Sisältöön

Toimintakyvyn johtaminen - SecMeter

Ohita valikko
Ohita valikko

Toimintakyvyn johtaminen

Yritysturvallisuus > Johtamismalli
Resilienssilähtöinen toimintakyvyn johtamismalli


Yritysturvallisuus ei ole erillinen toiminto eikä joukko irrallisia turvallisuustoimenpiteitä. kyse on yrityksen kyvystä ylläpitää toimintakykyään, suojata arvokkaimpia resurssejaan ja saavuttaa tavoitteensa myös epävarmoissa ja muuttuvissa olosuhteissa.

Resilienssilähtöinen toimintakyvyn johtamismalli yhdistää hallinnon, riskienhallinnan, suojaamisen, operatiivisen toiminnan, häiriönhallinnan, palautumisen sekä jatkuvan kehittämisen yhdeksi kokonaisuudeksi. Tämän kokonaisuuden tavoitteena on varmistaa, että yritys kykenee toimimaan luotettavasti, turvallisesti ja tehokkaasti kaikissa tilanteissa.

Tulevaisuudessa menestyvät yritykset eivät ole niitä, jotka välttävät kaikki häiriöt, vaan niitä, jotka kykenevät kohtaamaan häiriöt, palautumaan niistä nopeasti ja hyödyntämään niistä saadut opit kilpailuetunaan.

Yritysturvallisuus on pitkään rakentunut osa-alueajattelun varaan. Yrityksessä on puhuttu henkilöstöturvallisuudesta, toimitilaturvallisuudesta, tietoturvallisuudesta, työturvallisuudesta, ympäristöturvallisuudesta ja monista muista turvallisuuden alalajeista.

Tämä lähestymistapa on ollut hyödyllinen erityisesti silloin, kun tavoitteena on ollut jäsentää turvallisuustoimintoja ja vastuita.

Toimintaympäristö on kuitenkin muuttunut. Digitalisaatio, globaalit toimitusketjut, geopoliittinen epävarmuus, kyberuhat sekä lisääntyvä sääntely ovat muuttaneet yrityksen riskikenttää perusteellisesti.

Euroopan unionin NIS2-direktiivi ja DORA-asetus eivät tarkastele turvallisuutta ensisijaisesti turvallisuuden osa-alueiden kautta, vaan yrityksen kyvyn kautta kestää häiriöitä, jatkaa toimintaansa ja palautua nopeasti poikkeustilanteista.

Tämän seurauksena yritysturvallisuuden rinnalle on noussut laajempi käsite, resilienssi. Resilienssissä ei ole kyse vain uhkien torjumisesta, vaan yrityksen kokonaisvaltaisesta toimintakyvystä muuttuvissa olosuhteissa.
Turvallisuus ei ole päämäärä
Perinteisessä yritysturvallisuusajattelussa huomio kohdistuu usein turvallisuustoimintoihin. Keskustelu pyörii esimerkiksi kameravalvonnan, kulunvalvonnan, tietoturvakontrollien tai turvallisuusohjeiden ympärillä. Tällöin turvallisuus näyttäytyy helposti erillisenä tukifunktiona.

Liiketoiminnan näkökulmasta turvallisuus ei kuitenkaan ole päämäärä. Harvassa yrityksessä hallitus investoi turvallisuuteen turvallisuuden vuoksi. Sen sijaan investointien tavoitteena on turvata liiketoiminnan jatkuvuus, asiakkaiden luottamus, sääntelyn noudattaminen ja yrityksen kyky tuottaa palveluja myös häiriötilanteissa.

Tämän vuoksi turvallisuutta tulisi tarkastella keinona ylläpitää toimintakykyä. Yrityksen menestystä ei määritä se, kuinka monta turvallisuusprosessia sillä on käytössä, vaan kuinka hyvin se kykenee jatkamaan toimintaansa odottamattomien tapahtumien aikana.

Resilienssi yritysturvalllisuuden perustana
Resilienssi voidaan määritellä yrityksen kyvyksi ennakoida häiriöitä, kestää niiden vaikutuksia, sopeutua muuttuviin olosuhteisiin ja palautua nopeasti normaaliin toimintaan. Se yhdistää turvallisuuden, riskienhallinnan, jatkuvuudenhallinnan ja johtamisen yhdeksi kokonaisuudeksi.


Resilienssilähtöisessä toimintakyvyn johtamismallissa keskeinen kysymys ei ole, mitä turvallisuuden osa-alueita yrityksellä on, vaan miten se ylläpitää toimintakykyään. Resilienssilähtöinen toimintakyvyn johtamismalli rakentuu seitsemästä toisiaan tukevasta kokonaisuudesta:

  1. Hallinto ja johtaminen
  2. Riski- ja resilienssijohtaminen
  3. Kontrollit ja suojaaminen
  4. Operatiivinen toiminta
  5. Havaitseminen ja reagointi
  6. Palautuminen ja uudistuminen
  7. Arviointi ja jatkuva kehittäminen

Hallinto ja johtaminen
Hallinto muodostaa resilienssin perustan. Hallituksen ja ylimmän johdon tehtävänä on määrittää tavoitteet, riskinottohalukkuus, vastuut ja valvontamekanismit. NIS2 ja DORA korostavat erityisesti johdon vastuuta turvallisuudesta ja resilienssistä.

Hallinto ja johtaminen varmistavat, että turvallisuus, riskienhallinta ja resilienssi ovat osa yrityksen strategista päätöksentekoa. Johdon tehtävänä on määrittää tavoitteet, hyväksyttävä riskitaso, resurssit sekä seurata toimintakyvyn kehittymistä. Resilienssi syntyy vain silloin, kun se on osa yrityksen johtamisjärjestelmää eikä erillinen tukitoiminto.

Riski- ja resilienssijohtaminen
Riski- ja resilienssijohtaminen muodostaa perustan yrityksen jatkuvuudenhallinnalle, varautumiselle ja kriisinkestävyydelle. Sen avulla yritys rakentaa kyvykkyyden ennakoida muutoksia, hallita epävarmuutta ja ylläpitää toimintakykyään myös vakavissa häiriötilanteissa.

Yrityksen toimintakyky perustuu kykyyn tunnistaa, arvioida ja hallita niitä riskejä ja riippuvuuksia, jotka voivat estää liiketoiminnan tavoitteiden saavuttamisen. Riski- ja resilienssijohtamisen tavoitteena ei ole poistaa kaikkia riskejä, vaan varmistaa, että yritys kykenee toimimaan, sopeutumaan ja palautumaan myös silloin, kun riskejä toteutuu.

Perinteinen riskienhallinta keskittyy usein yksittäisten uhkien tunnistamiseen ja niiden vaikutusten arviointiin. Resilienssilähtöisessä lähestymistavassa tarkastellaan lisäksi yrityksen kykyä kestää häiriöitä ja jatkaa toimintaansa muuttuvissa olosuhteissa. Keskeinen kysymys ei ole ainoastaan se, mitä voi tapahtua, vaan myös se, kuinka hyvin yritys kykenee selviytymään tapahtuman seurauksista.

Riski- ja resilienssijohtamisessa tunnistetaan yrityksen kriittiset palvelut, prosessit, resurssit ja riippuvuudet. Näitä voivat olla esimerkiksi henkilöstö, tietojärjestelmät, data, toimitilat, energia, viestintäyhteydet, toimittajat ja muut yhteistyökumppanit. Mitä paremmin yritys ymmärtää toimintansa riippuvuudet, sitä paremmin se kykenee arvioimaan häiriöiden vaikutuksia ja kohdentamaan suojaavat toimenpiteet oikein.

Toimintaympäristön muutokset, teknologinen kehitys, kyberuhat, toimitusketjujen häiriöt, geopoliittiset jännitteet ja sääntelyn muutokset luovat jatkuvasti uusia riskejä. Tämän vuoksi riski- ja resilienssijohtamisen tulee olla jatkuva prosessi, joka tukee strategista ja operatiivista päätöksentekoa kaikilla tasoilla.

Kontrollit ja suojaaminen
Vaikka kaikkia riskejä ei voida poistaa, niiden toteutumisen todennäköisyyttä voidaan pienentää erilaisilla suojaavilla toimenpiteillä. Kontrollien ja suojaamisen tavoitteena on suojata yrityksen henkilöstöä, tietoja, järjestelmiä, toimitiloja sekä muita liiketoiminnan kannalta kriittisiä resursseja.

Suojaaminen kattaa sekä digitaalisen että fyysisen turvallisuuden. Digitaalisen turvallisuuden näkökulmasta keskeisiä ovat tietoturva, kyberturvallisuus, identiteetin- ja pääsynhallinta sekä tietosuojan toteutuminen. Fyysisen turvallisuuden näkökulmasta korostuvat henkilöstön turvallisuus, toimitilojen suojaaminen ja toimintaympäristön turvallisuus.

Tavoitteena ei ole rakentaa täydellistä suojaa, sillä sellaista ei ole mahdollista saavuttaa. Sen sijaan tavoitteena on luoda tarkoituksenmukainen kontrolliympäristö, joka pienentää riskejä hyväksyttävälle tasolle ja tukee liiketoiminnan tavoitteita.

Operatiivinen toiminta
Yrityksen todellinen toimintakyky rakentuu päivittäisessä operatiivisessa toiminnassa. Liiketoimintaprosessit, teknologia, henkilöstö, data sekä toimittajat muodostavat kokonaisuuden, jonka varassa yritys tuottaa palvelunsa ja luo arvoa asiakkailleen.

Resilienssin näkökulmasta juuri nämä tekijät ovat keskeisiä, sillä niiden häiriintyminen voi aiheuttaa merkittäviä vaikutuksia yrityksen toimintaan. Siksi turvallisuuden ja riskienhallinnan on oltava kiinteä osa operatiivista toimintaa eikä erillinen hallinnollinen kokonaisuus.

Yrityksen on tunnistettava kriittiset prosessinsa, ylläpidettävä niiden toimintakykyä sekä huolehdittava siitä, että henkilöstöllä, teknologialla ja kumppaneilla on riittävät valmiudet liiketoiminnan tavoitteiden saavuttamiseen.

Havaitseminen ja reagointi
Kaikkia häiriöitä ei voida estää. Tämän vuoksi yrityksen on kyettävä havaitsemaan poikkeamat nopeasti ja reagoimaan niihin tehokkaasti.

Havaitseminen perustuu jatkuvaan valvontaan, tilannekuvan ylläpitämiseen ja poikkeamien tunnistamiseen. Reagointi puolestaan sisältää poikkeamien hallinnan, kriisijohtamisen, viestinnän sekä tarvittavat viranomaisilmoitukset.

Nopea reagointi vähentää häiriöiden vaikutuksia, lyhentää palautumisaikaa ja auttaa säilyttämään asiakkaiden, henkilöstön ja muiden sidosryhmien luottamuksen. Samalla se mahdollistaa tilanteen hallinnan ennen kuin yksittäinen poikkeama kehittyy laajemmaksi kriisiksi.

Palautuminen ja uudistuminen
Resilienssin todellinen mittari on yrityksen kyky palautua häiriötilanteista. Toimintakyvyn palauttaminen ei kuitenkaan tarkoita ainoastaan teknisten järjestelmien korjaamista tai palveluiden käynnistämistä uudelleen. Se tarkoittaa myös kykyä oppia tapahtuneesta ja kehittää toimintaa tulevaisuutta varten.

Jatkuvuudenhallinta, palautumissuunnittelu ja kriisien jälkeinen arviointi muodostavat perustan yrityksen toipumiselle. Tavoitteena on palauttaa kriittiset palvelut hyväksyttävässä ajassa ja varmistaa, että häiriön syyt sekä siitä saadut opit hyödynnetään tulevassa kehittämisessä.

Parhaimmillaan yritys ei ainoastaan palaa ennalleen, vaan vahvistaa kyvykkyyksiään jokaisen häiriön jälkeen.

Arviointi ja jatkuva kehittäminen
Resilienssiä ei voida johtaa oletusten perusteella. Yrityksen on kyettävä osoittamaan, että sen turvallisuus- ja resilienssikyvykkyydet toimivat myös käytännössä.

Tämä edellyttää auditointeja, testauksia, harjoituksia, mittareita ja riippumattomia arviointeja. Näiden avulla voidaan tunnistaa vahvuudet, puutteet ja kehitystarpeet sekä varmistaa, että yrityksen toimintamallit vastaavat muuttuvan toimintaympäristön vaatimuksia.

Jatkuva kehittäminen on keskeinen osa resilienssiä. Yrityksen on opittava omista kokemuksistaan, seurattava toimintaympäristön muutoksia ja kehitettävä toimintaansa systemaattisesti.

Miksi osa-alueajattelusta kannattaa luopua?
Perinteiset turvallisuusmallit heijastavat usein turvallisuusorganisaation rakennetta. Ne kertovat, miten turvallisuusyksikkö on järjestäytynyt, mutta eivät välttämättä kuvaa sitä, miten yritys tuottaa arvoa tai kestää häiriöitä.

Resilienssilähtöinen toimintakyvyn johtamismalli puolestaan kuvaa yrityksen toimintaa johdon näkökulmasta. Se yhdistää liiketoiminnan, teknologian, riskienhallinnan ja turvallisuuden yhteiseen kehykseen. Tämän vuoksi se soveltuu paremmin myös nykyisen sääntely-ympäristön vaatimuksiin.

NIS2, DORA, ISO 27001, ISO 22301 ja NIST CSF 2.0 tukevat kaikki ajatusta, jonka mukaan turvallisuus on osa laajempaa toimintakyvyn johtamista. Yrityksen tavoitteena ei ole olla turvallinen, vaan kyvykäs, luotettava ja häiriönsietoinen.

Johtopäätökset
Yritysturvallisuus on siirtynyt uuteen vaiheeseen. Perinteinen turvallisuuslajien ympärille rakennettu malli ei enää yksin riitä kuvaamaan niitä vaatimuksia, joita digitalisoitunut ja säädelty toimintaympäristö yritykselle asettaa.

Resilienssilähtöinen toimintakyvyn johtamismalli tarjoaa laajemman näkökulman. Se yhdistää turvallisuuden, riskienhallinnan, jatkuvuudenhallinnan ja johtamisen yhdeksi kokonaisuudeksi, jonka tavoitteena on yrityksen toimintakyvyn säilyttäminen kaikissa olosuhteissa.

Tulevaisuuden kilpailuetu ei synny siitä, että yrityksellä on parhaat turvallisuuskontrollit. Se syntyy siitä, että yritys kykenee jatkamaan toimintaansa myös silloin, kun muut eivät siihen pysty.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön