Olen työskennellyt satojen organisaatioiden kanssa ja nähnyt hyvin erilaisia toimintatapoja ja -malleja tietoturvan varmistamisen suhteen. Useimmissa organisaatioissa tietoturvallisuuteen liittyvää kulttuuria ei ole välttämättä tietoisesti valittu, se on itsekseen muotoutunut ajan myötä.
Johdon näkökulmasta kiinnostava kysymys onkin millainen kulttuuri meillä on nyt, ja onko se sellainen, jota tavoittelette?
Tietoturvakulttuuri ei synny sattumalta. Pohdin seuraavassa sen syntyä.
Kaksi ratkaisevaa osatekijää
Tietoturvakulttuuriin vaikuttavat sekä johdon näkemys ja tuen taso sekä muun organisaation lähestymistapa tietoturvaan.
- Johdon näkemys ja tuen taso vaihtelee suuresti. Joissain organisaatioissa tietoturvallisuus on puhtaasti IT:n homma eikä sille ole omaa budjettia. Se ei tuolloin ole johdon tai hallituksen agendalla. Ilahduttavasti osassa organisaatioita tietoturvallisuus nähdään operatiivisen ohella myös strategisena, tällöin CISOa kuunnellaan ja investointeja tietoturvallisuuteen tehdään ennakoivasti.
- Lähestymistavan suhteen kulttuurit voi jakaa kahteen päätyyppiin. Prosessi- ja vaatimustenmukaisuusfokus keskittyy sertifikaatteihin, dokumentaatioon ja riskien minimointiin. Ketterä liiketoimintafokus taas painottaa nopeutta ja innovaatioita – tietoturva tukee ja palvelee liiketoiminnan tavoitteita.
Molemmilla lähestymistavoilla on arvonsa ja paikkansa.
Tietoturvakulttuurin neljä mallia
Mallinsin näiden kahden ulottuvuuden yhdistelmästä neljä erilaista tietoturvakulttuuria. Todellisuus on toki hienojakoisempi, mutta toivon että malli auttaa tunnistamaan oman organisaation lähtötilanteen ja mahdolliset kehityssuunnat.
Lataa nelikenttä täältä.
Käyn lyhyesti nelikentän läpi.
Reaktiivinen kulttuuri
Jos johdon tuki on matala ja lähestymistapa prosessivetoinen, on tuloksena tavanomaisesti reaktiivinen tietoturvakulttuuri. IT hoitaa tietoturvaa muun työn ohessa. Vaatimustenmukaisuuden minimivaatimukset saatetaan täyttää, varsinkin jos oma toimiala sitä edellyttää, mutta pitkäjänteiseen kehittämiseen ei jää aikaa. Resurssipula aiheuttaa kitkaa ja auditoinneista seuraa joka kerta paljon säätämistä ja stressiä.
Tämä on kulttuuri, johon ajaudutaan helposti. Kukaan ei ole valinnut sitä tietoisesti, mutta resurssit eivät ole riittäneet laajempaan toimintaan. Eteneminen kohti edelläkävijäkulttuuria edellyttää ensin jompaakumpaa seuraavista → joko johdon tuen vahvistumista tai lähestymistavan kirkastamista. Käytännössä matka kulkee usein compliance- tai nopeus ensin -kehityspolun kautta.
Compliance-kulttuuri
Jos johdon tuki tietoturvallisuudelle on hyvällä tasolla, mutta muun organisaation lähestymistapa painottuu vahvasti perustason vaatimustenmukaisuuteen, syntyy ns. compliance-kulttuuri. CISO toimii käytännössä Chief Compliance Officerina. Sertifikaatit ovat kunnossa ja PDCA-syklikin pyörii. Poikkeamille on organisaatiossa nollatoleranssi ja dokumentaatiokin on kattava.
Tämän kulttuurin tuloksena on erittäin selkeä auditoitavuus ja hallinnollinen varmuus. Tämä saattaa jäykistää prosesseja paljonkin, eikä välttämättä tue osaltaan yrityksen liiketoimintaa riittävästi. Mallin sopivuus riippuu suuresti toimialasta. Mikäli tukea liiketoiminnalle kaivataan, esimerkiksi kilpailutilanteen vuoksi, kannattaa pohtia mikä olisi paras askel kohti ns. edelläkävijäkulttuuria.
Nopeus ensin -kulttuuri
Jos johdon tuki tietoturvallisuusasioille on rajallinen, mutta organisaation lähestymistapa on sinänsä ketterä ja liiketoimintavetoinen, tällöin muodostuu ns. nopeus ensin -kulttuuri. Tietoturvaa ostetaan tarvittaessa pistemäisesti ulkoa, CISO-roolia ei välttämättä ole. Ratkaisut rakennetaan ad hoc -periaatteella asiakastarpeiden mukaan. ”MVP-tason” turvallisuus riittää toistaiseksi.
Tämänkaltainen kulttuuri on tyypillinen startupeille ja kasvuyrityksille. Nopeat liikkeet mahdollistavat sujuvan etenemisen, mutta turvallisuusvelkaa alkaa väkisinkin kertyä. Auditoinneista ajatellaan, että hyvä juttu, mutta ne sitten joskus tulevaisuudessa. Osalla startupeista reguloitu toimiala edellyttää vankkaa tietoturvaa jo alusta asti. Monelle kasvuyritykselle tämä on luonteva lähtökohta – ja kun johdon tuki (myös budjetti) vahvistuu, polku vie kohti edelläkävijäkulttuuria.
Edelläkävijäkulttuuri
Tietoturvallisuuden edelläkävijäkulttuuri muodostuu kun johdon tuki asialle on vahva ja koko organisaation suhtautuminen on positiivinen. Usein yrityksen toimiala ja kilpailutilanne tätä edellyttävät. Lähestymistapa muodostuu ketteräksi, mutta silti riittävän kattavaksi. Tällöin ‘Security by design’ on usein toiminnan perusperiaatteena. CISOlla on vastuuta ja valtaa. Tietoturvallisuuden kehittäminen pyörii sisäänrakennettuna PDCA-syklin mukaan – ja ulottuu myös innovaatiotoimintaan. Kyberturvaan investoidaan ennakoivasti ja auditoinnit ovat itsestäänselvä osa normaalia vuosikelloa.
Edelläkävijäkulttuuri vaatii johdon sitoutumista sekä riittävästi resursseja. Kun nämä ovat paikoillaan, tietoturvallisuustoimet tukevat osaltaan organisaation liiketoimintaa ja parhaimmillaan tuottavat kilpailuetua.
Edelläkävijäkulttuuri on mahdollista toteuttaa myös startupeissa, sillä tietoturva on mahdollista integroida toimintaan heti alusta asti.
Tietoturvakulttuuri ja vaikutus viivan alle
Kyberturvallisuuslaki, eli NIS2-direktiivi, asettaa johdon henkilökohtaiseen vastuuseen tietoturvallisuudesta. Mutta tämä vastuu ei ole johdon ainoa syy kiinnostua tietoturvallisuuteen liittyvästä kulttuurista.
Liiketoiminnan näkökulmasta tietoturvakulttuuri voi vaikuttaa myös suoraan viivan alle. Vahva tietoturvakulttuuri lyhentää myyntisyklejä, kun asiakkaan tietoturvakysely ei pysäytä kauppaa tai tarjouksen tekoa viikoiksi. Se vähentää häiriöiden kustannuksia, kun poikkeamat havaitaan ja käsitellään nopeasti. Se suojaa yrityksen mainetta, kun henkilöstö osaa toimia oikein myös paineen alla. Ja se houkuttelee asiakkaita, joille kumppanin tietoturvan taso on tärkeä valintakriteeri.
Toimivan tietoturvakulttuurin puute taas maksaa. Tietoturvapoikkeaman hinta suomalaiselle pk-yritykselle voidaan laskea kymmenissä, jopa sadoissa tuhansissa euroissa, ja siihen päälle tulevat menetetyt kaupat, joista ei koskaan edes kuulla.
Vallitseva kulttuuri ratkaisee sen, miten fiksusti organisaatiossa tietoturvan suhteen käytännössä toimitaan. Prosessit ja kontrollit ovat tärkeitä, mutta ne eivät auta, jos ihmiset eivät välitä tai tiedä miten tulisi toimia. Yksittäinen sitoutunut työntekijä voi huomata poikkeaman, jota järjestelmä ei havaitse. Toisaalta paraskaan teknologia ei aina suojaa, jos organisaation kulttuuri sallii oikopolut.
Kolme kysymystä johtoryhmälle
Ehdotan, että käytte seuraavassa johtoryhmän kokouksessa läpi seuraavat kysymykset:
1. Missä nelikentän ruudussa olemme nyt? Olkaa rehellisiä. Reaktiivinen kulttuuri ei ole häpeä, jos se on tietoinen valinta rajallisilla resursseilla. Ongelmia syntyy pikemminkin jos luulee olevansa edelläkävijä, mutta arjessa toimitaan reaktiivisesti.
2. Onko nykyinen kulttuuri tietoinen valinta? Jos ei, miten se on muotoutunut? Useimmissa organisaatioissa tietoturvan hallinta on ajan kanssa asettunut tietyille urille. Tätä voi muuttaa jos niin päätätte. Toimivan kulttuurin rakentaminen vie aikaa, mutta se on investointi, joka maksaa itsensä takaisin.
3. Mihin suuntaan haluamme kehittyä – ja mitä se meiltä vaatii? Kulttuurin muuttaminen vaatii johdon ja koko organisaation sitoutumista, resursseja ja aikaa. Mikään näistä ei yksin riitä.
Tietoturvakulttuurin muuttaminen on hidasta työtä. Johdolla on tässä vahva rooli – mistä puhutaan, mitä mitataan ja mistä palkitaan. Tietoturvakulttuuri on siis pitkälti johtamiskysymys ja se heijastuu organisaation kaikkeen toimintaan. Taitava CISO on tässä kullanarvoinen toimitusjohtajan työpari.
Niki
–
PS. Kirjoitin vaatimustenmukaisuuden hallinnan lähestymistavoista aiemmin:
ISO 27001 ja NIS2 käytäntöön: Excel, koontinäkymä vai integraatiot?