Kyberturvallisuusstrategia ja kulttuurin kehittäminen

Asiakasluottamuksen edellytys on, että turvallisuus on kunnossa.

OP Ryhmä on luonut vuonna 2019 uuden kyberstrategian ja -kehittämissuunnitelman, jonka yhtenä osa-alueena on kyberturvakulttuurin kehittäminen. Tavoitteeksi on määritelty henkilöstön kybertietoisuuden kasvattaminen ja positiivisen kyberturvakulttuurin rakentaminen niin, että työntekijät eri puolilla organisaatiota ovat kykeneviä toimimaan vahvana puolustuslinjana ryhmään kohdistuvia uhkia vastaan.

Tavoitteena kokonaisvaltainen kyberturvallisuusstrategia

Kyberstrategia kertoo, miten kyberturvallisuutta viedään organisaatiossa eteenpäin. Tärkeää on, että kyberstrategia on liiketoimintalähtöinen ja se vastaa liiketoimintastrategian tavoitteisiin.

Kyberstrategiaa luodessa OP Ryhmässä käytiin paljon keskusteluja eri liiketoiminta-alueilla. Tavoitteena oli selvittää yhteisesti, minkä tyyppisiä kyberuhkia yhtiössä kohdataan. Keskusteluista löytyi yhteinen ymmärrys siitä, mikä on kyberturva-ammattilaisten näkemys uhkista, ja toisaalta mikä on liiketoiminnalle tärkeää.

”Yhtiön ylin johto on ymmärtänyt kyberturvallisuustyön tärkeyden alusta lähtien. Heitä haastateltiin strategiatyön alkuvaiheessa ja saimme sieltä myös suuntaviivoja itse strategiaan. Meille oli selvää, että nyt tehdään pidemmän tähtäimen kehityssuunnitelma – kokonaisvaltainen kyberstrategia”, OP Ryhmän kyberturvallisuuden kehittämisestä vastaava johtaja Tero Mellin kertoo.

Haastattelujen näkemykset kerättiin yhteen. Strategiaan kirjattiin organisaatiota uhkaavat asiat ja näkemykset siitä, miten niihin tulisi varautua. Taustalla oli koko ajan ajatus siitä, että kaiken toiminnan keskiössä on asiakas.

”Asiakasluottamuksen edellytys on, että turvallisuus on kunnossa", Mellin muistuttaa.

Kyberturvallisuuskulttuurin rakentaminen

Tänä vuonna monet suomalaiset ovat ottaneet melkoisen digiloikan koronakriisin seurauksena. Myös kyberuhat ovat samanaikaisesti lisääntyneet aiheuttaen monenlaista haastetta esimerkiksi isoille organisaatiolle, joilla on paljon henkilöstöä ja työtä tehdään etänä”, Deloitten kyberturvapalveluita johtava Antti Herrala sanoo.

OP Ryhmä halusi viedä kyberturvallisuusstrategian käytäntöön konkreettisesti. Tavoitteena oli muuttaa ihmisten käyttäytymistä niin, että työntekijät eri puolilla organisaatiota osaavat toimia kyberturvallisesti.

”Ei riitä, että kyberturvallisuusammattilaiset lähtevät yksin kehittämään asiaa. Tarvitaan laajempaa osaamista kuin pelkkää kyberturvallisuuteen liittyvää. Kulttuurin muutos vaatii muutosjohtamista, markkinointia ja viestintää”, Deloittella organisaatioiden muutosjohtamisesta ja transformaatioista vastaava johtaja Kirsi Kemi pohtii.

OP Ryhmässä kulttuurinmuutoksessa lähdettiin liikkeelle siitä, mitä kyberturvallisuus tarkoittaa arjessa. Näin tärkeään työhön saatiin mukaan koko henkilöstö.

”Kyberturvallisuus halutaan tehdä mahdollisimman arkiseksi. Ajatuksena oli, että ihmiselle annetaan sellaiset välineet ja työkalut, että he voivat helposti toimia oikein. Tässä onnistuttiin hyvin. Henkilöstö oli aktiivisesti mukana ja meillä oli paljon keskusteluja eri kanavissa. Ihmiset toivat esiin kyberturvallisuuteen liittyviä käytännön asioita, joita he olivat työssään huomioineet”, Mellin kertoo.

Lisääntynyt valveutuneisuus hyödyttää koko toimialaa

Jokaisessa yrityksessä on omat liiketoimintaprosessinsa ja tavat toimia. Myös kyberstrategian täytyy olla räätälöity toimialaan ja organisaatioon.

”Yleisesti voidaan sanoa, että herääminen kyberturvallisuuteen on tapahtunut. Menestyvien yritysten johto tukee kyberturvallisuuden kehittämistä ja haluaa aidosti toimia kyberturvallisesti. Kyberturvallisuusstrategian luomisessa on tärkeää miettiä, mihin turvallisuusasioihin juuri meidän organisaatiossamme halutaan vaikuttaa ja miten resursseja käytetään mahdollisimman tehokkaasti tavoitteen saavuttamiseksi. Pohjatyö pitää malttaa tehdä kunnolla”, Herrala muistuttaa.

Kyberturvallisuusstrategian ja -kulttuurin luominen ja käyttöönotto näkyvät OP Ryhmässä monin tavoin.

”Viime vuonna meillä oli esimerkiksi tilanne, jossa pankkia kohtaan suunnattiin kalasteluyrityksiä. Työntekijämme huomasivat jotain epäilyttävää ja raportoivat sen sovitun toimintamallin mukaisesti eteenpäin. Torjuimme tämän kalasteluyrityksen. Erityisen hienoa tässä on se, että valveutuneet työntekijämme auttoivat tässä kertaheitolla koko finanssisektoria”, Mellin summaa.

Mellinin mukaan henkilöstön proaktiivisuus on yleensäkin selkeästi kasvanut. Kyberasioista keskustellaan ja niistä ollaan kiinnostuneita.

”Lisäksi täytyy muistaa, että kyberturvallisuusasiat eivät ole pelkästään yksittäisiä projekteja tai kampanjoita. Digitalisoituneessa maailmassa kyberturvallisuudella on myös yhteiskunnallista vaikuttavuutta. Taistelemme yhdessä kyberrikollisuutta vastaan”, Herrala ja Kemi toteavat.