Ihmislähtöinen kyberturvallisuus käytännön toimenpiteinä

Lue blogisarjan ensimmäinen osa: Ihmislähtöinen kyberturvallisuus

Mitä ihmislähtöinen kyberturvallisuus konkreettisina toimina voi tarkoittaa? Onko kyse teekutsuista, ompeluseuroista vai saunailloista? 

Yrityksissä kyberturvallisuus voi liiketoiminnan luonteen ja tavoitteiden perusteella liittyä esimerkiksi ohjelmisto- ja sovelluskehittämiseen tai teollisuusautomaatioon tehdas- ja tuotantoympäristössä. Kyberturvallisuus voi olla paitsi hyvin tietotekninen kysymys, myös luonteeltaan vahvasti operatiivinen ja samalla vaikkapa laajempaan turvallisuuden kokonaisuuteen liittyvä yksi osatekijä. Nykymaailmassa näkökulmat ja lähtökohdat myös sekoittuvat. Yhä useammin kyberturvallisuus on olennainen osa liiketoiminnan toimintavarmuutta, jatkuvuutta ja tulosta – toimialasta riippumatta. 

Toimenpiteet onkin hyvä sovittaa aina oikeaan kontekstiin. Alkuvaiheessa on aina olennaista kirkastaa sekä asiayhteys että tavoite: Mikä on olennaisinta? Mihin keskitytään? Mitä halutaan saada aikaan?

Käytännön tasolla ihmislähtöinen kyberturvallisuus voi tarkoittaa hyvin monenlaisia asioita. Kokoan yhteen esimerkkejä onnistumiseen olennaisesti liittyvistä kokonaisuuksista, joilla on sekä yhteys että vaikutusta ihmisten kokemukseen ja käyttäytymiseen. Nämä teema-alueet löytyvät taustalta silloinkin, kun kyse on teknisestä muutoksesta tai työkalujen kehittämisestä, eivätkä ne hoidu itsestään ilman ihmis- ja ajatustyötä. Jokaisen teeman alta löydät muutaman kysymyksen saattamaan sinut alkuun ajattelussa. Joko sinulla on vastaukset kaikkiin kysymyksiin?

1. Asioiden ytimen kirkastaminen, konseptointi ja projektointi:

• Mitä vahva kyberturvallisuus tarkoittaa käytännössä, ja mitä sen toteutuminen vaatii ihmisiltä eri työtehtävissä ja rooleissa? 
• Miten asiat ovat silloin, kun kaikki toimii kyberturvallisuuden kannalta sujuvasti, varmasti ja turvallisesti? 
• Minkä haluamme muuttuvan, parantuvan, kehittyvän – millaista muutosta tavoittelemme?
• Mikä on kyberturvallisuuden kannalta olennaisin konteksti: tietoturva sisäänrakennettuna osana ohjelmistokehityksen elinkaarta vai uhkamallinnus ongelmakohtien tunnistamiseen operatiivisessa työssä, vai jokin ihan muu?
• Mikä on kyberturvallisuuden yhteys yrityksen strategiaan ja liiketoimintaan?
• Kuinka tärkeästä asiasta liiketoiminnan tuloksellisuuden ja toimintavarmuuden kannalta onkaan kyse silloin kun kyse on kyberturvallisuudesta?
• Mistä löytyvät suurimmat kyberturvallisuusriskit, ja mikä on tärkein asia, jonka osalta kehitystoimet kannattaa aloittaa ensimmäisenä?
• Mitkä ovat avaintekijät halutun muutoksen toteutumiseksi?
• Kuka ja mitkä tahot muutoksen ja halutut toimet toteuttavat, ja milloin?

2. Tietoisuuden ja viestinnän rakentaminen ja tukeminen:

• Miten varmistaa, että jokainen ihminen yrityksessä tietää mitä kyberturvallisuuden osalta tapahtuu, mitä häneltä odotetaan ja minkä takia hänen odotetaan osallistuvan ja toimivan?
• Miten varmistaa, että jokainen ihminen yrityksessä ymmärtää kyberturvallisuuden ja siihen liittyvien toimien merkityksellisyyden sekä oman toiminnan merkityksen kokonaisuuteen?
• Kenen on hyvä ja tarvitsee tietää ja ymmärtää mitäkin asioita?
• Mitä, ja etenkin millä tavalla asioista halutaan viestiä eri kohderyhmille?
• Miten viestiä monimutkaisista ja vaikeilta tuntuvista asioista niin, että oma lapsi tai isovanhemmatkin ymmärtäisivät mistä on kyse?
• Miten viestiä niin kiinnostavalla tavalla, että sisältö erottuu muusta taustakohinasta ja arkea kuormittavasta infoähkystä?
• Miten hyödyntää markkinoinnin keinoja kyberturvallisuusasioiden viestimiseen ja jalkauttamiseen organisaatiossa?
• Miten muutoksen etenemisestä ja toteutumisesta tulisi viestiä?

3. Osaamisen kehittäminen:

• Miten kyber- ja tietoturvaosaamisen kehittäminen on huomioitu osana yrityksen strategista osaamisen kehittämistä?
• Mitä yrityksessä eri rooleissa työskentelevien tulee osata nyt ja tulevaisuudessa?
• Mitä perustason asioita jokaisen tulisi osata roolista riippumatta?
• Mitä erikoisosaamista eri rooleissa tai liiketoiminnoissa toimivilta voidaan odottaa ja edellyttää?
• Millaisin ratkaisuin tukea kyberturvaosaamisen vahvistumista eri työntekijäryhmissä ja/tai yrityksen toiminnan eri tasoilla?

4. Muutosverkostot:

• Miten saada johto ja esimiehet mukaan kyberturvallisuusasioiden puolestapuhujiksi ja tukemaan muutosta ja haluttuja toimia, tavoitteita?
• Tarvitaanko asioiden viestimiseen ja jalkauttamiseen muutosverkostoa, tai sittenkin esimerkiksi sissimarkkinointia?
• Miten muutosverkosto rakennetaan, ja miten sitä johdetaan niin, että se toimii tehokkaasti tavoitteita tukien?

5. Muutoksen johtaminen, mittaus ja vaikutusten arviointi:

• Miten haluttu viesti, työkalu tai toimintamalli saadaan tehokkaasti ja tuloksekkaasti jalkautettua läpi organisaation?
• Miten toteuttaa muutosta ketterässä ympäristössä, DevOps-toimintamallissa tai tarvittaessa vesiputousmallilla?
• Miten organisoida, motivoida ja perehdyttää tai kouluttaa tekijät halutun muutoksen johtamiseksi ja toteuttamiseksi?
• Miten muutoksen etenemistä, asioiden kehittymistä ja ihmisten käyttäytymisen muutosta voidaan seurata ja mahdollisesti myös mitata?
• Miten edistymisen seurannasta saatua tietoa voidaan hyödyntää muutoksen johtamiseen ja toimien jatkosuunnitteluun?
• Miten toteutunut muutos ja sen vaikutukset voidaan todentaa?