CGI:n Kybertutka-lähetyksessä marraskuussa Matti Vesterinen ja tietoturvakonsultoinnin johtaja Anne Hintzell keskustelivat yksinkertaisesta kysymyksestä: miksi kyberturvallisuus on nyt johdon asia enemmän kuin koskaan?
Uudet säädökset eivät tarkoita vain muodollista vastuuta, vaan sitä, että ylimmän johdon on pystyttävä tekemään perusteltuja päätöksiä kyberturvallisuudesta. Tämä edellyttää riittävää osaamista – ei teknistä syväosaamista, vaan kykyä ymmärtää riskejä, kysyä oikeita kysymyksiä ja arvioida, mihin panostaa.
Katso jakso tai jatka lukemista:
Samalla organisaatioiden on tarkasteltava, miten tietoturva on tänä päivänä johdossa järjestetty: tarvitaanko erillinen tietoturvajohtaja, tuodaanko osaamista johtoryhmään laajemmin vai rakennetaanko uudenlainen malli?
Hintzell näkee tilanteessa myös mahdollisuuden. Regulaatio pakottaa organisaatiot katsomaan peiliin, mutta samalla se tarjoaa tilaisuuden nostaa kyberosaaminen pysyväksi osaksi yritysjohdon kompetenssia.
“Uudet säädökset ovat tehneet vastuun täysin näkyväksi. NIS2 ja DORA eivät jätä tulkinnanvaraa siitä, että rooli on ylimmällä johdolla ja hallituksella”, Hintzell toteaa. “Samalla tavalla kuin taloutta tai henkilöstöasioita, myös kyberturvallisuutta on johdettava osaamisella ja rohkeudella.”
Vesterisen mukaan ajattelutapa, jossa tietoturva oli yhden asiantuntijan orkesteria, ei enää toimi. “Perinteisesti tämä on ollut yhden henkilön vastuulla ja usein henkilön, jolla ei edes ole ollut budjettia tai valtaa tehdä tarvittavia päätöksiä. Nyt se ei yksinkertaisesti riitä.”
Kyberturvallisuus raportoinnin kohteena vai johtamisen välineenä?
Keskustelun ytimessä oli raportointi ja erityisesti sen muutos. Hintzell kuvaa perinteistä mallia lempeän ironisesti: “Kvartaalipowerpoint, jossa käydään läpi listaa haavoittuvuuksista. Me kaikki tiedämme, että tätä on tehty. Ja että sillä ei johdeta muutosta.”
Nykytila vaatii toisenlaista lähestymistä. Johto ei tarvitse teknistä jargonia, vaan selkeän kuvan riskeistä, niiden liiketoimintavaikutuksista ja siitä, missä suojautuminen oikeasti voi pettää.
“Jos asiat esitetään teknisesti, johto usein uskoo ymmärtäneensä, mutta ei välttämättä ymmärrä eikä kehtaa kysyä”, Vesterinen sanoo. “Siksi kielen on muututtava. Pitää olla mahdollista esittää tarkentavia kysymyksiä ilman, että tuntuu siltä kuin pitäisi olla insinööri.”
Hintzell jatkaa: “Raportoinnin tarkoitus on synnyttää keskustelua, ei tuottaa dokumenttia. Valitse tärkeimmät asiat ja nosta ne rehellisesti esiin.”
3 askelta parempaan kyberturvallisuuden raportointiin
- Supista, älä laajenna. Esitä johdolle vain muutama kriittinen riski eli ne, joilla on aito vaikutus liiketoimintaan. Vähemmän on enemmän.
- Puhu päätöksenteon kieltä. Selitä, mitä riski tarkoittaa taloudelle, asiakkaille, maineelle tai tuotannolle. Jargon vie keskustelun väärille urille.
- Luo jatkuva näkyvyys. Kvartaalikatsaus ei riitä. Dashboardit ja data tarjoavat reaaliaikaisen tilannekuvan, jota johto voi hyödyntää kuten mitä tahansa muuta johtamisen mittaristoa.
Yhteinen näkemys on selvä: johtaminen ei voi perustua formaaliin raportointiin, vaan jatkuvaan, dataan perustuvaan tilannekuvaan, jota johto voi käyttää päätöksenteon tukena samalla tavalla kuin talouden tai henkilöstön dataa.
Toimittajaketju on tällä hetkellä aliarvioiduin riski
Kun jakson aikana avattiin yleisökysymys strategisista riskeistä, Hintzell ei epäröinyt: “Me tiedämme, että uhkia tulee kumppaneiden kautta. Mutta sen hallinta on äärimmäisen vaikeaa, koska se koskee toisia organisaatioita ja niiden prosesseja.”
Tästä syntyy organisaatioille vaikea yhtälö: vaatimuksia on paljon, mutta näkyvyys kumppaneiden toimintaan vaihtelee dramaattisesti. Hintzell huomauttaa, että laki ohjaa jo etenkin finanssialaa toimimaan systemaattisemmin ja hyvästä syystä.
“Enää ei riitä, että sopimuksessa lukee vaatimukset ja sitten toivotaan parasta. Pitää tuntee kumppanit, luokitella kriittisyys, vaatia selkeitä kontrolleja ja ennen kaikkea varmistaa toteutus. Ja se vaatii prosessia.”
Keskustelussa pintaan nousi väistämättä myös tekoäly.
“Me elämme hetkessä, jossa AI-työvälineitä käytetään, mutta kukaan ei ole täysin varma, miten niitä pitäisi käyttää”, Hintzell arvioi. “Ohje on helposti jotain tyyliin ‘käytä huolellisesti’. Mutta se ei ole ohjausta.”
Tekoälyn käyttöönotto ei ole irrallinen kyberturvatoimi, vaan uusi osa normaalia riskienhallintaa. AI on hyökkääjän työväline mutta myös puolustajan – ja molempia rooleja on ymmärrettävä.
“Meidän on mietittävä systemaattisesti: mitä riskejä AI tuo ja mitä hyötyjä se voi tuoda, ja rakennettava hallintatoimet sen mukaan”, Hintzell sanoo.
Kohti rohkeampaa kyberturvallisuusarjen johtamista
“Rohkeutta on nostaa asioita esiin, myös niitä, joista on jo pitkään tiedetty mutta joita kukaan ei ole halunnut ‘omistaa’. Rohkeutta kysyä. Rohkeutta pyytää apua. Ja rohkeutta hyväksyä, että kaikkeen ei voi panostaa, täytyy priorisoida”, sanoo Anne Hintzell.
Vesterinen kuvaa olennaisen muutoksen: “Kun kyberturvallisuus käsitellään samassa kategoriassa kuin talous tai henkilöstö, syntyy aivan toinen taso keskustelulle. Me pystymme tekemään päätöksiä tietopohjaisesti ja ennen kaikkea ennakoimaan.”
Kyberturvallisuus on siirtynyt hetkessä teknisestä sivuroolista johtamisen kovaan ytimeen. Ei siksi, että teknologia olisi monimutkaistunut, vaan koska liiketoiminta on riippuvaisempaa kuin koskaan turvallisista, läpinäkyvistä rakenteista.
Kuten Hintzell sanoo: “Kun turvallisuus viedään osaksi jokapäiväisiä prosesseja, yksikään tuote tai palvelu ei ole valmis ennen kuin se on turvallinen.”
Ja siihen kiteytyy koko keskustelun ydin: moderni kyberturvallisuusjohtaminen ei ole reagointia, vaan proaktiivista, tulevaan varautuvaa tekemistä.
