Yritysturvallisuus – riskinarvioita on syytä päivittää
Suomalaisissa yrityksissä turvallisuus on pääsääntöisesti hyvällä tolalla. Turvallisuuden ylläpito on kuitenkin jatkuva prosessi, jossa tulee olla hereillä myös täysin uudenlaisten uhkien varalta. Osa kansainvälisistä kriiseistä näkyy jo käytännössä yritysten toiminnassa esimerkiksi logistiikkaketjujen kautta. Mihin muuhun on hyvä varautua?
Markku Rajamäki on Elinkeinoelämän Keskusliiton yritysturvallisuus-teeman johtava asiantuntija.
Kaukaiseltakin tuntuvat tapahtumat ulottuvat yritysten arkeen myös meillä. Kansainvälisten konfliktien vaikutukset näkyvät yritysten arjessa mm. monien tuotteiden hintojen nousuna ja komponenttien saatavuuden vaikeutumisena. Haastattelimme Elinkeinoelämän Keskusliiton yritysturvallisuus-teeman johtavaa asiantuntijaa Markku Rajamäkeä siitä, mihin yritysten on syytä nyt varautua.
– Yritysten kannattaa nyt seurata aikaansa ja tarkkailla, mitä tapahtuu muualla. Erilaiset digitaaliset uhat, yhteiskunnan polarisaatio ja ihmisten toimintaan liittyvät uudenlaiset toimintatavat ja ilmiöt rantautuvat suurella todennäköisyydellä entistä lähemmäs myös paikallisesti toimivia yrityksiä. Se mitä tapahtuu muualla, voi tapahtua myös meillä. On hyvä olla varautunut, kehottaa Rajamäki.
– Yrityksen turvallisuus on ehyt vain, kun sen kaikki osa-alueet on huomioitu ja ne ovat tasapainossa yrityksen toimiala huomioiden, korostaa Rajamäki.
– Eri yrityksissä korostuvat eri asiat ja niiden painoarvo suhteessa toisiinsa on erilainen. Tärkeää yrityksen jatkuvuuden hallinnan kannalta on kuitenkin tunnistaa se, miten erilaisiin riskeihin on varauduttu, miten riskinarviota on päivitetty ja onko kokonaisuudesta jäänyt huomioimatta jotain sellaista, joka voi toteutuessaan horjuttaa koko yrityksen toimintaa.
Kyberuhat kohdistuvat myös PK-yrityksiin
Kyberuhkien torjunnan näkökulmasta suurin ongelma on se, että liian usein ne nähdään kaukaisina ja teknisinä, vain ICT:tä koskevina haasteina. Kyberuhilta eivät kuitenkaan ole turvassa myöskään paikallisilla markkinoilla toimivat PK-yritykset, koska kaikki yritykset toimivat digitaalisesti, eivätkä kyberuhat tunne rajoja. Monia kyberuhkia on vältettävissä henkilöstöä kouluttamalla ja kiinnittämällä huomiota arkisiin toimintatapoihin. Yritysjohdon tulisi tietää riittävästi, mistä kyberturvallisuudessa oikeastaan on kyse.
Rajamäki kehottaa yrityksiä myös tekemään alihankintasopimukset aina kirjallisina. Vaikka yrityksillä olisi pitkät yhteistyösuhteet, muutostilanteissa ja avainhenkilöiden vaihtuessa vastuunjako saattaa jäädä epäselväksi. Tällöin on suuri riski, että suullisesti sovittuja asioita jää hoitamatta ja tietoturvaan jää aukkoja. Alihankintaverkostojen hallintaan liittyy myös vastuullisuuskysymyksiä, joihin liittyvä regulaatio on lisääntymässä.
– Riskinhallintaa ei pidä nähdä myöskään liian monimutkaisena kokonaisuutena, toteaa Rajamäki.
– Pitkälle pääsee pohtimalla, mitä kaikkea voi mennä pieleen ja mitä tekisimme, jotta näin ei kävisi. Yritysturvallisuuden kokonaisuuden hahmottamiseen ja riskinhallinnan kehittämiseen on olemassa myös erilaisia työkaluja ja malleja, jotka auttavat tarkastelemaan toiminnan riskejä.
Uusia direktiivejä yritysturvallisuuteen
Ennakointi ja tietoisuus muutoksista on tärkeää, se auttaa toteuttamaan muutokset omassa organisaatiossa joustavasti. Myös säännökset ja lainsäädäntö päivittyvät, ja vuoden 2024 aikana Suomen lainsäädäntöön implementoidaan tammikuussa 2023 voimaan tulleet NIS2- ja CER-direktiivit, joilla tavoitellaan entistä parempaa kyberturvallisuuden ja kokonaisvarautumisen tasoa. Direktiivit koskevat useita kriittisiä toimialoja.
Suomessa on laaja PK-sektori ja Markku Rajamäki näkeekin tärkeäksi, että kaiken kokoisille yrityksille on koosta ja toimialasta riippumatta tarjolla apua yritysturvallisuuden kehittämiseen.
– EK tarjoaa laajasti ajankohtaista tietoa esimerkiksi uusista direktiiveistä. Koen myös paikallisen kehittämistoiminnan lähellä yrityksiä tärkeäksi, esimerkiksi juuri tällaisen Yritysturvallisuuden kehittämisohjelma -hankkeen kautta. Tähän toimintaan yritysten on helppo osallistua matalla kynnyksellä, päättää Rajamäki.
Markku Rajamäen vinkit yritysturvallisuuden kehittämiseen:
- Seuraa aikaasi ja tilanteen kehittymistä. Millaiset riskit ovat seuraavaksi nousussa?
- Ala ajatella turvallisuutta kokonaisuutena. Vain kun kokonaisuus toimii, turvallisuus on ehyt.
- Kaikkea ei voi hallita itse. Arvioi mitä osataan itse ja missä tarvitaan ulkopuolista osaamista.
- Resursseja on aina rajallisesti. Kokoa yhteen ne voimavarat mitä on, hae synergiaa ja yhteistä tilannekuvaa eri näkökulmia ja osaamisia yhdistelemällä.
- Skannaa muita toimijoita, vaikka kaikki olisi kunnossa. Vertaa ja kehitä edelleen.
Yritysturvallisuuden kehittämisohjelma on Satakuntaliiton EAKR-rahoittama hankekokonaisuus, jota toteuttavat Prizztech Oy, Tampereen yliopisto ja Länsi-Suomen pelastusharjoitusaluesäätiö.
LISÄTIETOJA
Projektipäällikkö Marika Lähde
Prizztech Oy
044 710 5314
marika.lahde@prizz.fi