Ihmisen huomiokyky on hyvin rajallinen. 1980-luvulla tutkittiin, miksi moni hävittäjälentokone oli joutunut tekemään niin sanotun hallitun maahansyöksyn. Kävi ilmi, että taistelulentäjät käsittelivät tietoa lähinnä vihollisen liikkeistä ja muu, ylimääräisenä pidetty informaatio jäi huomioimatta. Kun tilannekuva oli puutteellinen, lentäjät olivat unohtaneet tarkkailla omaa lentokorkeuttaan. Seuraukset olivat dramaattiset.
Tämä tarina ja tilannekuvan merkitys nousivat esiin, kun lähdin keväällä johtamaan Kelan uutta tietoturvan hallintakeskusta. Muuttuvassa tietoturvaympäristössä herätteet ovat harvoin suoria ja yksiselitteisiä ja kokonaisuus vaatii suodattamista. Tarvitaan paljon työtä, jotta herätteiden massasta saadaan kaivettua Kelan palvelujen kannalta keskeiset tiedot. Uudessa organisaatiossa kaikki kiertyy sen ympärille, että pystymme tunnistamaan poikkeukset ja luomaan keskitetyn tilannekuvan tietoturvan hallinnan ja päätöksenteon tueksi.
Kelan rooli suomalaisessa yhteiskunnassa on hyvin merkittävä ja moniulotteinen. Olemme paljon vartijoina. Ulkopuolelta on vaikea edes nähdä, kuinka monimutkainen verkosto taustallamme kulkee. Siksi Kelan palvelujen ja tietojen turvaaminen on äärimmäisen tärkeää ja yhteiskunnan toiminnan kannalta kriittistä.
Jotta pystymme johtamaan toimintaa, tarvitsemme laadukasta tilannekuvaa. Ilman sitä päätökset ovat vain parhaita arvauksia.
Tietoturvatyössäkin tarvitaan selkeitä rooleja
Taistelulentäjä on oman tilanteensa paras asiantuntija, mutta hänen tehtävänsä ei ole tietää, miten sotaa johdetaan. Samalla tavoin eri tuotantojärjestelmistä vastaavat asiantuntijat tuntevat oman palvelunsa parhaiten, mutta kokonaiskuvan hallintaan tarvitaan johtamista ja yhteistyötä. Vaikka yksi ihminen pystyy keskittymään vain harvaan asiaan kerrallaan, yhdessä voimme hyödyntää huomiokykyämme tehokkaammin.
Tietoturva on niin laaja kenttä, että kaikki eivät voi tehdä kaikkea. Kun jonkin tehtävän merkitys nousee, tarvitaan työntekijä, joka voi omistautua aiheelle pitkäjänteisesti. Tietoturvan hallintakeskus onkin pyrkinyt selkeyttämään tietoturvaan liittyviä rooleja ja vastuualueita Kelassa.
Muutos on ollut tervetullut. Kun tietoturvan valvonta on keskitetty tiettyyn ryhmään, voimme panostaa enemmän myös oppimiseen ja harjoitteluun.
Keskinäinen kunnioitus tiivistää työyhteisöä
Työmme on merkityksellistä, ja oppimispolkuja erilaisten roolien ja teknologioiden välillä riittää. Siksi tarvitsemme myös johdonmukaista ihmisten johtamista.
Omassa johtamistyössäni haluan toteuttaa tasa-arvoisuutta. Se ei tarkoita, etteivätkö johtaja ja työntekijät voisi vaatia toisiltaan, mutta keskinäisen kunnioituksen pitää säilyä. Tärkeää on luoda rakenteita, jotka helpottavat vuoropuhelua ja vahvistavat yhteisiä tapoja toimia. Tavoitteiden täytyy olla kaikille selvät. Tavoitteellisena ihmisenä ajattelen, että mitä ei voi mitata, sitä ei voi myöskään kehittää. Uskon, että kun etenemme yhdessä kohti selvästi määriteltyjä ja mitattavia tavoitteita, tekeminen on kaikille mielekästä.
Meillä erilaisuus on vahvuus ja ilmapiirin tulee olla vapaa erilaisille mielipiteille. Jos tämä ei toteudu, paljon vahvuuksista jää käyttämättä. Sama pätee johtajiin. Jos johtajaksi valitaan aina teknisin henkilö, on riskinä, että myös ongelmat pyritään ratkaisemaan teknologian avulla. Vaikka uskonkin substanssiosaamisesta olevan hyötyä omassa roolissani, on mahtavaa, että yksikön johtotiimissä on myös muunlaisia työ- ja koulutustaustoja.
Epävarmuus täytyy hyväksyä
Kun mietitään tietoturvaa, on pysähdyttävä kysymään: Mitä teknologia osaa ja missä se on hyvä? Entä missä me ihmiset pärjäämme paremmin?
Näiden välillä on selvä rako. Ihmisen vahvuus on analysoinnissa, kyvyssämme poikkitieteelliseen ajatteluun. Teknologia puolestaan on hyvä käymään läpi laajoja tietoaineistoja ja huomaamaan niihin liittyvät poikkeavuudet. Yksinään se ei kuitenkaan pysty vastaamaan siihen, mitä poikkeus merkitsee.
Kun maailma muuttuu, muutosten tulkiksi tarvitaan ihmistä. Tilannekuva yhdistää teknologian ja inhimillisen osaamisen toisiinsa. Myös tietoturvassa kaikki kilpistyy siihen, että ihminen on isäntä ja teknologia hyvä renki. Siksi tietoturvajohtaminen ei voi perustua vain järjestelmiin. ”Rautaa rajalle” on lyhyt tie.
Parhaassa tapauksessa laadukkaalla tilannekuvalla voidaan ennakoida tapahtumia, mutta kukaan ei voi ennustaa tulevaisuutta. Täytyy hyväksyä se, että päätöksiin liittyy aina epävarmuutta eikä täydellistä tilannekuvaa voi koskaan saada. Vaatii taitoa arvioida, milloin tietoa on riittävästi. Lopulta on vain toimittava.
