Sisältöön

Turvallisuustyön johtaminen - SecMeter

Ohita valikko
Ohita valikko

Turvallisuustyön johtaminen

Yritysturvallisuus > Johtaminen
Ohita valikko
Turvallisuustyön johtaminen



SecMeterin näkemyksen mukaan turvallisuus ei ole yrityksen päämäärä, vaan toimintakyvyn mahdollistaja. Yritysturvallisuuden tehtävänä on rakentaa ja ylläpitää yrityksen resilienssiä. Turvallisuus, riskienhallinta, jatkuvuudenhallinta ja vaatimustenmukaisuus ovat keinoja, joiden avulla yritys säilyttää toimintakykynsä, palautuu häiriöistä ja uudistuu muuttuvassa toimintaympäristössä. Tällöin turvallisuuskulttuuri nähdään osana laajempaa resilienssikulttuuria.

Hyvä johtamiskulttuuri ja henkilöstön työhyvinvointi luovat perustan yritysturvallisuudelle. Turvallisuutta ei voi rakentaa ympäristöön, jossa johtaminen on epäoikeudenmukaista tai työilmapiiri on heikko. Avoin vuorovaikutus, luottamus ja oikeudenmukaisuus ovat erusedellytyksiä yritysturvallisuuden onnistuneelle toteuttamiselle.

"Minua teidän ei tarvitse kumartaa eikä pokkuroida, en perusta sellaisesta, mutta kiväärit on pidettävä kunnossa. Koskaan ei tiedä minä hetkenä niitä tarvitaan."

Elokuvavertaus suomalaisesta vähäeleisestä sankaruudesta, jota tarvitaan päivittäin myös työelämän johtamishaasteissa.

Johtaminen on kulttuuri-, tilanne- ja kontekstisidonnaista toimintaa, mutta tarpeettomat tanssiaskeleet on syytä jättää pois.

Lähiesimiehen ensisijaisena tehtävänä on huolehtia alaistensa työnteon edellytyksistä ja työmotivaatiosta.

Turvallisuustyön johtaminen on

  • proaktiivista ei vain reaktiivista.
  • ihmiskeskeistä, ei ainoastaan teknistä.
  • ymmärrettävää ja viestittyä, ei vain kryptistä jargoniaa.
Resilienssilähtöisen toimintakyvyn johtamisen tehtävälista
Strateginen ohjaus ja johtaminen

  1. Määrittele yrityksen toimintakykyvisio ja resilienssitavoitteet.
  2. Tunnista liiketoiminnan strategiset tavoitteet ja niiden edellyttämä toimintakyky.
  3. Määrittele yrityksen riskinottohalukkuus ja toimintakykyvaatimukset.
  4. Varmista johdon sitoutuminen toimintakyvyn johtamiseen.
  5. Hyväksy toimintakyvyn johtamisen politiikat, periaatteet ja tavoitteet.
  6. Integroi toimintakyvyn johtaminen osaksi yrityksen johtamisjärjestelmää.
  7. Varmista resurssit, vastuut ja päätöksentekorakenteet.

Toimintakyvyn analysointi

  1. Tunnista yrityksen kriittiset palvelut, tuotteet ja liiketoimintaprosessit.
  2. Määritä toiminnan kannalta kriittiset resurssit.
  3. Tunnista keskeiset riippuvuudet, kuten henkilöstö, tieto, teknologia, toimitilat ja kumppanit.
  4. Arvioi palveluiden ja prosessien hyväksyttävät keskeytysajat.
  5. Tunnista toimintakyvyn kannalta kriittiset suorituskykytekijät.
  6. Ylläpidä ajantasaista kuvaa yrityksen toimintakyvyn rakenteesta.

Riski- ja resilienssijohtaminen

  1. Tunnista toimintakykyyn vaikuttavat riskit, uhkat ja epävarmuustekijät.
  2. Arvioi vaikutukset kriittisiin palveluihin ja liiketoiminnan tavoitteisiin.
  3. Arvioi yrityksen riippuvuuksiin liittyvät riskit.
  4. Tunnista haavoittuvuudet sekä yksittäiset vikapisteet.
  5. Määritä riskienhallintatoimenpiteet ja hyväksyttävät riskitasot.
  6. Seuraa toimintaympäristön muutoksia ja nousevia uhkia.
  7. Arvioi yrityksen resilienssikyvykkyyksiä säännöllisesti.

Resilienssikyvykkyyksien rakentaminen

  1. Suunnittele ja toteuta toimintakykyä tukevat kontrollit.
  2. Kehitä jatkuvuudenhallinnan menettelyt.
  3. Rakentele varautumis- ja valmiussuunnitelmat.
  4. Kehitä kriisinhallinnan toimintamallit.
  5. Määritä palautumiskyvykkyydet ja palautumistavoitteet.
  6. Varmista kriittisten resurssien suojaaminen.
  7. Huolehdi vaatimustenmukaisuuden toteutumisesta.
  8. Rakentele vaihtoehtoisia toimintamalleja häiriötilanteisiin.

Operatiivisen toimintakyvyn johtaminen

  1. Varmista kriittisten prosessien toimivuus.
  2. Ylläpidä henkilöstön osaamista ja toimintavalmiutta.
  3. Hallitse teknologiaa, tietoa ja infrastruktuuria.
  4. Hallitse toimitusketjuja ja kumppaniverkostoja.
  5. Varmista palveluiden ja tuotteiden jatkuva tuottaminen.
  6. Huolehdi resurssien saatavuudesta ja käytettävyydestä.
  7. Ylläpidä operatiivista suorituskykyä muuttuvissa olosuhteissa.

Tilannekuva, havaitseminen ja reagointi

  1. Seuraa toimintaympäristöä, uhkia ja muutoksia.
  2. Ylläpidä reaaliaikaista tilannekuvaa.
  3. Havaitse poikkeamat, häiriöt ja kriisit mahdollisimman varhaisessa vaiheessa.
  4. Arvioi häiriöiden vaikutukset toimintakykyyn.
  5. Käynnistä reagointi- ja kriisinhallintamenettelyt.
  6. Hallitse poikkeamia ja niiden vaikutuksia.
  7. Toteuta tarvittavat ilmoitukset ja raportoinnit.
  8. Viesti tehokkaasti sisäisille ja ulkoisille sidosryhmille.

Palautuminen ja uudistuminen

  1. Palauta kriittiset palvelut ja prosessit tavoiteajassa.
  2. Varmista toiminnan hallittu normalisointi.
  3. Arvioi häiriöiden syyt ja vaikutukset.
  4. Tunnista opit ja kehityskohteet.
  5. Päivitä toimintamallit, suunnitelmat ja kontrollit.
  6. Vahvista yrityksen kykyä kestää tulevia häiriöitä.
  7. Hyödynnä kokemuksia toiminnan uudistamisessa.

Arviointi ja jatkuva kehittäminen

  1. Määritä toimintakyvyn ja resilienssin mittarit.
  2. Seuraa tavoitteiden toteutumista.
  3. Toteuta auditointeja, arviointeja ja kypsyysmittauksia.
  4. Testaa suunnitelmia ja harjoittele häiriötilanteita.
  5. Arvioi resilienssikyvykkyyksien tehokkuutta.
  6. Raportoi tulokset johdolle.
  7. Käynnistä korjaavat ja kehittävät toimenpiteet.
  8. Päivitä tavoitteita toimintaympäristön muutosten perusteella.

Resilienssikulttuurin kehittäminen (läpileikkaava tehtäväalue)

  1. Johda esimerkillä.
  2. Edistä ennakoivaa toimintatapaa.
  3. Vahvista avoimuutta ja luottamusta.
  4. Kannusta poikkeamien ilmoittamiseen ja oppimiseen.
  5. Kehitä yhteistyötä organisaation sisällä ja sidosryhmien kanssa.
  6. Vahvista muutos- ja sopeutumiskykyä.
  7. Tue jatkuvaa oppimista ja kehittämistä.
  8. Rakentele kulttuuria, jossa toimintakyvyn turvaaminen kuuluu kaikille.
Toimintakyvyn johtaminen
Toimintakyvystä, turvallisuudesta ja riskienhallinnasta puhutaan usein sääntöjen, standardien, kontrollien ja uhkien kautta. Tämä lähestymistapa on kuitenkin riittämätön nykyisessä toimintaympäristössä, jossa yritykset kohtaavat samanaikaisesti teknologisia muutoksia, kyberuhkia, geopoliittisia jännitteitä, toimitusketjujen häiriöitä, osaajapulaa ja kasvavia sidosryhmäodotuksia.

Yrityksen tärkein tavoite ei ole turvallisuus itsessään, vaan kyky saavuttaa liiketoiminnalliset tavoitteensa kaikissa olosuhteissa. Turvallisuus, riskienhallinta, jatkuvuudenhallinta ja vaatimustenmukaisuus ovat keinoja tämän tavoitteen saavuttamiseksi.

SecMeterin näkemyksen mukaan toimintakyvyn johtamisen ensisijainen tehtävä on rakentaa ja ylläpitää yrityksen resilienssiä eli kykyä ennakoida, kestää, sopeutua, palautua ja uudistua muuttuvissa olosuhteissa.

Päätöksenteon lähtökohdat toimintakyvyn johtamisessa
Toimintakykyyn liittyviä päätöksiä ei voida tehdä irrallaan liiketoiminnan tavoitteista. Toimintakyvyn johtaminen on johdon, asiantuntijoiden ja operatiivisten toimintojen yhteistyötä.

Koska liiketoimintavastuu kuuluu liiketoimintajohdolle, myös toimintakykyyn liittyvät strategiset päätökset kuuluvat viime kädessä liiketoimintajohdolle.

Turvallisuuden, riskienhallinnan, jatkuvuudenhallinnan, tietoturvan ja muiden tukitoimintojen tehtävänä on tuottaa tietoa päätöksenteon tueksi.

Strategisissa ja merkittävissä kysymyksissä päätökset tehdään johtoryhmässä, jossa yhdistyvät liiketoiminnan, teknologian, turvallisuuden ja riskienhallinnan näkökulmat.

Sääntö nro 1 Toimintakyky tukee liiketoimintaa
Kaiken toimintakyvyn johtamisen lähtökohtana ovat yrityksen tavoitteet. Toimintakyvyn johtamisen tavoitteena ei ole rakentaa liiketoiminnasta irrallista turvallisuusfunktiota, vaan varmistaa, että yritys kykenee saavuttamaan tavoitteensa myös häiriötilanteissa.

Resilienssi ei ole itseisarvo. Sen tulee tuottaa liiketoiminnallista arvoa, tukea kilpailukykyä ja vahvistaa yrityksen kykyä menestyä muuttuvassa toimintaympäristössä.

Sääntö nro 2 Päätökset tehdään liiketoiminnan intressien perusteella
Resilienssiä rakennetaan yrityksen tavoitteiden, riippuvuuksien, riskien ja mahdollisuuksien perusteella.

Yrityksen kriittiset palvelut, prosessit, resurssit ja sidosryhmät määrittävät sen, mitä on suojattava, mitä on ylläpidettävä ja mihin on investoitava.

Lainsäädäntö, viranomaisvaatimukset ja sopimusvelvoitteet muodostavat toimintakyvyn johtamisen reunaehdot, mutta ne eivät yksin määritä yrityksen resilienssitasoa.

Sääntö nro 3 Standardit ovat työkaluja
Standardit, viitekehykset ja parhaat käytännöt tarjoavat hyödyllisiä toimintamalleja, mutta ne eivät korvaa yrityskohtaista harkintaa.

ISO-standardit, NIS2, DORA, GDPR tai muut sääntelykehykset eivät yksin takaa toimintakykyä. Ne ovat välineitä, joiden avulla yritys voi rakentaa kyvykkyyksiään.

Toimintakyvyn johtamisen tavoitteena ei ole standardien täyttäminen, vaan yrityksen tavoitteiden saavuttamisen varmistaminen.

Resilienssikulttuuri toimintakyvyn perustana
Yrityksen toimintakyky ei perustu pelkästään teknologiaan, prosesseihin tai dokumentoituihin toimintamalleihin. Sen perustana on yrityksen kulttuuri.

SecMeterin näkemyksen mukaan resilienssikulttuuri muodostaa ylimmän kulttuuritason, jonka sisälle sijoittuvat muut toimintakykyä tukevat kulttuurit.

Hierarkia voidaan kuvata seuraavasti:

  • Resilienssikulttuuri
  • Turvallisuuskulttuuri
  • Tietoturvakulttuuri
  • Tietosuojakulttuuri
  • Jatkuvuuskulttuuri
  • Riskienhallintakulttuuri
  • Oppimis- ja kehittämiskulttuuri

Resilienssikulttuuri yhdistää nämä osa-alueet yhteiseksi toimintatavaksi, jonka tavoitteena on yrityksen toimintakyvyn ylläpitäminen ja kehittäminen.

Hyvä resilienssikulttuuri
Hyvässä resilienssikulttuurissa henkilöstö uskaltaa nostaa esiin ongelmia, riskejä, poikkeamia ja kehitysehdotuksia ilman pelkoa negatiivisista seurauksista. Hyvä resilienssikulttuuri näkyy erityisesti silloin, kun yritys kohtaa muutoksia tai häiriöitä.

Yrityksesä tulee voida:

  • keskustella avoimesti
  • kyseenalaistaa toimintatapoja
  • oppia virheistä
  • jakaa tietoa
  • tehdä yhteistyötä
  • kehittää toimintaa jatkuvasti


Resilienssikulttuurin keskeiset tekijät

Johto:

  • osoittaa sitoutumista toimintakyvyn kehittämiseen
  • tekee päätöksiä pitkän aikavälin toimintakyvyn näkökulmasta
  • tukee oppimista ja uudistumista
  • vahvistaa yhteistyötä ja tiedon jakamista

Esihenkilöt:

  • tukevat henkilöstön toimintavalmiuksia
  • vahvistavat turvallisia ja vastuullisia toimintatapoja
  • kannustavat avoimeen keskusteluun

Henkilöstö:

  • osallistuu toimintakyvyn kehittämiseen
  • raportoi poikkeamista ja riskeistä
  • jakaa havaintojaan ja kokemuksiaan
  • kehittää osaamistaan jatkuvasti
  • Tulevaisuuden toimintaympäristö ja epävarmuudet

Resilienssin johtaminen perustuu ymmärrykseen siitä, että kaikkea ei voida ennustaa. Yritykset kohtaavat jatkuvasti uusia teknologisia, yhteiskunnallisia ja taloudellisia muutoksia, joiden vaikutuksia ei voida täysin arvioida etukäteen. Keskeisiä epävarmuustekijöitä ovat esimerkiksi:

  • tekoälyn ja kvanttilaskennan kehitys
  • kyberuhkien muuttuminen
  • geopoliittiset kriisit
  • ilmastonmuutoksen vaikutukset
  • toimitusketjujen häiriöt
  • osaamisen saatavuus
  • teknologian ja ihmisen välinen vuorovaikutus
  • sääntelyn kehittyminen

Resilienssin tavoitteena ei ole poistaa epävarmuutta, vaan rakentaa yritykselle kyky toimia menestyksekkäästi myös silloin, kun tulevaisuutta ei voida ennustaa.

Resilienssin vaikuttavuus
Yksi merkittävimmistä tulevaisuuden kysymyksistä liittyy resilienssin vaikuttavuuden mittaamiseen. Yrityksen on kyettävä arvioimaan, kuinka hyvin sen toimintakyky kestää häiriöitä, kuinka nopeasti se palautuu ja kuinka tehokkaasti se oppii kokemuksistaan.

Tämän vuoksi resilienssin johtaminen edellyttää mittareita, kypsyysarviointeja ja jatkuvaa seurantaa. SecMeter Resilience Index ja SecMeter Capability Matrix tarjoavat viitekehyksen toimintakyvyn, resilienssin ja johtamiskyvykkyyksien arviointiin.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön