”Maailma on muuttunut.” Tämä lausahdus on tullut vastaan itse kullekin viimeisen vuoden aikana. Yritysten toimintamallit ja -tavat sekä teknologiamuutokset ovat ottaneet isompia harppauksia ja pakottaneet nopeuttamaan strategisten tavoitteiden aikatauluja. Laji muuttui ikään kuin kesken kaiken maratonista pikajuoksuksi. Isot puheenaiheet, kuten pilvisiirtymät, aktivoituneet yrityskaupat tai investoinnit ovat tuoneet uutta tuulta hallituksien purjeisiin.
Samassa yhteydessä kolikon kääntöpuoli on herättänyt uusia kysymyksiä hallitusammattilaisten joukossa. Mitä meidän tulisi tietää ja saammeko riittävää tietoa? Miten varmistamme, että uhka- ja riskikuvat on huomioitu riittävällä pieteetillä? Miten varmistamme, että yrityksen vetovastuulliset ottavat nämä huomioon? Tehdäänkö yrityksessä oikeita asioita?
Kysytäänkö oikeita kysymyksiä?
Digitaalisessa murroksessa kyberturva on yhtenä asiana saanut merkittävää jalansijaa hallituskeskusteluissa ja -vastuissa. Hallituksen rooli ymmärretään kuitenkin ammattilaistenkin toimesta virheellisesti. Digiharppauksissa kyberturvan rooli hallituksessa ei ole tehdä hallitusammattilaisista kyberasiantuntijoita. Hallitustason tietoisuutta ei myöskään lisätä tietoturvamittareiden läpikäynnillä, jotka pahimmillaan eivät kerro yrityksen strategisesta tilanteesta paljoakaan tai informaatio on liian toiminnallista.
Merkittävin rooli muodostuukin kyvystä kysyä oikeita asioita, arvioida vastausten uskottavuus sekä valtuuttaa johto tekemään suuntamuutoksia.
Merkittävin rooli muodostuukin kyvystä kysyä oikeita asioita, arvioida vastausten uskottavuus sekä valtuuttaa johto tekemään suuntamuutoksia. ”Miten meillä on muutoksissa otettu huomioon uhkakenttien monimuotoisuus? Ja miten meidän tietoturvamme palvelee yrityksen arvoja, strategiaa ja kehitystä tai luo arvoa meille?” Kysymykset saavat monen vastuullisen pysähtymään ja miettimään asiaa laajemmin.
Riskitön teknologia on olemassa vain paperilla
Konkreettisesti esimerkiksi yrityskaupoissa tai -järjestelyissä on arvioitava ”onko investoinnin tai kaupan osalta riittävä ymmärrys siitä, mitä kaupan mukana voi tulla”. Due diligence -arvioinneissa esimerkiksi tietoturvaa ei tänä päivänä tulisi yksistään arvioida teknisestä näkökulmasta, sillä riskinä on usein mielikuvat tekojen sijaan.
Perinteiset M&A-pelikirjat ja -käytännöt vaativatkin pikaista päivitystä.
Perinteiset M&A-pelikirjat ja -käytännöt vaativatkin pikaista päivitystä, sillä teknologian kehittyessä tietoturvan katselmointi yhtenä pienenä osana ilman painoarvoa ei palvele hallitusta, päättäjiä tai yritystä, kuten ei myöskään arviointien toteuttajia. Tällöin kaupan laskelmoitu arvo tai strategiset tavoitteet eivät toteudu, koska taustalla piilee merkittäviä investointitarpeita, kulttuurimuutoksia tai hallinnollisia katvealueita.
Valitettavasti nämä eivät tule esille perinteisissä auditoinneissa tai mittareissa.
Toisena esimerkkinä nostaisin teknologiakentän muutoksen ja kehitysnopeuden, jossa hyvä riskienhallinta tai tietoturva ei voi olla hidaste vaan toimintaa tukeva kokonaisuus. Hallitusammattilaisen näkökulmasta vastaukset kysymyksiin, kuten ”mikä on teknologian vaikutus riskikenttäämme” tai ”miten olemme varmistaneet tietoturvan mukanaolon ideoinnista ja suunnittelusta lähtien” pitää luoda selkeys siihen, että asioita ei ole käsitelty vain dokumenteissa tai teknisinä kokonaisuuksina.
Viisi tärkeintä kokonaisuutta, jotka hallituksen tulisi tiedostaa
Toimiessani hallitusten tukena suuremmissa muutoksissa olen usein tiivistänyt hallituksen roolin ja merkityksen muutamaan osa-alueeseen:
- Kyky kysyä ja kyseenalaistaa perinteistä mallia: Hallituksen tulee pystyä kysymään myös vaikeita yrityksen johdolta, erityisesti tietoturvavastaavilta. Ei ole väärin kysyä mitä, miksi, kuka, milloin, tai jopa mitä sitten, kun vaikutukset saattavat olla merkittäviä.
- Tietoturvan strateginen varmistaminen hallituksen kautta: Tietoturva tukee strategisia tavoitteita ja osoittaa miten tavoitteita saavutetaan.
- Uhka- ja riskikentän ymmärrys: Uhkakuvissa, oli kyseessä sitten perinteiset riskit tai uudemmat kyberriskit, vaikuttavuusarvion tulee hallitukselle näkyä liiketoimintaan sidottuna tai arvoihin vaikuttavana.
- Läpinäkyvyyden lisääminen: Läpinäkyvyydestä puhuttaessa keskitytään usein ulkoiseen kuvaan. Yhtä tärkeää on myös sisäinen läpinäkyvyys siihen mitä vaaditaan ja vaalitaan sekä miksi. Teknologian myötä muuttuvassa kyberriskikentässä muutos lähtee organisaation kulttuurista ja johdon esittämästä esimerkistä.
- Yrityksen IT-kumppaneiden sitouttaminen yhteisiin tavoitteisiin johdon kautta: Digitaalisen
kehityksen yhteistyössä renki ja isäntä -malli ei luo yhteisiä tavoitteita. Hallituksen on varmistettava, että yrityksen (IT-)päättäjät vaativat myös kumppaneilta panostuksia kyberturvallisuuden vaalintaan.
Hallitukset ja hallitusammattilaiset elävät mielenkiintoisia aikoja. Teknologiatrendit muuttuvat arjeksi ja näkyvät toimintatavoissa sekä käytännöissä. Yrityskaupoissa ja investoinneissa on havaittavissa aktiivisuutta. Näiden muutosten yhteydessä hallituksilla onkin hyvä mahdollisuus varmistaa, että organisaatiota johtavat henkilöt huomioivat myös sen toisen puolen eli muuttuvan uhka- ja riskikentän.
Kirjoittaja toimii Accenture Securityn Strategy & Risk -osastolla yritysten johdon ja hallitusten asiantuntijaroolissa strategisissa tietoturvamuutoksissa, yrityskaupoissa sekä johdon tukena kyberturva-asioissa.
