TCenter
Uutinen

Muuttuuko TIETO toiminnaksi?

Olipa harjoiteltava substanssi mitä tahansa, varsinaisen kehittymisen isoin haaste on se, mitä tapahtuu valmennusjakson jälkeen. Hyvin suunnitellusta harjoittelusta on helppo innostua ja tunnistaa kehitysmahdollisuuksia, mutta muutos vaatii aktiivista tekemistä. On luotava uusia rutiineja sekä innostettava niin itsensä kuin muutkin yhä uudelleen mukaan.

Digipoolin harjoitustoiminnan tavoitteena on vaikuttavuus. Tarjoamme suomalaisille yrityksille tietoa digitaalisesta turvallisuudesta, jotta voisimme yhdessä tehdä yhteiskuntamme iskunkestävyyttä parantavia arkisia muutoksia. Niinpä pirautimme TIETO20-harjoitukseen osallistuneille organisaatioille ja kysyimme heidän kuulumisiaan.

 

“Ajattelin aluksi, että eihän tässä ole mitään hätää, ja sitten olikin pelkkää hätää”

Näin osuvasti kuvasi eräs osallistuja vauhdikasta intensiivivaihetta, Haastattelimme puoli vuotta harjoituksen jälkeen kymmenen eri yhteiskunnan osa-aluetta edustavan organisaation edustajat, joiden roolit TIETO-harjoituksessa vaihtelivat aina suunnittelijasta osallistujaan. Osalle harjoitus oli ensimmäinen kosketus kyberturvallisuusaiheisiin, toisille vuosia jatkunut työ ja päivittäin muillekin koulutettava asia.

 

Hyödyllistä oli – kannatti lähteä

TIETO20:ssä harjoitelleita organisaatiota kannustettiin mukaan laajalla henkilöstöotannalla. Mukana oli paitsi it-alan ammattilaisia myös liiketoiminnan asiantuntijoita sekä viestinnän osaajia. Tämä vaikuttaa palautteiden perusteella olleen hyvä ratkaisu, ja jotkut organisaatiot miettivät osallistujajoukon laajentamista edelleen esimerkiksi markkinointiviestinnän osaajiinsa.

“Oli todella hyvä, että pystyttiin harjoituksessa toimimaan niin kuin oikeastikin tulisi toimia. Käytettiin ihan oikeita ilmoituskanavia ja lomakkeita, joka auttaa meitä jos vastaava tilanne joskus tulee.”

Koska monille harjoitus tarjosi ensimmäisen syväsukelluksen digitaalisen turvallisuuden maailmaan, sitä kuvattiin silmiä avaavaksi ja herättäväksi – toisille ihan jo siksi, että pääsi tutustumaan aihepiirin terminologiaan käytännössä. Etäharjoittelun onnistuminen motivoi toimimaan ja harjoittelumatkaa onkin jo aloitettu suunnitelmallisesti eri organisaatioissa.

Sisältö oli mielekästä myös konkareille, sillä osallistujaorganisaatioille tarjoutuu vain harvoin mahdollisuus näin vaativien ja monitahoisten tilanteiden harjoitteluun – tai ratkaisumallien turvalliseen testaamiseen.

“Etäharjoittelun onnistuminen motivoi toimimaan. Organisaationa tämä oli meille ensimmäinen etänä toteutettu harjoitus ja myös meidän IT oli mukana. Road mapille oli jo ennen tätä kirjattu, että näitä lähdetään toteuttamaan. Eli vaikkei tällainen harjoittelu kaikille meistä rutiinia vielä olekaan, niin harjoittelumatka on nyt suunnitelman mukaisesti aloitettu.”

“Onhan se kokeneellekin toimijalle oppi, että joillekin asioille, kuten operaattorin verkon kaatumiselle, ei vaan voida mitään. TIETO20-harjoituksen jälkeen olemme mm. käyneet uudelleen läpi sopimuksiamme meille kriittisten toimijoiden kanssa sekä arvioineet sitä, miten voisimme helpommin ja paremmin ylläpitää oman toimintamme kannalta keskeistä tilannekuvaa.”

 

Pääpaino kumppanisopimusten tarkastelussa ja henkilöstön opastamisessa

Haastatellut kokivat saaneensa mm. henkilöstön osaamisen kehittämiseen paljon materiaalia. Alihankkijoiden varautumiseen on sittemmin kiinnitetty enemmän huomiota, sopimuksia on tarkastettu ja auditointeja tehty. Harjoitus on johtanut tietoturvaparannuksiin ja uusiin käytänteisiin.

“Koska vastaamme muutenkin heidän toiminnastaan kuin omastamme, olemme nyt ryhtyneet kiinnittämään huomiota myös näiden tahojen varautumiseen. Sopimukset on käyty läpi ja auditointeja tehdään, jotta taso on varmasti sama kun meilläkin.”

“Meidän alalla se toimijoiden verkosto on hurjan laaja ja kumppaneita paljon. Olemme nyt keskittyneet tämän kokonaisuuden jatkuvuudenhallinnan kehittämiseen ja aloittaneet toteuttamaan sen dokumentointia.”

“Ollaan tehty maturiteettianalyysi ja sen perusteella arvioitu missä olisi parannettavaa sekä otettu helppoja askelia asioissa. Harjoitus sai asioihin vauhtia tarjotessaan meille tekijöille tietopohjaa, jonka avulla asioita on laitettu liikkeelle sekä johdon että asiantuntijoiden suuntaan, ja saatiin luotua struktuuri asian ympärille.”

 

Havaintoja ja vinkkejä muutosmatkalle

Etenkin kokeneemmat osallistujat pystyivät poimimaan TIETO20 sisällöstä hyvin analyyttisesti selkeitä kokonaisuuksia, joita ovat sittemmin organisaatioissaan pyrkineet hyödyntämään. Harjoitus herätti pohtimaan muun muassa tiedolla johtamista sekä viestinnän merkitystä.
“Yksi tärkeä havainto liittyi mielestäni tiedon sirpaleisuuteen ja sillä tiedolla johtamisen vaikeuteen. Eli häröily alkaa siitä, kun ei ole tarpeeksi informaatiota tapahtuneesta. Mutta monesti ihmisiä, erilaisia sidosryhmiä, rauhoittaa jo pelkästään se, että todetaan ääneen mitä on havaittu tai mitä on tapahtunut. Ei saa olettaa mitään, mutta niitä ensimmäisiä havaintoja voi jo jakaa viestillä “selvitämme parhaillaan”.”

“Asioitahan voi hoitaa, vaikkei ihmisiä tunne. Mutta yksi näiden tilanteiden etuja on, että tutustuttaessa kynnykset madaltuu ja soittaminen ja yhteydenotto helpottuu.”

Varsinaisten muutosten vieminen oman yhteisön arkeen oli toisille ollut hieman haastavaa, mutta osalla vastaajista oli jopa tarjota vinkkejä ensi vuoden harjoitukseen osallistujille. Keskeiseksi koettiin johdon sitoutuminen kyberturvallisuuden parantamiseen, jota oltiin onnistuttu edistämään monin, erilaisin tavoin. Monet olivat myös järjestäneet omalle organisaatiolleen opitun jakamiseen keskittyvän tilaisuuden.

“Kaikkien harjoitukseen ilmoittautuneiden tulisi varata aidosti aikaa olla mukana ja keskittyä tekemiseen. Tehdään muistiinpanoja ja kerätään niistä oppeja. Otetaan kaikki hyöty irti. Sitten harjoituksen jälkeen puhutaan, että meneekö asioita pitkälle listalle, josta niitä toteutetaan myöhemmin, ja kuka ottaa vastuun. Vai onko sellaista, että pitää viedä suoraan käytäntöön. Mutta kaikki pitää vastuuttaa heti ja suoraan. Näin mitään ei menetetä vaan harjoitus hyödynnetään täysin.”

“Meillä on johto saatu sitoutettua jatkuvaan tekemiseen tällä (maturiteetti)analyysilla, jota tehdään vuosittain. Lisäksi liitetään siihen tavoitteiden asettelua ja jatkuvaa tarkastelua, joista saadaan tuki implementoinnille.”

TIETO20-harjoituksen loppuseminaari järjestetään 12.10.2021, ja sen jälkeen valmistaudutaan käynnistämään TIETO22. Harjoituksesta kiinnostuneet yritykset voivat olla yhteydessä Digipoolin poolisihteeriin ja järjestelyistä vastaavaan Antti Nyqvistiin.

 

Tätä artikkelia varten haastatellut henkilöt

  • Altti Heinonen, Enfo oyj
  • Anu Laitila, Nixu oyj
  • Juha Strang ja Joonas Kekkonen, Meira Oy
  • Jyrki Guttorn, Yle
  • Kari Holmström, Securitas
  • Mika Arvonen, Valio Oy
  • Mikko Kuosmanen, DSV Road Oy
  • Sami Sillstén, HSY Helsingin seudun ympäristöpalvelut -kuntayhtymä
  • Tiina Viksten, SOK ABC-ketjuohjaus
  • Tomi Kinnari, Kyberturvallisuuskeskus Traficom