Korona paljasti yritysturvallisuuden ja kokonaisarkkitehtuurin puutteet
Koronaepidemia paljasti karusti, miten huonolla tolalla monen yrityksen turvallisuus on. Mitä muuta yritysturvallisuus on kuin antivirusta ja palomuuria? Miten se liittyy yrityksen kokonaisarkkitehtuuriin? Sofigaten asiantuntija Olli Haukkovaara kertoo.
Moni mieltää yritysturvallisuuden vain IT-ympäristön turvallisuudeksi ja laittaa panokset palomuureihin ja haittaohjelmien torjuntaan. Kokonaisuus on jäänyt huomiotta, ja nyt kriisitilanteessa lyhytnäköisyys kostautuu kalliisti.
Ylätasolla yritysturvallisuus koostuu kolmesta komponentista: liiketoiminnan jatkuvuudesta, turvallisuudesta ja vaatimustenmukaisuudesta. Erityisesti liiketoiminnan jatkuvuutta ei selvästikään ole monessa yrityksessä etukäteen mietitty, mikä on johtanut nopeisiin päätöksiin yrityksen toimintojen alas ajamisesta koronaepidemian iskettyä.
Yritysturvallisuus kannattaa suunnitella osana kokonaisarkkitehtuuria
Yritysturvallisuus ei ole oma irrallinen saarekkeensa, vaan sen suunnittelu on tärkeä tehdä osana yrityksen kokonaisarkkitehtuuria.
Turvallisuus liittyy yrityksen kaikkeen toimintaan – se on kiinteä osa liiketoimintaa ja riskienhallinnan työkalu. Kokonaisarkkitehtuuri piirtää kuvan, miten organisaation kaikki rakenteet, prosessit, järjestelmä ja data toimivat turvallisesti yhdessä.
Yritysturvallisuustoiminnalla suojataan yritykselle tärkeitä arvoja kuten tietoa, omaisuutta, mainetta, työntekijöitä ja ympäristöä sekä hallitaan myös monia yritykseen kohdistuvia uhkia ja riskejä. Keskeisenä tehtävänä on edistää yrityksen kilpailukykyä ja parantaa tuottavuutta.
Mitä kaikkea yritysturvallisuuteen liittyy?
Kun yritysturvallisuutta suunnitellaan, mitä siihen pitäisi vähintään ottaa mukaan?
- Jatkuvuussuunnitelmien on katettava paitsi IT-järjestelmät myös kaikki yrityksen muut toiminnot tuotannosta hallintoon.
- Yrityksellä tulee olla edellytykset harjoittaa liiketoimintaansa turvallisesti, ilman että rikollinen toiminta, onnettomuudet ja häiriötilanteet sitä merkittävästi häiritsevät.
- Liiketoiminnan vaatimustenmukaisuus tuli viimeistään GDPR:n myötä jokaisen yrityksen hartioille. Joitain aloja on säännelty jo vuosikymmeniä.
- Tietoturvallisuus nivoutuu myös muihin osa-alueisiin, erityisesti vaatimustenmukaisuuteen, mutta myös toimitila- ja kiinteistöturvallisuuteen sekä väärinkäytösten ja poikkeamien hallintaan, henkilöstöturvallisuuteen ja varautumiseen.
- Yrityksen toimipaikkoja ja -tiloja tulee suojata riskiarvioihin perustuen kustannustehokkaasti.
- Henkilöstöturvallisuus on yleensä henkilöstöhallinnon vastuulla, ja se on keskeinen osa yrityksen turvallisuutta.
- Työturvallisuus puolestaan on lakisääteinen asia, mutta yrityksillä on myös moraalinen velvollisuus huolehtia työntekijöidensä terveydestä ja turvallisuudesta. Koronaepidemian iskettyä työturvallisuudesta on tullut iso asia, se on ja pakottanut monet yritykset digiloikkaan.
- Väärinkäytösten ja poikkeamien hallinta on tärkeää liiketoiminnan, henkilöstön ja omaisuuden suojaamisesta sisä- tai ulkopuolisia toimijoita vastaan.
- Varautumisen ja kriisinhallinnan avulla yritys pyrkii tunnistamaan ja ennakoimaan odottamattomia tilanteita, kuten koronaepidemia, sekä suojautumaan niiltä mahdollisimman tehokkaasti.
- Pelastusturvallisuutta puolestaan tarvitaan tulipalojen tai muiden onnettomuuksien ennaltaehkäisemisessä sekä nopeata ja oikeanlaista vastetta onnettomuustilanteissa.
- Ympäristöturvallisuus on uusin osa-alue yritysturvallisuudessa, tavoitteena on ekologisen kestävyyden huomioiminen, asiakkaiden ja yhteiskunnan ympäristöodotuksiin vastaaminen ja ennakointi.
Yllä olevasta listasta voidaan huomata, että yritysturvallisuus on todella laaja asia. Minkä tahansa osa-alueen huomiotta jättäminen voi olla yritykselle kohtalokasta.
Laita yritysturvallisuus kuntoon
Jos nyt aloit miettiä oman yrityksesi turvallisuutta, tämä kirjoitus saavutti jo yhden tavoitteensa. Seuraava askel on tietysti konkreettiset toimenpiteet turvallisuuden kuntoon laittamiseksi.
Seuraava kysymyslista saattaa olla avuksi:
- Millä tolalla yrityksenne kokonaisarkkitehtuuri on? Miten yritysturvallisuus on huomioitu siinä?
- Oletteko huomioineet yrityksenne liiketoiminnan jatkuvuuden? Miten kriisinhallinta on toiminut koronaepidemian iskettyä?
- Onko yrityksenne toimitilat asianmukaisesti suojattu? Pystyttekö toimimaan nopeasti ja oikein onnettomuustilanteissa?
- Oletteko huolehtineet riittävästi henkilöstönne turvallisuudesta? Onko etätyö mahdollistettu ja yrityksenne tiloissa töitä tekevien turvallisuus varmistettu?
- Riittääkö yrityksessänne oma osaaminen vai tarvitsetteko ulkopuolisia yritysturvallisuuden ja kokonaisarkkitehtuurin asiantuntijoita?
Kaikkia muutoksia turvallisuuteen ei tarvitse tehdä kerralla, riskiarviot eri osa-alueiden suhteen on yksi hyvä lähtöpiste. Joillekin voi olla nyt selvää, että etäyhteyksien mahdollistaminen työn teossa on se tärkein asia liiketoiminnan jatkamiseksi, toisella yrityksellä vaihtoehtoisen liiketoimintaprosessin käynnistäminen on jatkuvuuden avain.
Kirjoittaja
Sofigaten Senior Advisor Olli Haukkovaara on toiminut yritysturvallisuuden parissa jo toista vuosikymmentä ja turvallisuus sekä tietosuoja on hänen intohimonsa. Hän työskentelee Sofigatella konsulttina Business Technology Design -liiketoiminta-alueella sekä vastaa tietosuojasta koko konsernissa.