Rakenna luottamusta hoitamalla tietoturva mallikkaasti

Aino-Mari Kiianmies, hallituksen jäsen
Pohjois-Suomen Hallituspartnerit ry

Vastuullisesti toimiva hallitus varmistaa, että organisaatio on varautunut kriiseihin ja että riskien toteutuessa johdolla on tarvittavat resurssit, osaaminen ja kyky toimia.

Rakenna luottamusta hoitamalla tietoturva mallikkaasti – kolme asiaa, jotka jokaisen hallitusjäsenen tulisi tiedostaa.

Hallitusjäsenen tulee ymmärtää riskit, jotka vaarantavat liiketoiminnan tavoitteita ja jatkuvuutta. Tiedolla luodaan arvoa – ja siitä on myös vastuu. Tietoturva on riskienhallintaa: varautumista katastrofiin, jota ei toivottavasti koskaan tapahdu. Hyvä tiedon hallinta on erinomainen tapa luoda luottamusta niin asiakkaisiin, omistajiin kuin muihin sidosryhmiin.

Hallituksen tehtävänä on varmistaa ja valvoa, että organisaation riskienhallinta on toteutettu asianmukaisesti. Hallituksen on huolehdittava, että tietoturva on huomioitu tarkoituksenmukaisella tavalla organisaation strategiassa ja riskienhallinnassa sekä näihin liittyvässä raportoinnissa ja tarkastustoiminnassa.

Alle on listattu kolme tietoturvaan liittyvää kohtaa, jotka jokaisen hallitusjäsenen tulisi tiedostaa:

1) Mitä tietoa käsittelemme ja säilytämme

On hyvä hahmottaa, minkä tasoista tietoa organisaatiossa on, julkisesta tiedosta organisaation sisäiseen ja edelleen salattuun tietoon. Mitä tietoturvavaatimuksia tähän tietoon liittyy niin toimialan regulaation kuin asiakkaiden tarpeiden ja odotusten kautta?

Tietoa on suojattava sekä levossa että liikkeessä. Tiedon luottamuksellisuus, eheys ja saatavuus on turvattava riippumatta siitä, onko tieto sähköisessä muodossa vai ei. Tunnistus, pääsynhallinta ja auditoitavuus on myös hoidettava asianmukaisesti.

2) Mikä on toiminnallemme sopiva tietoturvan taso

Ymmärtämällä toimintaan liittyvä tietoturvariski voidaan haarukoida sopivaa tietoturvan tasoa: kuinka kriittistä tietoa käsitellään ja kuinka laajaa tai merkittävää toiminta on.

Ei ole tarkoituksenmukaista keskittää tietoturvaan liikaa resursseja, mikäli toiminta on pientä ja tieto yhteiskunnallisesti tai yksityishenkilöiden yksityisyydensuojan kannalta suhteellisen merkityksetöntä. Sen sijaan esimerkiksi terveydentilaan liittyvien tietojen tietoturvavaatimusten täyttäminen on keskeistä jopa koko liiketoiminnan jatkuvuuden kannalta. Toimintaympäristön alati muuttuessa on hyvä pysyä ajan hermolla ja tarkastella toimintaa tietoturvan näkökulmasta säännöllisesti.

3) Kuinka varaudumme ja reagoimme riskien realisoituessa

Organisaatiolla on hyvä olla varautumissuunnitelma, kuinka poikkeamiin reagoidaan. Mikä on pahin mahdollinen skenaario – ja mikä on toimintasuunnitelma tällaisten kriisien hoitamiseen, johtamiseen ja viestintään?

Vastuullisesti toimiva hallitus varmistaa, että organisaatio on varautunut kriiseihin ja että riskien toteutuessa johdolla on tarvittavat resurssit, osaaminen ja kyky toimia.

 

KTM, OTM, YTM, HHJ PJ Aino-Mari Kiianmies (ainomari.com) on johtamisen tutkija ja kehittäjä ja Pohjois-Suomen Hallituspartnerit ry:n hallituksen jäsen. Hänen asiakkaisiinsa lukeutuu Suomen suurimpia yrityksiä, pörssiyritysten johtajia, ministeriöitä ja startuppeja. Kiianmiehellä on hallituskokemusta niin tietoturvayhtiö SSH Communications Security Oyj:sta kuin mm. Naisjuristit ry:stä, European Women Lawyers Associationista, Future Boardista ja Maanpuolustusnaisista. Hän toimii myös Suomen Lakimiesliiton tulevaisuusvaliokunnan, Suomen Strategisen Johtamisen Seuran skenaariotyöryhmän sekä Suomen Ekonomien yrittäjyystyöryhmän jäsenenä.