Tulostusversio

3/2011

Kolumni: Johto näyttää tietä

Teksti: Timo Laitinen

Tehdäänpä aikamatka 1970-luvulle, jolloin meillä ei ollut vielä tiedon valtateitä. Sen sijaan autojen valtateitä oli, ja liikennemäärät kasvoivat kovasti. Liikenneturvallisuuden edistämiseksi tehtiin merkittäviä toimenpiteitä: nopeusrajoituksia, tiukempia promillerajoja, ajovalopakkoja jne.

Luulen, että tuolloin todella harvassa, jos missään, organisaatiossa ylin johto totesi, ettei liikenneturvan kehittäminen koske meitä. Saati, että olisi sallinut itselleen ja kuljettajilleen vapaat nopeudet ja vaikkapa rattijuoppouden.

Tietoturvallisuus on useimmiten näkymätöntä, mutta niin on tietoturvattomuuskin. Ylin johto ei kykene omin voimin havaitsemaan tietoturvariskejä samalla tavalla kuin esimerkiksi perinteisiä liikenne- ja paloturvariskejä. Tänä päivänä toteutuvan tietoturvariskin aiheuttama toiminnan häiriö ja/tai keskeytys on vähintään yhtä vakava kuin tulipalon, joka tekee tuhojaan ilman henkilövahinkoja.

Monen mielestä on naiivia todeta, että ylimmän johdon esimerkki ja tuki on ratkaisevaa tietoturvallisuuden kehittämisessä, mutta niin se vain on. Keinoja on monia, mutta oman esimerkin ohella yksi vanha totuus pätee: "sitä saat, mitä mittaat". Jos ylimmän johdon asialistalla on riittävän usein tietoturvallisuuteen liittyviä asioita ja kysymyksiä, arvioinneista puhumattakaan, oppivat muutkin sen aika nopeasti. Kukapa haluaisi toistuvasti saada laiskanläksyjä?

Valtionhallinnossa on usein (ja ehkä valitettavasti) perinteenä edetä tämänkaltaisissa asioissa säädösteitse. Tietoturvallisuusasetuksen mukaan valtionhallinnon organisaatioiden on saavutettava tietoturvan perustaso syyskuun loppuun 2013 mennessä. Tältä osin valtionhallinnon ylimmän johdon rooli tulee jo virkavelvollisuutena. Oleellista on kuitenkin muistaa, että sama virkavelvollisuus edellyttää virastoilta ja laitoksilta tietoturvallista toimintaa myös ennen määräaikaa.

Riskienhallinta kuuluu hyväään johtamiseen kaikilla yhteiskunnan lohkoilla, ja tietoturvallisuudesta huolehtiminen on osa tätä. Riskienhallinta on nimensä mukaisesti hallintaa, ei täydellistä välttämistä. Myös tietoturva-asioissa on riskejä, joita kannattaa sietää - kunhan se on tietoista. Tällöin oikeanlainen reagointi on nopeaa mahdollisen riskin toteutuessa.

Kuten autoteillä, myös organisaatioissa ihminen itse on tunnetusti suurin riskitekijä. Tältä osin tietoturvaan liittyvä riskienhallinta ei ole teknologiaa vaan asennetta ja käyttäytymistä. Ylimmällä johdolla on tietoturvassa eniten menetettävää; siksi kannattaa nöyrästi uskoa sekä tietoturva-ammattilaisten neuvoja että jokapäiväistä arkijärkeä. Miettikäämme siis, mitä ja missä puhumme, miten ja missä erilaisia viestivälineitä käytämme, ja missä niitä säilytämme. Niin, ja vähän lisää luovuutta ja epäloogisuutta salasanoihin.

---

[KIRJOITTAJA]

Timo Laitinen on Valtiokonttorin pääjohtaja.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.