Julkaisin aiemmin nelikentän, jossa kuvasin tietoturvan johtamiskulttuurin neljä mallia. Sain siitä paljon erinomaista palautetta ja hyviä kehitysehdotuksia. Kiitos kaikille, jotka kommentoivat.
Palautteessa nousi esiin tarve selkeyttää, mitä siirtyminen mallista toiseen käytännössä vaatii.
Alkuperäisen version tarkoituksena oli auttaa tunnistamaan, missä ruudussa oma organisaatio on. Seuraavassa kuvaan, mitä kukin malli edellyttää ja toisaalta mitä siirtymä aina Edelläkävijä-ruutuun saakka vaatii. Nelikenttä kuvaa sitä, ohjataanko tietoturvaa ensisijaisesti kontrollien vai liiketoimintariskien näkökulmasta.
Organisaatiot eivät synny suoraan edelläkävijäksi. Tyypillisesti kehitys kulkee joko Compliance-polun kautta tai Nopeus ensin -polun kautta.
Alla olevassa taulukossa kuvaan tarkemmin, miten nämä neljä toimintamallia eroavat toisistaan.
| Reaktiivinen | Compliance | Nopeus ensin | Edelläkävijä | |
| Liiketoimintahyöty | Minimipanostus | Auditoitavuus, asiakas- vaatimusten täyttäminen | Ketteryys, markkinoillemenon nopeus | Kilpailuetu, resilienssi, luottamus |
| Kustannustaso | Matala (mutta piilokulut korkeat) | Keskitaso | Matala–keskitaso (piilokulujen riski kasvaa ajan myötä*) | Keskitaso– korkeampi |
| Muutosmatka edelläkävijäksi | Pitkä (2–3 v) | Keskipitkä (1–2 v) | Keskipitkä (1–2 v) | – |
| Riskienhallinnan rooli | Reaktiivinen | Kontrollilähtöinen | Liiketoiminta- lähtöinen | Strateginen, integroitu |
| Sopii kun… | Resurssit ovat erittäin rajalliset | Toimiala vaatii vaatimusten- mukaisuutta | Prioriteettina nopea kasvu | Tietoturva on organisaation tärkeä kilpailuetu |
*Nopeus ensin -kulttuurissa kustannukset pysyvät usein aluksi matalina, mutta ilman integroitua hallintamallia piilokulut näkyvät myöhemmin korjausvelkana, häiriöinä ja auditointien jälkityönä.
Mitä siirtymä edelläkävijäksi käytännössä vaatii?
Tyypillisesti kyse ei ole yksittäisestä projektista, vaan siitä, että tietoturva integroidaan osaksi johtamista ja arjen tekemistä.
Edelläkävijä-kulmassa tietoturva ei ole erillinen funktio vaan osa johtamisjärjestelmää. Tämä näkyy tyypillisesti seuraavasti:
- Yhteinen riskikieli liiketoiminnan kanssa → riskit sanoitetaan vaikutuksina (raha, maine, toimituskyky, asiakasluottamus), ei vain kontrollilistoina.
- Mittarit, jotka ohjaavat tekemistä → esimerkiksi toipumiskyky (RTO/RPO, palautumisen onnistuminen), altistuksen hallinta (kriittisten haavoittuvuuksien ikä/peitto) sekä poikkeamien havaitsemisen ja reagoinnin läpimenoajat.
- Harjoittelu → säännölliset tabletop- ja rooliharjoitukset, jotta kriisitilanteessa toimitaan hallitusti selkäytimestä, ei vain prosessikaaviota seuraten.
- Tietoturva mukaan tuote- ja muutosprosesseihin → turvallisuusvaatimukset ja riskitarkastelut osaksi suunnittelua, kehitystä ja muutostenhallintaa (ei portinvartijaksi lopussa).
Nopeus ensin -kulttuurissa on usein jo vahva tekemisen meininki ja omistajuus, mutta hallintamalli pitää integroida osaksi arjen tekemistä. Ilman yhteistä hallintamallia käytännöt jäävät helposti henkilöriippuvaisiksi. Kasvuyritysten kohdalla tietoturvasta huolehtiminen alkumetreiltä asti antaa tarpeellista liikkumavaraa, turvallisesti.
Auditointivalmiudesta kriisinkestävyyteen
Eräs ykkösversioon saamani kommentti kiteytti asiaa hyvin: ”Compliance valmistaa auditointeihin, resilienssi valmistaa kriiseihin.” Loistava kiteytys, jonka nappasin mukaan.
Erittäin moni asiakkaamme on vahvana Compliance-kulmassa ja hyödyntää jatkuvan kehittämisen mallia etenemisessä polulla. Kasvuyritysasiakkaamme lähestyvät asiaa monesti Nopeus ensin -kulmalla. Molemmat vievät oikeaan suuntaan, kunhan siitä on strategisesti päätetty.
Compliance-fokus auttaa – nimensä mukaisesti – täyttämään vaatimukset, mutta se ei automaattisesti rakenna kriisinkestävyyttä. Compliance-kulttuuri on silti oivallinen lähtökohta: sen avulla täytetään asiakkaiden ja viranomaisten vaatimukset ja toimintaan syntyy järjestelmällisyyttä. Mutta tämä ei automaattisesti tarkoita, että organisaatio selviytyy kriisistä täysin ilman kitkaa.
Edelläkävijäkulttuurissa toimintaan rakennetaan erityistä resilienssiä. Tietoturvallisuus on integroitu arjen toimintaan, ja siksi se on kattavampaa kuin tavanomainen tarkistuslista.
Ero näkyy siinä, että kun jotain iskee tuulettimeen, organisaatio reagoi hallitusti. Tämä siksi, että prosessi toimii, mutta myös siksi, että ihmiset aidosti ymmärtävät, miksi näin toimitaan. Tällöin reagointi on sekä nopeaa että hallittua.
Lataa nelikenttä täältä.
Ratkaisevaa on tiimien yhteistyö
Edelläkävijä- ja Nopeus ensin -toimintakultuureissa korostuu tiivis yhteistyö tietoturvan, liiketoiminnan ja IT:n välillä. Taiten rakennettu hallintamalli (ISMS) tuo kaikki saman pöydän – ja tiedon – ääreen sekä arjessa että kriisin sattuessa kohdalle.
Osassa organisaatioita kriittiset sidosryhmät löytyvät tuotekehityksestä tai OT-puolelta.
Liiketoiminnan selkeä ja yhdensuuntainen tahtotila on tärkeä kaikkien näiden tilanteiden tunnistamiseksi – muuten asiat päätyvät tietoturvan pöydälle aivan liian myöhään.
Jos haluat sparrailla tietoturvan kehittämiseen liittyvissä kysymyksissä, olemme mielellämme apuna.
Niki
PS. Aiempi kirjoitukseni → Tietoturvakulttuurin neljä mallia – missä ruudussa oma organisaatiosi on?