Sisältöön

Turvallisuustyön johtaminen - SecMeter

Ohita valikko
Ohita valikko

Turvallisuustyön johtaminen

Yritysturvallisuus > Johtaminen
Turvallisuustyön johtaminen



Hyvä johtamiskulttuuri ja henkilöstön työhyvinvointi luovat perustan yritysturvallisuudelle. Turvallisuutta ei voi rakentaa ympäristöön, jossa johtaminen on epäoikeudenmukaista tai työilmapiiri on heikko. Avoin vuorovaikutus, luottamus ja oikeudenmukaisuus ovat erusedellytyksiä yritysturvallisuuden onnistuneelle toteuttamiselle.

"Minua teidän ei tarvitse kumartaa eikä pokkuroida, en perusta sellaisesta, mutta kiväärit on pidettävä kunnossa. Koskaan ei tiedä minä hetkenä niitä tarvitaan."

Elokuvavertaus suomalaisesta vähäeleisestä sankaruudesta, jota tarvitaan päivittäin myös työelämän johtamishaasteissa.

Johtaminen on kulttuuri-, tilanne- ja kontekstisidonnaista toimintaa, mutta tarpeettomat tanssiaskeleet on syytä jättää pois.

Lähiesimiehen ensisijaisena tehtävänä on huolehtia alaistensa työnteon edellytyksistä ja työmotivaatiosta.

Turvallisuustyön johtaminen on

  • proaktiivista ei vain reaktiivista.
  • ihmiskeskeistä, ei ainoastaan teknistä.
  • ymmärrettävää ja viestittyä, ei vain kryptistä jargoniaa.
Tehtävälista
Turvallisuustyön strateginen suunnittelu

  1. Määrittele yrityksen turvallisuusvisiosta ja -arvoista johdettu kokonaistavoite.
  2. Kytke turvallisuustavoitteet liiketoiminnan tavoitteisiin.
  3. Hyväksytä turvallisuuspolitiikka ja -strategia johtoryhmässä.

Johtamisjärjestelmän rakentaminen ja ylläpito

  1. Luo selkeä vastuunjako ja päätöksentekorakenne turvallisuusasioille.
  2. Nimeä vastuuhenkilöt, esimerkiksi turvallisuuspäällikkö, vastuuhenkilöt yksiköittäin.
  3. Integroi turvallisuus osaksi yrityksen muuta johtamisjärjestelmää.

Riskienhallinta ja arviointi

  1. Toteuta turvallisuuteen liittyvä riskiarviointi, esimerkiksi henkilöstö-, tieto-, toimitila- ja toiminnan riskit.
  2. Arvioi uhkamallit, todennäköisyydet ja vaikutukset.
  3. Määrittele toimenpiteet riskien hallintaan ja hyväksyttävyyteen.

Turvallisuuskulttuurin edistäminen

  1. Johda esimerkillä.
  2. Edistä avoimuutta, luottamusta ja oikeudenmukaisuutta.
  3. Kannusta osallistumiseen ja jatkuvaan parantamiseen.

Koulutus ja osaamisen kehittäminen

  1. Suunnittele vuosittainen turvallisuuskoulutusohjelma.
  2. Varmista, että kaikilla on roolia vastaava turvallisuusosaaminen.
  3. Harjoituta valmiuksia, esimerkiksi evakuointi, tilannekuvajohtaminen, kyberuhkiin reagointi.

Toimintamallit ja ohjeistus

  1. Laadi ja päivitä toimintaohjeet ja turvallisuusmenettelyt.
  2. Varmista, että ohjeet ovat työntekijöiden saatavilla ja ymmärrettäviä.
  3. Yhteensovita toimintamallit muiden keskeisten järjestelmien kanssa, esimerkiksi laatutyö, tietoturva.

Tiedonhallinta ja dokumentointi

  1. Pidä yllä ajantasaista dokumentaatiota, esimerkiksi riskiarviot, tarkastusraportit, tapahtumalokit.
  2. Seuraa poikkeamia ja raportoi järjestelmällisesti.

Seuranta, mittaaminen ja raportointi

  1. Määrittele turvallisuustyön mittarit, esimerkiksi poikkeamien määrä, osallistumisaste, havaintojen käsittelyaika.
  2. Seuraa tavoitteiden toteutumista.
  3. Raportoi turvallisuustilanne säännöllisesti johdolle ja henkilöstölle.

Yhteistyö ja sidosryhmät

  1. Ylläpidä yhteistyötä viranomaisten ja palveluntuottajien kanssa.
  2. Tee turvallisuusyhteistyötä muiden yritysten ja toimialajärjestöjen kanssa.
  3. Tunnista kriittiset kumppanit ja edellytä heiltä turvallisuusvaatimusten täyttämistä.

Jatkuva parantaminen ja auditointi

  1. Toteuta sisäisiä arviointeja ja ulkopuolisia auditointeja.
  2. Hyödynnä turvallisuushavaintoja ja palautetta kehittämistoiminnassa.
  3. Arvioi ja päivitä turvallisuustyön tavoitteita vuosittain.
Asia Tasot
Yritysturvallisuudesta puhutaan usein riskienhallinnan, sääntöjen, standardien ja uhkien kautta. Tämä perinteinen ajattelu on vanhentunutta. Dynaamisessa liiketoiminnassa yritysturvallisuuden tärkein tehtävä ei ole sääntöjen, standardien tai hyvien käytäntöjen täyttäminen, vaan liiketoiminnan tukeminen.

Yritysturvallisuuteen liittyviä keskeisiä päätöksiä ei voida tehdä ulkoa annettuina tai irrallaan liiketoiminnan kontekstista. Koska liiketoimintavastuu on liiketoimintajohdolla, heidän roolinsa on olennainen. Turvallisuusasiantuntijat tai riskienhallintapäälliköt tuottavat asiantuntemusta päätöksenteon tueksi, mutta liiketoimintaa koskevat lopulliset päätökset tekee vastuullinen liiketoimintajohto.

Koska harkitseva liiketoiminnon johtaja ei pysty hallitsemaan yksin kaikkia riskejä, hän toimii yhteistyössä asiantuntijoiden kanssa ja pyytää näkemyksiä sekä kuuntelee asiantuntijoita ennen päätöksentekoa. Strategisissa ja merkittävissä kysymyksissä päätökset tehdään johtoryhmässä, jossa on läsnä liiketoiminnan asiantuntijuus ja turvallisuusosaaminen.

Sääntö nro 1
Yritysturvallisuuden toimeenpanossa tärkeintä on, että turvallisuus tukee liiketoimintaa ja sen tavoitteita. Yrityksen tavoitteiden varmistaminen tulee olla kaiken toiminnan lähtökohta.

Turvallisuustoiminnan tavoitteena ei ole rakentaa liiketoiminnoista irrallista turvallisuusfunktiota, vaan integroida turvallisuus osaksi liiketoimintaa. Yritysturvallisuus ei ole itseisarvo, vaan sen on tuotettava liiketoiminnallista arvoa. Jos näin ei tapahdu, turvallisuudesta tulee resurssien tuhlausta tai liiketoimintaa haittaavaa painolastia.

Sääntö nro2
Yritysturvallisuuden toimeenpano on myös intressipohjaista. Turvallisuuspäätösten tulee priorisoida yrityksen liiketoiminnan intressejä.

Turvallisuuden suunnittelu ja päätöksenteko perustuvat liiketoiminnan tavoitteisiin, riskeihin ja etuihin. Yrityksen intressit määrittävät, mitkä riskit ovat merkityksellisiä, mihin investoidaan ja mitä voidaan sietää.

Intressilähtöisyys ei tarkoita, että lakisääteiset velvoitteet voidaan ohittaa. Ne muodostavat reunaehdot, joiden puitteissa päätöksiä tehdään.

Sääntö nro 3
Standardit ja suositukset ovat yritysturvallisuuden apuvälineitä, eivät palvonnan kohteita.

Ulkoapäin annetut mallit, kuten geneeriset standardit tai konsulttien suositukset, voivat olla hyödyllisiä, mutta ne eivät korvaa yrityskohtaista harkintaa.

Standardit eivät ole päätöksenteon korvikkeita. Ne ovat yleisluontoisia, eivätkä huomioi yrityksen liiketoiminnan tavoitteita.

Standardin täyttäminen ei tarkoita, että turvallisuus tukee liiketoiminnan tavoitteita ja toimenpiteet on priorisoitu oikein.

Yrityksen on kuitenkin täytettävä toimialakohtaiset standardit, jotka ovat lakisääteisiä tai viranomaisten asettamia turvallisuusvaatimuksia.

Yritysturvallisuus kirkastettuna

Perinteinen lähestymistapa

  • Keskittyy sääntöihin, standardeihin ja uhkiin
  • Korostaa hallintoa, vaatimustenmukaisuutta ja kontrollia

Dynaaminen lähestymistapa

  • Yritysturvallisuus on strateginen tuki
  • Turvallisuuden päätehtävä on liiketoiminnan tavoitteiden edistäminen

Päätöksenteon perusta yritysturvallisuudessa

Päätöksiä ei tehdä

  • ulkoa annettuina ratkaisuina
  • liiketoiminnoista irrallaan.

Liiketoimintajohto

  • vastaa liiketoimintatavoitteista ja riskeistä
  • varmistaa, että turvallisuustoimet tukevat liiketoiminnan prioriteetteja
  • tekee lopulliset päätökset turvallisuuteen liittyvistä valinnoista.

Turvallisuusasiantuntijoiden rooli on

  • tukea päätöksentekoa asiantuntemuksella
  • tukea riskien arviointia, suunnitella toimenpiteitä, tuottaa tietoa yrityksen ja liiketoimintojen johdolle.

Päätöksenteko on yhteistyötä

  • Liiketoiminnan johto kuuntelee ja hyödyntää asiantuntijoiden näkemyksiä.
  • Turvallisuusasiantuntijat muokkaavat suosituksensa liiketoimintalähtöisesti.
  • Johtoryhmätasoiset strategiset ja kriittiset päätökset tehdään yhdessä.
  • Mukana on sekä liiketoimintaosaaminen että turvallisuusosaaminen.

Turvallisuuskulttuurin, tietoturvakulttuurin ja tietosuojakulttuurin suhde, merkitys ja tarkoitus
Yrityksen toiminta nojaa yhä vahvemmin tietoon, teknologiaan ja luottamukseen. Digitalisaation, globaalien kyberuhkien ja tiukentuvan sääntelyn myötä turvallisuuteen liittyvien kulttuurien merkitys korostuu entisestään. On tärkeää ymmärtää, miten erilaiset turvallisuuteen liittyvät toimintamallit rakentuvat ja liittyvät toisiinsa. Kolme keskeistä käsitettä tässä kokonaisuudessa ovat turvallisuuskulttuuri, tietoturvakulttuuri ja tietosuojakulttuuri.

Nämä muodostavat hierarkkisen ja toisiaan täydentävän kokonaisuuden: laajin käsite on turvallisuuskulttuuri, sen sisällä tietoturvakulttuuri ja sen ytimessä tietosuojakulttuuri. Turvallisuuskulttuuri on kokonaisvaltainen “turvaverkko”, tietoturvakulttuuri on sen digitaalinen suojakerros ja tietosuojakulttuuri on tämän suojakerroksen erityinen osa, joka keskittyy henkilötietojen turvaamiseen.

Turvallisuuskulttuuri
Turvallisuuskulttuuri tarkoittaa yrityksen kokonaisvaltaista suhtautumista turvallisuuteen. Se kattaa niin fyysisen turvallisuuden, työturvallisuuden kuin henkisen turvallisuuden ja riskienhallinnan. Se ilmenee työntekijöiden arvoissa, asenteissa ja toimintatavoissa, jotka vaikuttavat siihen, kuinka turvallisesti yrityksessä toimitaan.

  • Merkitys: muodostaa perustan kaikelle muulle turvallisuustyölle.
  • Tarkoitus: vähentää vaaratilanteita, ehkäistä tapaturmia ja turvata liiketoiminnan jatkuvuus.

Tietoturvakulttuuri
Tietoturvakulttuuri on turvallisuuskulttuurin osa-alue, joka keskittyy tietoihin, tietojärjestelmiin ja digitaalisiin uhkiin. Se rakentuu henkilöstön asenteista, tiedoista ja käytännön toiminnasta suhteessa tietoturvaan, esimerkiksi kuinka salasanoja hallitaan, kuinka sähköposteihin suhtaudutaan, miten järjestelmiä käytetään ja miten poikkeamista raportoidaan.

  • Merkitys: suojaa yrityksen kriittisiä tietoja ja varmistaa, että luottamuksellisuus, eheys ja saatavuus säilyvät.
  • Tarkoitus: ehkäistä kyberuhkia, väärinkäytöksiä ja liiketoiminnan keskeytyksiä.

Tietosuojakulttuuri
Tietosuojakulttuuri voidaan nähdä tietoturvakulttuurin sisällä olevana erityisenä osa-alueena, joka keskittyy henkilötietojen suojaamiseen. Se liittyy sekä lainsäädännön, kuten GDPR:n, noudattamiseen että eettiseen vastuuseen henkilötietojen käsittelyssä.

  • Merkitys: turvaa yksilön oikeuksia ja vahvistaa yrityksen mainetta luotettavana toimijana.
  • Tarkoitus: suojata henkilötietoja, varmistaa lainmukaisuus ja lisätä asiakkaiden, kumppaneiden ja työntekijöiden luottamusta.

Yhteys ja kokonaisuus
Turvallisuuskulttuuri, tietoturvakulttuuri ja tietosuojakulttuuri liittyvät toisiinsa sisäkkäisinä kerroksina, mutta myös jatkuvana vuorovaikutuksena. Turvallisuuskulttuuri luo perustan kaikelle, tietoturvakulttuuri vahvistaa digitaalista resilienssiä ja tietosuojakulttuuri tuo siihen ihmisten oikeuksiin liittyvän näkökulman. Kaikkien kolmen kulttuurin yhteinen merkitys ja tarkoitus liittyvät riskien hallintaan, toiminnan jatkuvuuteen ja luottamuksen rakentamiseen.

Yksinkertaistettuna:

  • Ilman turvallisuuskulttuuria ei ole toimivaa tietoturvakulttuuria.
  • Ilman tietoturvakulttuuria ei ole luotettavaa tietosuojakulttuuria.

Hyvä turvallisuuskulttuuri
Hyvään turvallisuuskulttuuriin kuuluu, että henkilöstö uskaltaa nostaa turvallisuuskysymykset ja huolenaiheet avoimesti käsittelyyn, eikä heitä siitä leimata tai rangaista.

Asioista on uskallettava puhua, olla eri mieltä ja kyseenalaistaa turvattomia toimintatapoja. Työn menettäminen sen johdosta, että nostaa turvallisuusasioita esille on huonoa turvallisuuskulttuuria.

Johto on vastuussa alaistensa motivaatiosta ja myös turvallisuuskulttuurista. Alla on lueteltu eräitä keskeisiä turvallisuuskulttuurin tekijöitä:

  • Johtajat osoittavat päätöksissään ja toimenpiteissään näkyvää tukea turvallisuuskulttuurin muodostamiseksi.
  • Palvelutuotantoon ja laatuun liittyvät päätökset tukevat myös turvallisuuskulttuuria.
  • Lähiesimiehet tukevat ja vahvistavat omilla toimenpiteillään turvallisuuskulttuuria ja asenteita.
  • Päälliköt ja lähiesimiehet seuraavat työntekijöiden turvallisuuteen vaikuttavaa käyttäytymistä.
  • Uhkaa aiheuttavat tekijät poistetaan mahdollisimman nopeasti.
  • Työnjohtajat rohkaisevat turvallisuuteen pyrkiviä työntekijöitään.
  • Työntekijöillä on mahdollisuus osallistua turvallisuustoiminnan kehittämiseen.
  • Työntekijät ilmoittavat turvallisuutta uhkaavista piilevistä tai näkyvistä ongelmista.

Alla on lueteltu eräitä keskeisiä turvallisuuskulttuurin ylläpitoon liittyviä motivointitekijöitä:

  • Johto kannustaa turvallisiin toimintatapoihin.
  • Johto antaa tunnustusta turvallisuutta edistävästä toiminnasta.
  • Johto miettii keinoja positiivisen palautteen antamiseksi niille ryhmille ja työntekijöille, joiden toiminta edistää turvallisuutta ja turvallisuuskulttuurin kehittymistä.
  • Johto vahvistaa työnjohdon edellytyksiä turvallisen toiminnan aikaansaamiseksi.
  • Lähiesimiehet ovat saaneet kannustamiseen ja turvallisuuden vahvistamiseen liittyvää koulutusta.
  • Lähiesimiehet kannustavat ja antavat tunnustusta turvallisuutta edistävästä toiminnasta.
  • Johto seuraa turvallisuuteen vaikuttavaa toimintaa ja käyttäytymistä.

Alla on lueteltu eräitä keskeisiä huonoon turvallisuuskulttuurin johtavia tekijöitä:

  • aikataulut asetetaan turvallisuuden edelle
  • turvallisuusasioita sivuutetaan
  • työntekijöitä painostetaan, syrjäytetään tai savustetaan
  • henkilöstöjohtaminen on huonoa.

Ihmisillä on taipumus uskoa niitä, jotka näkevät sen, mitä kukaan ei voi vielä nähdä
On tärkeätä tiedostaa, miten yritysturvallisuutta johdetaan ja mikä on yritysturvallisuuden rooli ja merkitys yritystoiminnassa, mutta yhtä tärkeätä on tiedostaa mitä emme vielä tiedä yritysturvallisuudesta.

Ymmärrämme, että yritysturvallisuus on kriittinen osa yritysten johtamista ja operatiivista toimintaa. Vaikka turvallisuus on jo pitkälle kehitettyä ja monin tavoin ennakoivaa, on kuitenkin olemassa useita vaikuttimia, joita emme vielä täysin ymmärrä.

Yritysturvallisuuteen liittyy edelleen monia avoimia kysymyksiä ja epävarmuustekijöitä. Nämä tuntemattomat kehityssuunnat eivät heikennä yritysturvallisuuden vaikuttavuutta, vaan osoittavat jatkuvan kehittämisen, ennakoinnin ja avoimen keskustelun tarvetta. Emme voi varmasti tietää, millaisia riskejä nousee teknologian kehityksen tai yhteiskunnallisten muutosten seurauksena.

Ensimmäinen keskeinen epävarmuustekijä liittyy kehittyvään tekoälyyn ja tulevaisuudessa käyttöön otettavaan kvanttilaskentaan. Ne voivat mullistaa kyberuhat tavalla, jota emme vielä täysin osaa ennustaa.

Toinen keskeinen epävarmuustekijä liittyy ilmastonmuutokseen ja geopoliittisiin kriiseihin. Näiden vaikutukset yritysturvallisuuteen ovat monilta osin epäselviä, vaikka niihin varaudutaan yhä enemmän.

Kolmas keskeinen epävarmuustekijä liittyy teknologian ja inhimillisten tekijöiden yhteisvaikutuksiin. Toistaiseksi ei ole löydetty tapaa, jolla pystyisimme arvioimaan paremmin teknologian ja yksilön vuorovaikutusta. Yrityksellä voi olla huipputason järjestelmät, mutta yksittäisen työntekijän virhe voi silti johtaa vakavaan turvallisuuspoikkeamaan.

Useat tutkimukset osoittavat, että suurin osa tietoturvaloukkauksista johtuu inhimillisistä virheistä, ei teknisistä puutteista. Esimerkiksi IBM:n vuoden 2023 "Cost of a Data Breach" -raportin mukaan noin 74 % tietovuodoista liittyy ihmisen toimintaan, kuten virheisiin, huolimattomuuteen tai sosiaalisen manipuloinnin hyökkäyksiin.

Neljäs keskeinen epävarmuustekijä liittyy siihen, mitkä ovat yrityksen mahdollisuudet suojata operatiivista toimintaa kiristyvän kilpailun ja niukkenevien resurssien olosuhteissa. Turvatekniikat kehittyvät jatkuvasti, mutta niin myös hyökkäystavat. Pystyykö yritysturvallisuus tulevaisuudessa vastaamaan uusiin uhkiin riittävän kustannustehokkaasti.

Kysymys on tasapainosta, mihin asetetaan yhteiskunnan odotusten ja yrityksen turvallisuusintressien raja. Kun turvallisuutta tehostetaan, saatetaan samalla heikentää kansalaisten perusoikeuksia ja työntekijöiden luottamusta sekä hyvinvointia.

Viides keskeinen epävarmuustekijä liittyy siihen, mitä toistaiseksi tuntemattomia juridisia riskejä teknologian ja ihmisten välinen yhteistyö tuo mukanaan. Prosessien automatisointi, tekoäly ja robotiikka ottavat yhä suurempaa roolia yritysturvallisuudessa. Mitä tapahtuu, jos koneet tekevät virheitä tai ymmärtävät tilanteet väärin. Kuka kantaa vastuun, jos tekoälypohjainen valvontajärjestelmä tekee kohtalokkaan päätöksen. Näihin tilanteisiin ei toistaiseksi ole selkeitä juridisia vastauksia.

Kuudes keskeinen epävarmuustekijä liittyy siihen, että emme vielä täysin ymmärrä yritysturvallisuuden sosiaalisia ja psykologisia vaikutuksia. Liiallinen valvonta tai epäluottamuksen ilmapiiri voivat heikentää työhyvinvointia ja työntekijöiden sitoutumista. Vastaavasti, liian löyhä turvallisuus voi saada työntekijät kokemaan turvattomuutta. Toistaiseksi emme tiedä miten luodaan tasapainoinen ja riittävän turvallinen, mutta samalla avoin ja luottamuksellinen työympäristö.

Seitsemäs keskeinen epävarmuustekijä liittyy siihen, miten mitataan yritysturvallisuuden taloudellista vaikuttavuutta luotettavasti. Nykyisin käytössä olevat menetelmät ovat herkkiä manipuloinnille. Ne perustuvat liiaksi subjektiivisiin oletuksiin, jotka eivät kestä kriittistä arviointia.

On selvää, että turvallisuus on investointi, mutta missä kulkee raja, jonka jälkeen turvallisuusjärjestelmät tuottavat vähemmän lisäarvoa kuin niiden ylläpito maksaa. Tämä kysymys on erityisen tärkeä pienille ja keskisuurille yrityksille, joilla ei ole suuryritysten resursseja, mutta silti samankaltaisia riskejä.

Turvallisuusratkaisujen skaalautuvuus on vielä monilta osin tutkimatta. Miten voidaan varmistaa, että myös startupit ja mikroyritykset saavat käyttöönsä järkevän tason yritysturvallisuutta ilman kohtuuttomia kustannuksia. Turvallisuusmallit on rakennettu isojen yritysten tarpeisiin, jolloin pienemmät toimijat jäävät vaille tukea tai toimivia ratkaisuja.
Ohita valikko
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön