12.11.2024

Turvallisuuskulttuurin pitäisi – ainakin jos turvallisuuden parissa työskenteleviltä kysytään – olla osa yrityksen DNA:ta, mutta usein sitä käsitellään kuin jotain erillistä ja mystistä ohjelmaa, johon osallistuu vain tietoturvatiimi ja muut jatkavat arjessaan.    Miettikäämme asiaa käytännön esimerkin kautta. Varmistatko töistä lähtiessäsi, että ovi menee perässäsi kiinni, eikä asiattomia henkilöitä livahda sisään? Kotona tämä olisi itsestään selvää, sillä tuskin jätät ulko-ovea auki kotoa lähtiessäsi, saati päästäisit ventovieraita pujahtamaan kylään avonaisesta ovesta. Luultavasti torppaisit moiset aikeet heti alkuunsa. Tällaisessa toiminnassa on kyse tavasta, jota sinun ei tarvitse erikseen pohtia, vaan se tulee selkärangastasi. Olet jossain vaiheessa elämääsi oppinut, että ulko-ovi suljetaan kotoa poistuttaessa, ja että kotiin tunkeutuvasta ihmisestä tavataan soittaa hätänumeroon. Organisaation turvallisuuskulttuurin rakentumisessa on niin ikään kyse lopulta turvallisten toimintatapojen omaksumisesta, ei mistään tämän monimutkaisemmasta.   Kenen vastuulla tällaisten toimintatapojen omaksuminen sitten on? Kotioloissa olemme itse vastuussa siitä, että toimimme turvallisuutta vaalien, mutta töissä saatamme herkästi ajatella, että kyllä joku muu hoitaa, esimerkiksi IT- tai turvallisuusyksikkö. Mutta aivan kuten kotonakin olisi toivottavaa, että kaikki asukkaat huolehtivat omalta osaltaan kodin turvallisuudesta, tulisi meidän kaikkien antaa oma panoksemme turvallisuudesta huolehtimiseen myös töissä. Turvallisuustoiminta kun ei ole yksilölaji vaan pikemminkin joukkueurheilua. Sinä, minä, me – olemme kaikki vastuussa, eikä kukaan ole toista tärkeämpi pelaaja tässä joukkueessa. Itse asiassa juuri sinun toimintasi voi varmistaa sen, että turvaverkko pysyy ehjänä. Yhden huti, toisen heitto: turvallisuus on yhteistyötä, ei yhden yksikön tai ryhmän vastuulla.    Ihminen onkin turvallisuuden vahvin lenkki, sillä juuri meidän teoistamme, havainnoistamme ja valinnoistamme turvallisuus rakentuu. Toisaalta olemme joskus myös se heikoin lenkki, koska olemme ihmisiä, ja ihmiset tekevät virheitä. Virheitä on myös lupa tehdä, koska ne kuuluvat ihmisyyteen. Inhimilliset erehdykset sitä paitsi opettavat enemmän kuin täydellinen suorittaminen. Toisinaan virheet johtuvat siitä, että vaadittu (ja ihmisen kehittämä) toimintamalli on niin kankea, ettei sitä ole mahdollista omaksua tavaksi järjellisessä ajassa, ja toimintaa pitää kehittää paremmaksi. Joskus pieni mokailu onkin paras tapa löytää kehityskohteita toiminnastamme.    Ja kehitettäväähän löytyy. Turvallisuustyö ei valitettavasti koskaan lopu tai valmistu. Uusia uhkia ilmaantuu aina, ja kun yksi saadaan jotenkin hallintaan, odottaa seuraava jo vuoroaan kulman takana. Toiminta, joka vielä eilen oli kuranttia, saattaa huomenna joutaa romukoppaan. Kyse on siitä, että olemme jatkuvasti valmiita kehittämään ja oppimaan uusia tapoja toiminnan turvaamiseksi.     Blogin kirjoittajat: Anna Taivalmaa, tietoturva-asiantuntija Mika Harjunen, tietoturvapäällikkö