Tietoturvasta vastuullisen ammattilaisen — olipa titteli sitten CISO, BISO, IT-päällikkö tai ”se kaveri, joka hoitaa nämä jutut” — lautaselle kasataan kaikenlaista tavanomaisesta tietoturvasta tekoälyagentteihin ja tietosuojasta liiketoiminnan jatkuvuuden varmistamiseen.
Tilanteeseen vaikuttavat monet samanaikaiset muutokset, kuten tekoälyn nopea käyttöönotto, kiristyvä regulaatio ja tarve paremmalle kyberresilienssille.
CISOn tehtävälista ja vastuut kasvavat, mutta resurssit ja aika eivät.
Kuuntelin Gartnerin tietoturva-aiheisen webinaarin, jossa he nostivat esille CISOn muuttuvan roolin ja vastuut yhdeksi vuoden 2026 tietoturvatrendiksi. Heidän tutkimuksensa mukaan 41 prosentille tietoturvapäälliköistä nakataan vastuita, jotka eivät kuulu tietoturvan totuttuun työlistaan.
CISO-rooli on liukunut perinteisestä kyberturvallisuudesta uuteen suuntaan. Monissa organisaatioissa vastuu on laajentunut yritystason resilienssin varmistamiseen, yksityisyydensuojaan ja fyysisten järjestelmien turvallisuuteen. Tietoturva koskee IT:n rinnalla koko liiketoimintaa.
Tunnistanko tämän suomalaisesta yrityskentästä? Kyllä, mutta hiukan eri muodossa.
Monessa organisaatiossa CISOn tehtävälistalle päätyy nykyään aiempaa enemmän tekemistä. Ja siellä, missä nimettyä CISOa ei ole, ongelma näkyy siinä, että kukaan ei omista kokonaisuutta.
Vaikutusvaltaa omistajuuden sijaan
Gartnerilla oli CISOn haasteeseen melko yksinkertainen, mutta mielestäni toimiva ajatus. Sen toteuttaminen vaatii pientä asennemuutosta →
Influence over ownership. Vaikutusvaltaa omistajuuden sijaan.
Heidän mukaansa CISOn ei kannata yrittää ’omistaa’ kaikkea, vaan vaikuttaa kaikkeen (tai ainakin siihen, mikä on relevanttia). Gartner tunnisti useita kohtia, joissa vaikutusvalta-ajattelu punnitaan käytännössä.
Kolme esimerkkiä:
1. Puhu liiketoiminnan kieltä.
Jos raportoit johtoryhmälle haavoittuvuuksien määrää tai patch backlogia, toimarin silmät lasittuvat ja keskustelu kuolee helposti. Tekniset mittarit eivät kerro johdolle mitään.
Vaihda virsi liiketoimintahaittoihin eli paljonko tuotantokatkos maksaa, miten tietovuoto vaikuttaa asiakasluottamukseen, mitä seuraa, jos regulaatiovaatimuksia ei täytetä. Vaikutus on aivan toinen. CISOn vaikutusvalta kasvaa, kun puhut samaa kieltä kuin muu johtoryhmä.
2. Tekoälyn ympärillä vellovat valtavat odotukset.
Gartnerin mukaan johto ja hallitus vaativat joka suunnalla tekoälyinvestointien arvon todentamista. Jokusen vuoden jatkunut AI-hype on kiihdyttänyt tätä entisestään. Ei ole helppo tilanne CISOlle, joka opiskelee AI-agenttitietoturvaa lennossa.
Tietoturvavastuullisen tehtävä ei ole jarruttaa, vaan tuoda realismia keskusteluun. Missä järjestyksessä ja aikataulussa kannattaa edetä? Tekoälyhankkeissa riskit liittyvät usein samoihin asioihin, esimerkiksi kun data vuotaa ulkoisiin palveluihin, agentit saavat liian laajat oikeudet tai päätöksiä automatisoidaan ennen kuin riskit on ymmärretty.
3. Resilienssi-keskustelut ennen kriisiä.
Turhan moni CISO pääsee ääneen vasta akuutissa häiriötilanteessa ja silloin on myöhäistä vaikuttaa. Kyberresilienssi eli kyky toimia myös silloin, kun kaikki ei ole kunnossa, on strateginen teema, josta on hyvä keskustella hallituksissa ja johtoryhmissä. CISO, joka otetaan näihin pöytiin (eikä vain kriisissä), kykenee vaikuttamaan keskustelun suuntaan ja laatuun.
Vastuu tietoturvasta siirtyy ylöspäin
Edellä kuvattu on kulttuurinen muutos, mutta myös sääntely työntää kehitystä tähän suuntaan. NIS2-direktiivin myötä johdon tietoturvavastuu on muuttunut henkilökohtaiseksi. Yhdysvalloissa SEC on jo nostanut syytteitä yksittäisiä CISOja vastaan. Euroopassa ja Suomessa sääntely kulkee samaan suuntaan. DORA tuo pilvi- ja SaaS-palveluntarjoajat sääntelyn piiriin, ja häiriöilmoitusten aikaikkunat kutistuvat 72, 36 ja jopa 24 tuntiin.
Tietoturvavastuullinen, joka pystyy todentamaan, miten hän hallitsee tätä vaativaa osa-aluetta, on arvokas johtoryhmälle ja koko yritykselle. Mutta tämä edellyttää, että tietoturva on otettu osaksi liiketoiminnan päätöksentekoa.
CISO-roolin uudet kujeet
Gartnerin mukaan – ja varmasti meidän kaikkien mielestä – on selvää, ettei kukaan voi olla mukana yrityksen jokaisessa tiimissä ja hallinnoida aivan kaikkea tietoturvan alueelta. Mutta taitava CISO vaikuttaa siihen, mitä ja mistä näissä tiimeissä päätetään.
Tietoturvavastuullisen kannattaa miettiä kolmea asiaa:
- Kenelle delegoin ja miten varmistan, että delegointi toimii? Vaikuttaminen toisten kautta edellyttää selkeitä vastuita ja seurantaa. Ja tavoitehan on keventää omaa tehtävälistaa, ei kasvattaa sitä.
- Mitä esitän asiat johtoryhmässä? Jos nostat esille vain teknologialäppää, on vaikea vaikuttaa liiketoimintajohtajaan.
- Missä keskusteluissa minun tulisi olla läsnä ja missä riittää, että olen tehnyt päättäjille valmiiksi oivallisen pohjatyön?
Yksi käytännön tapa rakentaa tätä vaikutusvaltaa on hallintamallien kautta. Esimerkiksi ISO 27001 -sertifioinnin kautta CISO saa paremmat työkalut vaikuttamiseen ja on paljon helpompaa perustella kantasi.
Eikä pidä unohtaa sitä, että hyvin hoidettu vaatimustenmukaisuus on organisaatiolle kilpailukykytekijä ja jopa kilpailuetu. Arvoa liiketoiminnalle parhaimmillaan.
Kysymys kuuluu: kasvaako tehtävälistasi vai vaikutusvaltasi?
Jos mietit, miten tietoturvavastuut pitäisi organisaatiossasi jakaa tai miten NIS2:n johdon vastuu käytännössä näkyy arjessa, keskustellaan lisää.
Ville Koskinen
COO & Lead Auditor, Into Security