Siirry sisältöön
Huoltovarmuuskeskus

Tunnistetaanko yrityksenne johdossa digitaalisen liiketoimintaympäristön riskit?

Digitalisaatio on pandemian aikana edennyt vuodessa saman verran kuin edeltävinä 5–10 vuotena yhteensä. Puhutaan muutoksesta, joka on tullut jäädäkseen. Kehityksen johdosta digitaalinen turvallisuus on noussut strategisen tason asiaksi – osaksi yritysten ja yhteisöjen riskienhallintaa ja vastuullisuutta.

17.2.2022
kyberturvallisuustietoturvallisuustietoyhteiskunta
Tuomo Haukkovaara

Digipoolin Strategia22-selvityksen perusteella voidaan todeta, että digitaaliseen turvallisuuteen ja jatkuvuuteen liittyvien asioiden osuus suomalaisyritysten strategioissa on puutteellinen. Yritysten hallitusten ja toimitusjohtajien tietoisuus digitalisaation mahdollisuuksista ja sen turvallisuuteen liittyvistä riskeistä vaihtelee suuresti. Myöskään vastuita ei tunnisteta. Toiminta ei tällä hetkellä ole nykymaailman vaatimalla tasolla.

Kyse ei ole siitä, että toimitusjohtajien pitäisi opetella koodaamaan. Verkottuneen digitaalisen liiketoimintaympäristön riskit tulisi kuitenkin tunnistaa ja ymmärtää siinä missä finanssimarkkinoihin ja geopolitiikkaan liittyvät riskitkin. On oltava perillä oman organisaation riippuvuuksista ja siitä mihin ne linkittyvät sekä omasta varautumisen tasosta.

“Kulmahuoneissa” on aika hyväksyä se, että digitaaliseen toimintaympäristöön liittyvät riskit voivat viedä organisaatioita ulos bisneksestä tai jopa konkurssiin asti. Toisaalta hyvin ja vastuullisesti hoidettuna turvallisuus voi toimia kasvun ja vahvistuneen brändiarvon moottorina. Kun tästä ollaan yhtä mieltä, voidaan ryhtyä tekemään valintoja sen suhteen, missä määrin riskeihin varaudutaan.

Verkottuneen digitaalisen liiketoimintaympäristön riskit tulisi tunnistaa ja ymmärtää siinä missä finanssimarkkinoihin ja geopolitiikkaan liittyvät riskitkin.

Kyberturvallisuusosaamiseen kuuluu liiketoimintaymmärryksen sitominen yhteen teknisen osaamisen kanssa. Johtajien tehtävä on huolehtia, että kriittiset toiminnot ja data priorisoidaan, kun tehdään riskienhallintaa ja suojaustoimenpiteitä. Strateginen osaaminen ja kokonaiskuvan hallinta ovat silloin avainasemassa.

Ajalliseen tarkasteluun perustuva listaus on hyvä tapa hahmottaa asioiden merkitystä ja kriittisyysastetta toiminnan jatkuvuudelle. Sen avulla voi myös luoda yksinkertaisen toimintasuunnitelman kriisin varalle. Käytännössä listaa varten arvioidaan, minkä toimintojen puuttuminen hankaloittaisi yrityksen arkea ollessaan pois käytöstä minuutin, vuorokauden, viikon tai jopa kuukausia. Tyypillisesti aluksi ei-kriittiseltä tuntuvat asiat voivat pitkässä juoksussa muodostua todella kriittisiksi. Esimerkiksi tunniksi jumiutunut maksuliikenne ei kaada yritystä, mutta ongelman jatkuessa päiväkausia seuraukset voivat olla merkittäviä.

Harjoittelu tarjoaa johdolle tuoretta tietoa jatkuvuudenhallinnasta

Parhaimmillaan ylimmän johdon ja hallituksen tietoisuus–osaaminen–toimenpiteet-kehitysketju etenee harjoitteluun, jossa ajatuksille saadaan testausmahdollisuus aidonoloisessa, uskottavia tapahtumankulkuja hyödyntävässä monitoimijaympäristössä. Harjoittelu auttaa testaamaan, onko huomioitu oikeat asiat, ja onko ne huomioitu riittävän hyvin.

Moni mieltää digitaaliseen turvallisuuteen liittyvän harjoittelun luonteeltaan tekniseksi, vaikka suurin osa harjoituksista ei sitä ole. Julkaisuhetkellä käynnissä oleva Digipoolin TIETO22 on poikkeuksellisen laaja, organisaation toimintaa aidon tuntuisessa verkostoyhteistyössä testaava harjoitus. Se nostaa vuosi toisensa jälkeen pintaan asioita, joihin osallistuvien organisaatioiden, niin konkareiden kuin ensikertalaisten, olisi syytä kiinnittää tarkempaa huomiota.

Aidon tuntuisessa verkostoyhteistyössä testaava harjoitus nostaa vuosi toisensa jälkeen pintaan asioita, joihin osallistuvien organisaatioiden, niin konkareiden kuin ensikertalaisten, olisi syytä kiinnittää tarkempaa huomiota.

TIETO-harjoitus on toimialat ylittävä, yritys- ja viranomaistoimintaa yhdistävä harjoitus, jossa korostuu teknistä osaamista enemmän organisaatiodynaaminen näkökulma. Siis se, kuinka hyvin organisaatiot ovat varautuneet erilaisiin tilanteisiin, miten niiden kumppanuussuhteiden ja verkostojen toiminta on varmistettu häiriötilanteissa tai kuinka kriiseistä viestitään minnekin suuntaan. TIETO-harjoitus haastaa kokonaisvaltaisesti varautumista ja kriisinhallintakykyä ja on siis käytännön testi sille, miten organisaatiota on johdettu.

Digitaalinen turvallisuus on tämänhetkisessä maailman tilassa jatkuvasti uhattuna. Kyberhyökkäysten ja -tapahtumien perusluonteeseen kuuluu se, että ne aiheuttavat paljon vahinkoa sielläkin, mihin niitä ei varsinaisesti ole kohdennettu – verkostoissa, toimitusketjuissa ja kumppaneiden toiminnassa. Ei liity meihin -argumentti ei ole kestävä.

Harjoittelu tarjoaa yritysjohdolle tuoretta täydennystä ymmärrykseen, osaamiseen ja sitä kautta toimenpidevalikoimaan, jolla liiketoiminta-, talous-, brändi- ja mainekriiseihin voidaan varautua. Siitä kannattaa kiinnostua.

Kirjoittaja Tuomo Haukkovaara on Digipoolin puheenjohtaja ja TIETO22-valmiusharjoituksen johtaja sekä IBM Finlandin hallituksen puheenjohtaja ja toimitusjohtaja.

Avauskuva: Digipooli

Jaa sivu:

FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Kaukolämpöyhtiöt saavat uutta tietoa varautumiseen

Kaukolämpö on suomalaisten kotien ja muiden kiinteistöjen yleisin lämmitysmuoto. Erityisen suuri rooli sillä on kaupunkien ja taajamien lämmityksessä. Lämpöyhtiöiden hyvä varautuminen takaa, että lämpöä riittää talven pakkasilla.

Sähköpulan välttämiseksi säästötoimet ovat tarpeen: sähkökatkot ovat silti mahdollisia

Suomi on varautunut hyvin talven sähköntarpeeseen, mutta sähkön tarjonnan ja kysynnän välinen ero on aiempaa pienempi. Fingridin ja Energiaviraston edustajat kertoivat Huoltovarmuuskeskuksen Energiaseminaarissa (14.12.) näkymistä sähkön riittävyyteen.

Informaatioturvallisuus keskeinen osa digitaalista turvallisuutta

Informaatioturvallisuus on keskeinen osa nykypäivän digitaalista turvallisuutta. Huoltovarmuuskeskus onkin pilotoimassa informaatioturvallisuuden osaamiskeskusta, jonka tehtävänä on tunnistaa yhteiskunnalle haitallista informaatiovaikuttamista. Mutta mistä oikeastaan puhutaan kun puhutaan informaatioturvallisuudesta tai -vaikuttamisesta?