Kyberturvallisuuden johtaminen

Kyberturvallisuuden johtaminen vaatii näkemystä, säntillisyyttä ja yhteistyökykyä – kielloilla johtamisen aika meni jo. Keskolla tietoturvan johtaminen perustuu mahdollistamiseen ja kouluttamiseen.

Kahdeksan maata, lähes 2 000 kauppiasvetoista kauppapaikkaa, 24 000 työntekijää sekä iso painoarvo vastuullisuudella. Keskon kyberturvallisuudesta vastaava Timo Vehviläinen on paljon vartija. Digitalisaation myötä teknologia yhdistyy kaikkeen tekemiseen. Myös Kesko on isossa muutoksessa, osana laajempaa yhteiskunnallista kehitystä.

”Mikä oli viisi vuotta sitten de facto ei pädekään enää. Digitalisaatio on kuin hyökyaalto, joka pyyhkäisee vanhojen toimintamallien yli. Tavoittelemme jatkuvasti tasapainoa uusien palvelumallien, uudenlaisen työnteon tapojen ja oikeantasoisen suojautumisen välillä. Valmiita vastauksia ei ole”, Timo kuvaa toimintaympäristön haasteita.

Timo aloitti työnsä Keskon tietoturvapäällikön tehtävässä viime syksynä. Hieman epätyypillinen urapolku on kulkenut lähituesta konsultin työn kautta tietohallintopäälliköksi ja liiketoimintavastuullisiin tehtäviin. Ensikosketus Keskoon tuli asiakastyössä. Tuoreessa pestissään hän pääsee yhdistämään teknisen osaamisen, tietoturvallisuuden ja bisnesnäkökulman.

Liiketoimintamahdollisuudet ylittävät riskit

Monitoimialabisneksessä riittääkin haastetta kunnianhimoiselle tekijälle. Kauppajätin kyberturvallisuuden johtamisessa on huomioitava ensisijaisesti toiminnan jatkuvuus ja asiakastietojen tietosuoja. Myös kaikenlainen kehitystyö on erittäin tärkeää, jotta kuluttajien käyttöön saadaan uusia digitaalisia palveluja nopealla tahdilla. Toimintaympäristön kehitys ja uusiin tarpeisiin vastaaminen aiheuttavat haasteita infrastruktuurille ja kyseenalaistavat vanhoja toimintamalleja. Keskolla hyödynnetään myös paikkariippumattoman työn mahdollisuuksia, ja tämä on huomioitava tietoturvan näkökulmasta.

”Tässä ajassa on katsottava kokonaisturvallisuutta useammasta näkökulmasta. IT-johto on muuttunut kieltäjästä mahdollistajaksi – digitalisaation tarjoama bisnespotentiaali on usein isompi kuin riskit. Voimme tarjota asiakkaillemme uusia palveluja, tehdä työntekijöidemme elämää helpommaksi ja tuoda työhön tehokkuutta. Keskolla olen sallinut enemmän kuin kieltänyt, ja toivon että sama voi jatkua. On osattava tunnistaa tietojen ja prosessien eri arvot ja  siten panostettava oikeisiin asioihin.”

Kyberturvallisuuden puolustustiimi treenaa yhdessä

Keskon kyberturvallisuuden johtamisessa korostuu yhteistyön merkitys. Kumppaneilla on iso rooli arjessa.

”Tämä on ollut yksi isoimmista asioista käytännön tasolla. Työnteon malli on muuttunut, koska kukaan ei pysty hoitamaan kyberturvallisuuden sarkaa yksin. Kyseessä on myös haaste johtamiselle – koko bändin pitää soittaa samaa biisiä samaan tahtiin.”

Kesko testasi vastikään puolustusvalmiuttaan yhteisyössä Elisan ja Tiedon kanssa. Harjoitus järjestettiin Jyväskylän ammattikorkeakoulun edistyksellisessä testiympäristössä.

”Jatkuva testaus on pakollista toimintamallien kehittämiseksi. Käytännön harjoitus on nopea ja tehokas tapa saada näkemys siitä millä tasolla ollaan. Oleellista tässäkin on yhteistyö: kumppanien lisäksi myös liiketoiminnan ja viestinnän täytyy olla harjoittelussa mukana.”

Säntillistä suojautumista ja pitkäjänteistä valistustyötä

Verkossa tapahtuu kaiken aikaa monentasoista häirintää ja liikehdintää. Tihenevään tahtiin tapahtuvissa hyökkäyksissä on yhä useammin tunnistettavissa suunnitelmallisuus.

”Uusia uhkia tulee jatkuvasti ja haittaohjelmien muuntautumiskyky on käsittämätön. Riskinhallinnan osa-alueet ja kontrollit ovat kuitenkin pitkälle samat kuin ennenkin. Suojautuminen on ennen kaikkea säntillistä ja laadukasta tekemistä monella eri tasolla.”

Timon mukaan toinen merkittävä tietoturvallisuuden tasoa edistävä tekijä on ihmisten parempi tietoisuus riskeistä ja toimintatavoista. Pelottelu ei kuitenkaan ole oikea tapa valistaa.

”Pyrimme vaikuttamaan aktiivisesti porukkamme tiedon tasoon ja käyttäytymiseen erilaisten koulutusten ja tietoiskujen avulla. Valveutuneisuutta tarvitaan niin työelämässä kuin kansalaisinakin. Jokaisen on osattava digiajan käyttäytymissäännöt ja toimintatavat.”

Turvamies osallistuu itse kansalaisten valistustyöhön myös työajan ulkopuolella toimimalla koulumaailman mediataitokummina.

Elisa on Keskon tietoliikenne- ja viestintäpalveluiden sekä tietoturvaratkaisujen kumppani.