Varmuus tuo rohkeutta; toisinpäin en niin suosittele

Vauhtisokeus voi johtaa turvallisuusasioiden ohittamiseen, myös digitaalimaailmassa.

Jani Alanko, 09.02.2016

Kun yrityksessä ymmärretään turvallisuuden eri tasot ja hallitaan riskit, se voi välttää katastrofien ohella monta pettänyttä asiakaslupausta.

Digitalisaatio eli kaiken digitalisoituminen koskettaa yhtäältä yrityksen olemassa olon tarkoitusta ja toisaalta tekemistä, jolla se toteuttaa tuota tarkoitusta. Yrityksen tuote, tuotteeseen kytkeytyvä palvelu tai mikä tahansa itsenäinen palvelu löytävät uuden sähköisen olomuodon. Samoin tuotanto, palvelutuotanto tai liiketoimintaprosessit yleisemminkin sähköistyvät: ihmiset ja älykkäät laitteet tekevät asioita yhä syvenevässä symbioosissa.

OP Ryhmän yhdessä Aalto-yliopiston professoreiden perustaman ajatushautomo NIBS:in kanssa toteuttama tutkimus suomalaisten suuryritysten toiminnasta ja näkymistä kertoo, että osallistuvat yritykset panostavat alkavana vuonna voimakkaasti digitalisaatioon. Panostukset näyttävät kasvavan edellisestä vuodesta yli kymmenen prosenttia. Se on selvä signaali kaikenkokoisille yrityksille: digitalisaatio tulee muuttamaan markkinoita, vaatimaan uudenlaista kilpailukykyä ja tarjoamaan erilaista kilpailuetua.

Digitaaliasioiden kanssa edetessä voi syntyä vauhtisokeutta. Unohdetaan varautua.

  • Mihin?

Ei-niin-digitaalinen esimerkki tulee Aalto-yliopiston Professor of Practice Katariina Kemppaisen tammikuussa Aalto Leaders’ Insightiin kirjoittamasta artikkelista. Hän kysyy, mitä mieltä olemme linja-autoyrittäjästä, jolla ei ole yhtään vara-autoa. Ymmärrän heti, että yhdenkin auton hajotessa jotain sovittua jää ajamatta, ja en ryhtyisi moisen toimijan kanssa liiketoimiin. Sitä vastoin minun on myönnettävä, että en varmastikaan tiedä, mitä kaikkea minun pitäisi osata kysyä liiketoimintakumppaniemme kyberriskienhallinnasta.

Kyberriski painaa koko toimitusverkostoa

Voi kysyä esimerkiksi, miten yritys toimii, jos siltä katkeaa sähköt? Siinä missä joku kaivaa jo esiin force majoure -korttia, toisaalla on ymmärretty, että koska yritys ei voi ilman sähköä toimia, on saanti varmistettava kaikin keinoin. Jälkimmäinen yritys on sekä asiakkaidensa sekä kumppaniensa näkökulmasta varautunut paremmin ja siten toimituskykyisempi. Luotettavampi. Ehkä kalliimpi.

Liike-elämässä on tapana, että kukin yritys vastaa nimellään myymästään palvelusta, myös sen poikkeamista ja virheistä. Ikävä kyllä

  • asiakasta A ei kiinnosta, että toimitus myöhästyy, koska yritys B ei saa sähköä C:ltä
  • yrityksen A on hyödytöntä vaatia kovinkaan sanoin toimitusta, koska yrityksellä B ei ole sähköjä
  • yrityksen B palvelupäällikön on turha vihoitella sähköntoimittajalleen C, jos sillä ei kerta kaikkiaan ole mitä toimittaa.

Yksinkertaistaen riskin toteutumisen vaikutukset vyöryvät toimitusketjussa yrityksestä A ylävirtaan kunnes joku on vihdoin varautunut poikkeustilanteeseen ja pystyy hoitamaan vastuunsa alavirran ongelmista huolimatta. Yritykset ovat riippuvaisia hyvin keskenään erilaisista ulkoisista resursseista. Jalostusasteesta riippumatta ne ovat riippuvaisia tietojärjestelmien toiminnasta, välttämättä välillisesti.

Liikenteessä turvavälinpitäjä suojaa edessä olevia takana olevien typeryydeltä.

Vastuu tyypillisesti rajoittuu välittömiin vahinkoihin, mutta välillisistä vahingoista ketjussa syntyy suuri summa. Varautuminenkin maksaa, mutta kuinka paljon maksaa asiakas?

Toimitusketjun päässä seisoo nimittäin joka tapauksessa maksaja: tyytyväinen tai entinen.

Vauhtisokeus voi johtaa turvallisuusasioiden ohittamiseen

Mitä syvemmälle yritys digitalisaatiossa ui, sitä tärkeämpään rooliin digitaalinen turvallisuus ja digitaaliympäristön huomioiva riskienhallinta nousee. Meidän täytyy oppia olemaan kiinnostuneita turvallisuudesta nykymaailmassa.

Kuten muitakin turvallisuusasioita, digitaalista turvallisuutta kannattaa rakentaa paitsi kantapään kautta myös ennakoivasti, toisilta oppimalla. Reaktiivinen lähestyminen korostaa uhkia ja heikkouksia, proaktiivinen taas mahdollisuuksia: kun nämä asiat ovat kunnossa, meillä on auki maailman sivu.

Kenen vastuulla digitaalinen turvallisuus on?

Digitaalinen turvallisuus vaatii ymmärrystä, vastuuta ja tekoja jokaiselta, mutta ainakin oman kokemukseni mukaan kollektiivinen vastuu toimii huonosti. Lienemme samaa mieltä siitä, että digitaalisen turvallisuuden monitieteellinen ymmärtäminen on yksi digitaaliajan yrityksen tärkeistä kyvykkyyksistä. Siitä, missä tuon kyvykkyyteen johtavan kompetenssin kuuluisi yrityksessä tarkalleen olla, minulla ei ole mielipidettä. Välimatkan osaamisesta päätöksentekoon en kuitenkaan soisi olevan pitkä, sillä tieto etenee hitaasti organisaatioissa, koiranleukojen mukaan vain muutamia millimetrejä päivässä.

Strategisten asioiden koriin on tunkua. Jos jokainen strategiseksi itsensä mieltävä funktio, prosessi tai osapuoli saisi edustuksensa ylimmässä johdossa, johtoryhmät paisuisivat mammuteiksi, joiden toimintakunto olisi kyseenalainen. Rohkenen väittää, että johtoryhmälle välittömästi raportoivalla tasolla digiturvallisuuden asiantuntemuksen ja vastuunkantajan tarvitsee jo olla. Itse johdossa asia voisi sopia liiketoimintaprosesseista vastaavan agendalle – erityisesti Chief Digital Officerin salkkuun, jos sellainen organisaatiossa on nimetty.

Mitä asioita voisi jäädä sattumatta?

Vaikka alun kaukaa haetussa esimerkissä esitetty sähkökatko voi sattua mille tahansa yritykselle, kaikille ei ole selvää, miten sellaisessa tilanteessa kuuluisi toimia. Tiedätkö sinä? Joskus varautumisen kustannukset ylittävät pitkällä aikavälillä epätodennäköisen yksittäisen häiriön aiheuttamat haitat. On kuitenkin hyvä, että päätös olla varautumatta on harkittu ja hallittu. Esimerkiksi datakeskuksissa, lentokoneissa ja leikkaussaleissa sähkökatkon todennäköisyyttä on painettu alas varajärjestelmin, sillä häiriö olisi – no, hyvinkin pysäyttävä.

Perussäännöt pätevät: On tunnettava riskit. Jos jotain ei missään tapauksessa voi sattua, on riski poistettava. Jos riskiä ei voi poistaa, on riittävästi suojauduttava. Jos riski toteutuu, on vaikutukset minimoitava. Varasuunnitelmakin on hyvä olla, ja joskus on tarkastelun jälkeen viisasta jättää kokonaan ryhtymättä.

Entä jos

  • ulkopuolinen pääsee käsiksi yrityksen asiakas- ja henkilötietoihin
  • pankki ei välitäkään maksuja
  • yrityksen kumppanin tietojärjestelmissä olevat yrityssalaisuudet vuotavat kilpailijalle
  • digitalisoidun liiketoimintaprosessin jokin osa häiriintyy ja sotkee koko prosessin
  • (digitaalisen) toimitusketjun osasta itsenäisesti vastaava kumppani päättää toimintansa konkurssiin
  • laitevalmistajan tuki jonkin käytetyn teknologian osalta loppuu
  • tietoverkkorikollinen löytää tiensä vaivihkaa tuotannon automaatiojärjestelmään
  • yrityksen intranetin etusivulle ilmestyy mystinen piirroskuva, jonka tekijä ei koskaan selviä?

Kun yrityksessä ymmärretään turvallisuuden eri tasot ja hallitaan riskit, se voi välttää katastrofien ohella monta pettänyttä asiakaslupausta. Sellaisessa yrityksessä uskaltaa myös ajatus vapaammin lentää ja uuden kilpailuedun lähteen puhkeamisen todennäköisyys nousee. On typerää tehdä ajattelematta seurauksia, mutta niin on myös jättää tekemättä siksi, että perustelemattomasti pelkää seurauksia.

Varmuus tuo rohkeutta.
Toisin päin en niin suosittele.

Kirjoittaja, Aalto University Executive Educationin Senior Manager, Digitalization Jani Alanko, on diplomi-insinööri, lean-intoilija ja sosioteknikko. Hänen erityinen mielenkiinnon kohteensa on asiakkuuden elinkaaren kattava digitalisaatio. Digitaalista turvallisuutta voi oppia esimerkiksi Aalto PRO:n Diploma in Digital Security – digitaalinen turvallisuus -koulutusohjelmassa.

Luet nyt: Aalto Leaders' Insight: Varmuus tuo rohkeutta; toisinpäin en niin suosittele

Tilaa Aalto Leaders' Insight -uutiskirjeTilaa uutiskirje

Aalto Leaders' Insight -uutiskirjeessä saat ajankohtaisimmat Aalto Leaders' Insight -sisällöt, kutsuja avoimiin tapahtumiimme ja webinaareihin, tiedon tulevista valmennus- ja koulutusohjelmista sekä ennakkoilmoittautujan eduista.

Annan Aalto University Executive Education Oy:lle luvan käyttää yhteystietojani markkinoinnissa, esimerkiksi tiedottaakseen sähköpostitse koulutusohjelmatarjonnasta tai lähettääkseen kutsuja tapahtumiin. Voin päättää milloin tahansa, etten enää halua yhteydenottoja. Katso tietosuojapolitiikka