Kuka teillä johtaa yritysturvallisuutta? Nämä asiat kannattaa ainakin huolehtia kuntoon
Jotta yritysturvallisuutta kykenee johtamaan luotettavasti, on ymmärrettävä se kokonaisuutena. Mitä muuta turvallisuus on kuin antivirusta ja palomuuria? Entä miten se liittyy organisaation kokonaisarkkitehtuuriin? Sofigaten asiantuntija Olli Haukkovaara kertoo.
Moni mieltää turvallisuuden hallinnan vain IT-ympäristön turvallisuudeksi ja laittaa panokset palomuureihin ja haittaohjelmien torjuntaan. Äärimmillään johto kokee tietoturvan ja kokonaisarkkitehtuurin hallinnan liiketoimintaa hidastaviksi ja tulosta heikentäviksi tekijöiksi.
Monen yrityksen johdolta kokonaisuus on jäänyt huomiotta. Kriisitilanteessa lyhytnäköisyys voi kostautua kalliisti.
Jokainen organisaatio tarvitsee yritysturvallisuutta, josta voidaan puhua myös kokonaisturvallisuuden hallintana. Ylätasolla yritysturvallisuus koostuu kolmesta komponentista:
- Liiketoiminnan jatkuvuus
- Turvallisuus
- Vaatimustenmukaisuus
Vaatimustenmukaisuuteen kuuluu kaikissa organisaatioissa tietosuojan hallinta, joillain toimialoilla myös niihin kohdistuvan regulaation asettamien vaatimusten hallinta. Liiketoiminnan jatkuvuuden hallinta on selkeästi monessa organisaatiossa jäänyt etukäteen miettimättä, mikä on kostautunut esimerkiksi pandemian aikoina.
Yritysturvallisuus kannattaa suunnitella osana kokonaisarkkitehtuuria
Yritysturvallisuus ei ole oma irrallinen saarekkeensa, vaan sen suunnittelu on tärkeä tehdä osana yrityksen kokonaisarkkitehtuuria. Sillä on oltava johdon täysi tuki.
Turvallisuus liittyy yrityksen kaikkeen toimintaan – se on kiinteä osa liiketoimintaa ja riskienhallinnan työkalu. Kokonaisarkkitehtuuri piirtää kuvan, miten organisaation kaikki rakenteet, prosessit, järjestelmä ja data toimivat turvallisesti yhdessä.
Yritysturvallisuustoiminnalla suojataan yritykselle tärkeitä arvoja kuten tietoa, omaisuutta, mainetta, työntekijöitä, asiakkaita ja ympäristöä sekä hallitaan myös monia yritykseen kohdistuvia uhkia ja riskejä. Keskeisenä tehtävänä on edistää yrityksen kilpailukykyä ja parantaa tuottavuutta.
Mitä kaikkea yritysturvallisuuteen liittyy?
Kun yritysturvallisuutta suunnitellaan, mitä siihen pitäisi vähintään ottaa mukaan?
- Tietoturvan perusasiat on huomioitava kaikilla tasoilla.
- Jatkuvuussuunnitelmien on katettava paitsi IT-järjestelmät myös kaikki yrityksen muut toiminnot tuotannosta hallintoon.
- Yrityksellä tulee olla edellytykset harjoittaa liiketoimintaansa turvallisesti, ilman että rikollinen toiminta, onnettomuudet ja häiriötilanteet sitä merkittävästi häiritsevät.
- Liiketoiminnan vaatimustenmukaisuus tuli viimeistään GDPR:n myötä jokaisen yrityksen hartioille. Joitain aloja on säännelty jo vuosikymmeniä.
- Tietoturvallisuus nivoutuu myös muihin osa-alueisiin, erityisesti vaatimustenmukaisuuteen, mutta myös toimitila- ja kiinteistöturvallisuuteen sekä väärinkäytösten ja poikkeamien hallintaan, henkilöstöturvallisuuteen ja varautumiseen.
- Yrityksen toimipaikkoja ja -tiloja tulee suojata riskiarvioihin perustuen kustannustehokkaasti.
- Henkilöstöturvallisuus on yleensä henkilöstöhallinnon vastuulla, ja se on keskeinen osa yrityksen turvallisuutta.
- Työturvallisuus puolestaan on lakisääteinen asia, mutta yrityksillä on myös moraalinen velvollisuus huolehtia työntekijöidensä terveydestä ja turvallisuudesta. Koronaepidemian iskettyä työturvallisuudesta on tullut iso asia, se on ja pakottanut monet yritykset digiloikkaan.
- Väärinkäytösten ja poikkeamien hallinta on tärkeää liiketoiminnan, henkilöstön, asiakastietojen ja omaisuuden suojaamisesta sisä- tai ulkopuolisia toimijoita vastaan.
- Varautumisen ja kriisinhallinnan avulla yritys pyrkii tunnistamaan ja ennakoimaan odottamattomia tilanteita, kuten tietomurto, sekä suojautumaan niiltä mahdollisimman tehokkaasti.
- Pelastusturvallisuutta puolestaan tarvitaan tulipalojen tai muiden onnettomuuksien ennaltaehkäisemisessä sekä nopeata ja oikeanlaista vastetta onnettomuustilanteissa.
- Ympäristöturvallisuus on uusin osa-alue yritysturvallisuudessa, tavoitteena on ekologisen kestävyyden huomioiminen, asiakkaiden ja yhteiskunnan ympäristöodotuksiin vastaaminen ja ennakointi.
Yllä oleva lista osoittaa, että yritysturvallisuus on todella laaja asia. Minkä tahansa osa-alueen huomiotta jättäminen voi olla yritykselle kohtalokasta.
Laita yritysturvallisuus kuntoon
Jos nyt aloit miettiä oman yrityksesi turvallisuutta, tämä kirjoitus saavutti jo yhden tavoitteensa. Seuraava askel on luonnollisesti konkreettiset toimenpiteet turvallisuuden kuntoon laittamiseksi
Seuraava kysymyslista saattaa olla avuksi:
- Millä tolalla yrityksenne kokonaisarkkitehtuuri on? Miten yritysturvallisuus ja tietosuoja on huomioitu siinä?
- Oletteko huomioineet yrityksenne liiketoiminnan jatkuvuuden? Onko kriisinhallintaa harjoiteltu?
- Onko yrityksenne toimitilat asianmukaisesti suojattu? Pystyttekö toimimaan nopeasti ja oikein onnettomuustilanteissa?
- Oletteko huolehtineet riittävästi henkilöstönne turvallisuudesta? Onko etätyö jo mahdollistettu ja yrityksenne tiloissa töitä tekevien turvallisuus varmistettu?
- Riittääkö yrityksessänne oma osaaminen vai tarvitsetteko ulkopuolisia yritysturvallisuuden ja kokonaisarkkitehtuurin asiantuntijoita?
Kaikkia muutoksia turvallisuuteen ei tarvitse tehdä kerralla vaan, riskiarviot eri osa-alueista on yksi hyvä lähtöpiste. Tärkeintä on kuitenkin varmistaa, että johto ymmärtää yritysturvallisuuden merkityksen – ja kantaa kokonaisuudesta vastuunsa. Tätä ei voi liikaa korostaa aikoina, jolloin yksikin moka voi kaataa koko yrityksen.
Kaipaatko tukea yritysturvallisuuteen tai kokonaisarkkitehtuuriin? Autamme Sofigatella mielellämme. Ota yhteyttä jarmo.pyykkonen[a]sofigate.com tai mikko.saari[a]sofigate.com, niin keskustellaan lisää!
Kirjoittaja
Sofigaten Senior Advisor Olli Haukkovaara on toiminut yritysturvallisuuden parissa jo toista vuosikymmentä. Turvallisuus sekä tietosuoja ovat hänen intohimojaan. Hän työskentelee Sofigatella konsulttina Strategic Planning & Governance – liiketoiminta-alueella ja vastaa tietosuojasta koko konsernissa.
Panostatko hankinnoissa säästöihin vai työntekijäkokemukseen – vai molempiin?
CoE, C4E, R2-D2 ja C-3PO - navigointi integraatiogalaksissa lyhenteiden tuolla puolen
