Viime vuosien tietomurrot ovat nostaneet karusti esille, miten huonolla tolalla monen organisaation turvallisuus ja tietosuoja on. Mitä muuta turvallisuus on kuin antivirusta ja palomuuria? Miten se liittyy organisaation kokonaisarkkitehtuuriin? Minäpä kerron.
Moni mieltää turvallisuuden
hallinnan vain IT-ympäristön turvallisuudeksi ja laittaa panokset palomuureihin
ja haittaohjelmien torjuntaan. Äärimmillään tietoturvan ja
kokonaisarkkitehtuurin hallinta koetaan johdon tasolla vain liiketoimintaa
hidastaviksi ja tulosta heikentäviksi tekijöiksi. Kokonaisuus on jäänyt
johdolta huomiotta, ja kriisitilanteessa lyhytnäköisyys kostautuu kalliisti.
Jokainen organisaatio
tarvitsee yritysturvallisuutta, josta voidaan puhua myös kokonaisturvallisuuden
hallintana. Ylätasolla yritysturvallisuus koostuu kolmesta komponentista:
liiketoiminnan jatkuvuudesta, turvallisuudesta ja vaatimustenmukaisuudesta.
Vaatimustenmukaisuuden hallintaan kuuluu kaikissa organisaatioissa tietosuojan
hallinta, joillain toimialoilla myös niihin kohdistuvan regulaation asettamien
vaatimusten hallinta. Liiketoiminnan jatkuvuudenhallinta on selkeästi monessa organisaatiossa
jäänyt etukäteen miettimättä, mikä kostautuu kriisin iskettyä.
Yritysturvallisuus
kannattaa suunnitella osana kokonaisarkkitehtuuria
Yritysturvallisuus
ei ole oma irrallinen saarekkeensa, vaan sen suunnittelu on tärkeä tehdä osana
yrityksen kokonaisarkkitehtuuria ja sillä on oltava johdon täysi tuki.
Turvallisuus liittyy
yrityksen kaikkeen toimintaan – se on kiinteä osa liiketoimintaa ja
riskienhallinnan työkalu. Kokonaisarkkitehtuuri piirtää kuvan, miten
organisaation kaikki rakenteet, prosessit, järjestelmä ja data toimivat
turvallisesti yhdessä.
Yritysturvallisuustoiminnalla
suojataan yritykselle tärkeitä arvoja kuten tietoa, omaisuutta, mainetta,
työntekijöitä, asiakkaita ja ympäristöä sekä hallitaan myös monia yritykseen
kohdistuvia uhkia ja riskejä. Keskeisenä tehtävänä on edistää yrityksen
kilpailukykyä ja parantaa tuottavuutta.
Mitä
kaikkea yritysturvallisuuteen liittyy?
Kun yritysturvallisuutta
suunnitellaan, mitä siihen pitäisi vähintään ottaa mukaan?
·
Tietoturvan
perusasiat on huomioitava kaikilla tasoilla.
·
Jatkuvuussuunnitelmien
on katettava paitsi IT-järjestelmät myös kaikki yrityksen muut toiminnot
tuotannosta hallintoon.
·
Yrityksellä
tulee olla edellytykset harjoittaa liiketoimintaansa turvallisesti, ilman että
rikollinen toiminta, onnettomuudet ja häiriötilanteet sitä merkittävästi
häiritsevät.
·
Liiketoiminnan
vaatimustenmukaisuus tuli viimeistään GDPR:n myötä jokaisen yrityksen
hartioille. Joitain aloja on säännelty jo vuosikymmeniä.
·
Tietoturvallisuus
nivoutuu myös muihin osa-alueisiin, erityisesti vaatimustenmukaisuuteen, mutta
myös toimitila- ja kiinteistöturvallisuuteen sekä väärinkäytösten ja
poikkeamien hallintaan, henkilöstöturvallisuuteen ja varautumiseen.
·
Yrityksen
toimipaikkoja ja -tiloja tulee suojata riskiarvioihin perustuen
kustannustehokkaasti.
·
Henkilöstöturvallisuus
on yleensä henkilöstöhallinnon vastuulla, ja se on keskeinen osa yrityksen
turvallisuutta.
·
Työturvallisuus
puolestaan on lakisääteinen asia, mutta yrityksillä on myös moraalinen
velvollisuus huolehtia työntekijöidensä terveydestä ja turvallisuudesta.
Koronaepidemian iskettyä työturvallisuudesta on tullut iso asia, se on ja
pakottanut monet yritykset digiloikkaan.
·
Väärinkäytösten
ja poikkeamien hallinta on tärkeää liiketoiminnan, henkilöstön, asiakastietojen
ja omaisuuden suojaamisesta sisä- tai ulkopuolisia toimijoita vastaan.
·
Varautumisen
ja kriisinhallinnan avulla yritys pyrkii tunnistamaan ja ennakoimaan
odottamattomia tilanteita, kuten tietomurto, sekä suojautumaan niiltä
mahdollisimman tehokkaasti.
·
Pelastusturvallisuutta
puolestaan tarvitaan tulipalojen tai muiden onnettomuuksien
ennaltaehkäisemisessä sekä nopeata ja oikeanlaista vastetta
onnettomuustilanteissa.
·
Ympäristöturvallisuus
on uusin osa-alue yritysturvallisuudessa, tavoitteena on ekologisen kestävyyden
huomioiminen, asiakkaiden ja yhteiskunnan ympäristöodotuksiin vastaaminen ja
ennakointi.
Yllä
olevasta listasta voidaan huomata, että yritysturvallisuus on todella laaja
asia. Minkä tahansa osa-alueen huomiotta jättäminen voi olla yritykselle
kohtalokasta.
Laita
yritysturvallisuus kuntoon
Jos nyt aloit miettiä oman
yrityksesi turvallisuutta, tämä kirjoitus saavutti jo yhden tavoitteensa.
Seuraava askel on luonnollisesti konkreettiset toimenpiteet turvallisuuden
kuntoon laittamiseksi.
Seuraava kysymyslista
saattaa olla avuksi:
·
Millä
tolalla yrityksenne kokonaisarkkitehtuuri on? Miten yritysturvallisuus ja
tietosuoja on huomioitu siinä?
·
Oletteko
huomioineet yrityksenne liiketoiminnan jatkuvuuden? Onko kriisinhallintaa
harjoiteltu?
·
Onko
yrityksenne toimitilat asianmukaisesti suojattu? Pystyttekö toimimaan nopeasti
ja oikein onnettomuustilanteissa?
·
Oletteko
huolehtineet riittävästi henkilöstönne turvallisuudesta? Onko etätyö jo mahdollistettu
ja yrityksenne tiloissa töitä tekevien turvallisuus varmistettu?
·
Riittääkö
yrityksessänne oma osaaminen vai tarvitsetteko ulkopuolisia
yritysturvallisuuden ja kokonaisarkkitehtuurin asiantuntijoita?
Kaikkia muutoksia turvallisuuteen ei tarvitse tehdä kerralla, riskiarviot eri osa-alueiden suhteen on yksi hyvä lähtöpiste. Monille on jo selvää, että etäyhteyksien mahdollistaminen työn teossa on se tärkein asia liiketoiminnan jatkamiseksi, toisella yrityksellä vaihtoehtoisen liiketoimintaprosessin käynnistäminen on jatkuvuuden avain.