosaamista eri rooleissa toimivilta voidaan odottaa ja edellyttää?
  • Miten tukea kyberturvaosaamisen vahvistumista yrityksen toiminnan eri tasoilla ja
    liiketoiminnoissa?
Muutosverkostot:
  • Miten saada johto ja esimiehet mukaan kyberturvallisuusasioiden puolestapuhujiksi ja tukemaan muutosta ja haluttuja toimia, tavoitteita?
  • Miten haluttu viesti, työkalu tai toimintamalli saadaan tehokkaasti ja tuloksekkaasti jalkautettua läpi organisaation?
  • Tarvitaanko asioiden viestimiseen ja jalkauttamiseen muutosverkostoa, tai sittenkin esimerkiksi sissimarkkinointia?
  • Miten muutosverkosto rakennetaan, ja miten sitä johdetaan niin, että se toimii tehokkaasti tavoitteita tukien? 
Muutoksen johtaminen, mittaus ja vaikutusten arviointi:
  • Miten toteuttaa muutosta ketterässä ympäristössä, DevOps-toimintamallissa tai tarvittaessa
    vesiputousmallilla?
  • Miten organisoida, motivoida ja perehdyttää tai kouluttaa tekijät halutun muutoksen
    johtamiseksi ja toteuttamiseksi?
  • Miten muutoksen etenemistä, asioiden kehittymistä ja ihmisten käyttäytymisen muutosta
    voidaan seurata ja mahdollisesti myös mitata?
  • Miten edistymisen seurannasta saatua tietoa voidaan hyödyntää muutoksen johtamiseen ja
    toimien jatkosuunnitteluun?
  • Miten toteutunut muutos voidaan todentaa?
  • Miten muutoksen etenemisestä ja toteutumisesta tulisi viestiä?

Voimme auttaa näiden kysymysten ratkaisemisessa!

CCEAn ammattilaisten suurin lisäarvo kyberturva-aiheisiin liittyvässä hankkeessa on se, että meillä on monipuolinen osaamistausta usein ihan muulta kuin kyberturva-alalta. Voimme vahvalla muutososaamisellamme, ihmislähtöisellä lähestymistavallamme ja erinomaisilla kommunikaatio- ja viestintätaidoillamme täydentää kyberturva-alan teknisimpienkin syväosaajien joukkoa, ja olla se täydentävä puuttuva palanen moniammatillista osaajatiimiä, joka yhdessä laittaa yrityksessä pyörät pyörimään ja lastut lentämään kyberturvallisuuden toteutumisen puolesta.

Osaamme ajatella kyberturvallisuudenkin osalta ”boksin ulkopuolelta”, ja ottaa kokemuksemme kautta nopeasti haltuun uudet asiakokonaisuudet niin, että voit nauttia edistymisen tunteesta ja näkyvistä tuloksista jo pian saatuasi meidät mukaan. Kyberturvallisuusaiheissakin olemme jo olleet tukena useammassa yrityksessä ja asiakontekstissa, joten tuomme projektiisi mukanamme myös muualta opittuja kokemuksia ja parhaita käytäntöjä. 

Lue sarjan edellinen osa: Taru Hermunen-Kuusela – Ihmislähtöinen kyberturvallisuus