Kannattaako turvallisuudesta säästää – tietoturvaorganisaatiolle potkut?

Viime päivinä eri medioissa on kerrottu, kuinka organisaatio on päättänyt joko siirtää tietoturvallisuustehtävät IT:n hoidettavaksi tai lakkauttaa koko turvallisuusorganisaation kokonaan.

Ensimmäinen reaktio on tietysti tyrmistys, ja järkytys – no, niinhän nykyaikana on tietysti tapana – mutta pulssin tasaannuttua seuraavaksi tulee mieleen, että tapahtumien taustalla on ainakin kaksi mahdollista skenaariota: joko kyseiset toiminnot on nähty organisaation kannalta tarpeettomina tai ainakin vähäarvoisina aiheuttamiinsa kustannuksiin verrattuna, tai sitten organisaatio on löytänyt mielestään paremman tavan ratkaista ongelma. Olisi tietysti mukava ajatella, että kyse on jälkimmäisestä.

Se, missä turvallisuuden eri toiminnot tehdään, ja missä niitä johdetaan, on ikiaikainen kysymys. Osa organisaatioista näkee, että turvallisuus toteutuu parhaiten erillisessä turvallisuusorganisaatiossa, jossa on käytössä riittävä turvallisuusalan asiantuntemus ja joka on riittävän erillään linjaorganisaatiosta, jotta se voi toteuttaa tehokkaasti myös riippumattoman sisäisen valvonnan tehtäviä.

Toiset taas puoltavat mallia, jossa turvallisuus on kaikkeen tekemiseen sisään kudottu toiminta, eikä sitä pysty tehokkaasti tekemään, mikäli on liian kaukana esim. tuotannosta ja ICT-projekteista. Esimerkiksi tietoturvallisuus kuuluu tietohallintojohtajalle ja työsuojelu kunkin tehtaan työsuojelujohtajalle, ja niin edelleen.

Joissakin on käytössä hybridimalli, jossa tekeminen on osa ICT:tä ja tuotantoa, ja turvallisuusjohto toimii esikuntaorganisaatiossa toisaalta tukemassa yritysjohtoa päätöksissä, joissa tarvitaan turvallisuusosaamista, ja toisaalta koordinoimassa liiketoimintayksiköissä tapahtuvaa käytännön tietoturvatyötä.

En usko, että mikään malleista on sellaisenaan automaattisesti toista parempi, vaan paras malli on se, jonka yritys saa käytössä olevilla keinoillaan toimimaan. Jos turvallisuusihmiset eivät puhu IT-ihmisten kanssa päivittäin ja kohtuullisilla äänenvoimakkuustasoilla, millään organisaatiomalleilla asia ei toimi.

Yksi huolestuttava piirre näissä esiin tulleissa tapauksissa kuitenkin on: kun tehtäviä siirrellään noin vain organisaatiossa toisten henkilöiden hoidettavaksi, käy mielessä, että onko vastaanottavalla taholla riittävästi vapaata resurssia ja riittävä ammattitaito hoitaa asia sen edellyttämällä tasolla. En ole nimittäin hetkeen tavannut tietohallintopäällikköä, jolla ei olisi ainakin jonkinlainen kiire. Turvallisuusosaaminenkin on vaihtelevaa. Karrikoiden voisi sanoa, että vastaavasti kunnalle tulisi varmaankin halvemmaksi siirtää sekä lehmien että ihmisten hoito samoille lääkäreille, niin ei tarvitse turhaa tuplahenkilöstöä; molemmissa ammateissahan on ihan yhtä pitkä koulutuskin. Voi olla, että sekä eläinlääkärit että terveyskeskuslääkärit pitäisivät tehtäviensä yhdistämistä ”haastavana”. Myös se hieman arveluttaa, että turvallisuusasiat nähdään melko usein yksioikoisesti lähestulkoon pelkästään IT-ongelmana, vaikka turvallisuutta on syytä tarkastella kokonaisuutena.

Stereotypioissa turvallisuusväki nähdään lähinnä ihmisinä, joka sanoo kaikkeen ei tai tekee muuten helpoista asioista hankalia. Tällöin tietysti liiketoiminnalle voi tulla suuri houkutus tilaisuuden tullen järjestäytyä eroon siitä hankalasta kaverista, joka on ollut projektien sujuvien läpivientien esteenä. Kukaan ei tietysti tarvitse työmaalle viisastelijaa, joka tulee sanomaan projektin ollessa jo lähes valmis, että ei tuota noin olisi saanut tehdä, ja ei ainakaan tuohon paikkaan. Tässä on turvallisuusorganisaation suurin haaste: miten tuottaa selkeää lisäarvoa ja saada arvo näkymään niin, että heittopussiksi joutuminen ei ole edessä.

Riippumatta valittavasta mallista, turvallisuuden edistäminen vaatii määrätietoista työtä ja riittäviä resursseja yhdistettynä tehokkaaseen yhdessä tekemisen kulttuuriin. Jokainen työntekijä on osa turvallisuusongelmaa tai -ratkaisua riippuen siitä, millaiset työvälineet, keinot ja taidot työntekijälle on annettu oman tonttinsa hoitamiseen.