Miksi tietoturva tarvitsee johtamista?

Ensisilmäyksellä

Tietoturva ei ole enää kokoelma yksittäisiä teknisiä ratkaisuja, vaan jatkuvaa johtamista. Kun IT on liiketoiminnan kannalta kriittistä, yrityksen pitää tietää, mitä suojataan, mitkä riskit ovat tärkeimpiä ja miten tietoturvaa kehitetään arjessa.

---

Paljon on vettä virrannut Kymessä ja mutaa valunut Vantaanjoessa siitä, kun yrityksen perustietoturvaksi riitti palomuuri verkon reunalla ja virustorjunta työasemissa.

Kymmenen vuotta sitten tekninen tietoturva otti muutamia kriittisiä askelia, kun sähköpostin suodatus ja edistyneempi haittaohjelmatorjunta tulivat pysyvästi osaksi perustason suojausta.

Viisi vuotta sitten laitteiden ja verkon lisäksi merkittävän loikan otti identiteetin suojaus ja monivaiheinen tunnistautuminen.

Kolme vuotta sitten näitä oli jo pakko täydentää ehdollisella pääsynhallinnalla: enää ei voitu ajatella, että kerran sisään päässyt käyttäjä saa käyttää resursseja vapaasti.

Viime aikoina mukaan on tullut tarve hallita entistä tarkemmin myös sitä, mitä tietoa liikkuu ja mihin sitä käytetään – ei vähiten tekoälyn takia.

Samaan aikaan IT rooli lähes minkä tahansa yrityksen toiminnassa on muuttunut tukevasta kriittiseksi. Aiemmin asioita tehtiin tehokkaammin ATK:lla. Nyt niitä ei tehdä ollenkaan ilman ATK:ta.

Tuo pieni ero on iso. Jos IT ei toimi, monen yrityksen liiketoiminta ei enää vain hidastu, vaan käytännössä pysähtyy.

Hallittavaa on enemmän kuin ennen

Tietoturvamielessä hallittavia asioita on jatkuvasti enemmän.

Parikymmentä vuotta sitten maailma oli yksinkertaisempi. Nyt jo pelkästään NIS2 nostaa esiin riskienhallinnan, toimitusketjujen hallinnan, jatkuvuuden hallinnan, haavoittuvuuksien hallinnan, henkilöstön kouluttamisen, häiriöiden hallinnan ja tietoturvan hallintajärjestelmän, johon yrityksen johto on sitoutunut.

Haavoittuvuuksien hallinta on hyvä esimerkki muutoksen nopeudesta.

Aiemmin haavoittuvuuksia hyödynnettiin usein lähinnä kohdennetuissa hyökkäyksissä. Keskikokoisessa suomalaisessa yrityksessä riitti pitkään, että laitteet päivitettiin “säännöllisesti”. Nyt automaattinen haavoittuvuuksien hyväksikäyttö voi tapahtua tunneissa julkaisusta.

Jos verkon reunalla oleva laite on haavoittuva ja näkyvissä internetiin, se voidaan murtaa automatiikan toimesta ennen kuin kukaan ehtii käsin paikkaamaan sitä.

Tässä kohtaa yleensä alkaa hahmottua, miksi tietoturva ei voi olla vain kokoelma yksittäisiä teknisiä ratkaisuja.

Tietoturvaa pitää johtaa

Tarve tietoturvan johtamiselle on syntynyt siitä, että hallittavia kohteita on paljon ja muutokset tapahtuvat nopeasti.

Kun resursseja ei ole rajattomasti, tietoturvan kehittäminen on väistämättä myös priorisointia. Mitä tehdään nyt? Mitä tehdään myöhemmin? Mikä pitää korjata heti? Minkä kanssa voidaan elää hetki, kunhan riski tiedostetaan?

Näitä päätöksiä ei voi tehdä pelkkien eurojen perusteella. Halvin asia ei aina pienennä suurinta riskiä. Kallein asia ei aina ole tärkein.

Tietoturvan eri palikoiden pitäisi muodostaa yritykselle iso kuva. Ja sen ison kuvan pitäisi tukea liiketoimintaa: mitä yrityksen pitää pystyä tekemään, mitä sen pitää suojata ja mistä se ei saa pysähtyä.

Se vaatii johtamista.

Miten tietoturvaa kannattaa lähteä kehittämään?

Kaikkein tärkeintä on tunnistaa yrityksen kruununjalokivet.

Mitä pitää pystyä suojaamaan kaikissa tilanteissa? Onko se tuotannonohjaus, asiakasdata, taloushallinto, sähköposti, tietty järjestelmä, tietty tieto vai jokin prosessi, jota ilman liiketoiminta pysähtyy?

Kun kriittiset asiat on tunnistettu, seuraava vaihe on nykytilan selvittäminen. Missä tällä hetkellä ollaan? Mitä on jo tehty hyvin? Missä on selviä puutteita? Miten nykytila vertautuu hyviin käytäntöihin?

Sen jälkeen kannattaa tunnistaa riskit, joihin yritys voi törmätä. Vasta kun tiedetään, mitä suojataan, mikä nykytila on ja millaisia riskejä vastaan suojaudutaan, voidaan rakentaa järkevä tiekartta.

Roomaa tai Espoon ratikkaa ei rakennettu päivässä. Myöskään tietoturva ei tule kerralla valmiiksi.

Siksi tiekartan pitää kertoa myös prioriteetit: mitä on pakko tehdä heti ja mitä tehdään hallitusti myöhemmin.

Samalla kannattaa suunnitella kehittämisen jatkuvuus eli tietoturvan hallintamalli. Tätä ei tehdä valmiiksi kymmeneksi vuodeksi. Nyt rakennetaan perusta sille, että tietoturvaa kehitetään jatkuvasti ja että kehittäminen pystyy reagoimaan tietoturvakentän ja liiketoiminnan muutoksiin.

Sitä on moderni, johdettu tietoturva.

Kolme asiaa, joihin yrityksen kannattaa kiinnittää huomiota 2026

1. Tekoäly

Vaikka tekoälyä hypetetään jatkuvasti niin, että välillä tekisi mieli puhua mieluummin vaikka lappilaisista perunoista, sitä ei voi ohittaa.

Tekoäly vaikuttaa yritysten tietoturvaan vähintään kolmella tavalla.

Ensinnäkin käyttäjät käyttävät yhä enemmän erilaisia tekoälytyökaluja. Siksi niiden pitää olla hallittuja ja turvallisesti saatavilla. Käyttöä pitää pystyä ohjaamaan järkevästi hyväksyttyihin työkaluihin, jotta minimoidaan tietojen vuotamisen riski.

Toiseksi erilaiset tekoälyagentit tekevät asioita nopeammin kuin käyttäjät. Ne pystyvät itsenäiseen työhön – ja myös itsenäiseen typeryyteen. Koskaan data ei ole vuotanut yhtä nopeasti kuin hyvä ja tehokas agentti pystyy sitä siirtämään, jos se saa virheellisiä komentoja vaikka viattomalta näyttävässä sähköpostissa.

Kolmanneksi tekoäly tuo uusia uhkia myös hyökkääjien käyttöön. Aidon näköiset huijaukset, automaattisempi haavoittuvuuksien hyväksikäyttö ja uskottavammin rakennetut hyökkäykset ovat kaikki osa tätä kenttää.

Eli kyllä, tekoälystä pitää puhua. Mieluiten käytännön kautta.

2. Jatkuvuuden varmistaminen

Monimutkaisessa maailmassa kysymys ei ole enää vain siitä, tapahtuuko jotain. Parempi kysymys on, mitä tehdään kun jotain tapahtuu.

Jatkuvuuden varmistaminen ei tarkoita pelkkiä varmistuksia, vaikka ne ovatkin olennainen osa kokonaisuutta. Se tarkoittaa myös kriittisten prosessien tunnistamista, vaihtoehtoisten toimintatapojen suunnittelua ja palautumisen testaamista.

Jos toimintaa ei ole testattu, kukaan ei oikeasti tiedä, miten nopeasti ongelmista toivutaan.

Paperilla kaikki palautuu aina hienosti. Käytännössä palautuminen riippuu siitä, onko varmistukset tehty oikein, löytyykö oikea palautuspiste, tiedetäänkö mitä palautetaan ensin ja onko ihmisillä selkeä käsitys omista vastuistaan.

Jatkuvuus ei siis ole vain tekninen asia. Se on myös toimintamalli.

3. Jatkuva kehittäminen

Pienenkin yrityksen pitää päästä tilanteeseen, jossa käytäntöjä, dokumentteja ja toimintamalleja katselmoidaan säännöllisesti.

Muuten dokumentaation ja todellisuuden väliin alkaa kasvaa rako. Ensin se on pieni. Sitten se on ärsyttävä. Lopulta se on niin suuri, että dokumentaatiosta ei ole enää hyötyä silloin, kun sitä oikeasti tarvittaisiin.

Tietoturvan kehittäminen ei ole vuosittainen harjoitus, jossa päivitetään muutama ohje ja todetaan, että valmista tuli. Ympäristö muuttuu, käyttäjät muuttuvat, palvelut muuttuvat, uhat muuttuvat ja liiketoiminta muuttuu.

Jos tietoturvan hallintamalli ei muutu mukana, se vanhenee.

Bonus: tietoturvakulttuuri

Tietoturvakulttuuri näkyy siinä, miten ihmiset toimivat silloin, kun kukaan ei ole katsomassa.

Mitä käyttäjä tekee, kun hän saa epäilyttävän kirjautumispyynnön? Ilmoittaako hän siitä vai ohittaako asian? Kysyykö hän neuvoa vai yrittääkö ratkaista tilanteen yksin? Uskaltaako työntekijä kertoa virheestä nopeasti vai pelkääkö joutuvansa syylliseksi?

Tietoturvakulttuuri näkyy myös siinä, mitä yrityksessä tapahtuu auditointien välissä.

Jos tietoturva on kunnossa vain silloin, kun sitä mitataan, se ei ole vielä kovin vahvalla pohjalla. Hyvä tietoturvakulttuuri tarkoittaa, että turvallinen toimintatapa on osa arkea – ei erillinen esitys tarkastusta varten.

Summasummarum – tietoturvaa ei tarvitse mystifioida

Se pitää vain ottaa riittävän vakavasti, riittävän käytännöllisesti ja riittävän jatkuvasti.

Ja ennen kaikkea: sitä pitää johtaa.

---