Perinteisesti simuloiduissa johtamisharjoituksissa on simuloitu fyysisen maailman suuronnettomuuksien tai ympäristövahinkojen kaltaisia poikkeustilanteita, mutta jo hyvän aikaa merkittävämmäksi on koettu uudenlaiset digitaalista toimintaympäristöä koskevat harjoitusskenaariot. Sitä mukaa kun kyberriskit ovat moninaistuneet, myös kyberteemaiset harjoitukset ovat kasvattaneet suosiotaan.
Kyberharjoittelu on erinomainen tapa kehittää varautumista, sillä se antaa organisaatiolle mahdollisuuden käydä läpi erilaisia kyberuhkaskenaarioita, kokea todentuntuisessa simulaatiossa esimerkiksi haittaohjelmien konkreettiset vaikutukset johtamiseen ja rakentaa tai kehittää toimintamalleja ongelmatilanteiden ratkaisemiseen. Säännöllisesti harjoitteleva organisaatio kykenee todellisessa poikkeustilanteessa toimimaan jouhevasti sekä organisoidusti ja poikkeustilanteesta toipuminen käynnistyy nopeammin.
Systemaattinen harjoitustoiminta on kyberturvastrategian toteutumisen edellytys
Jo yksittäinen onnistunut kyberharjoitus paljastaa kehityskohteita yrityksen kriisijohtamisesta, mutta parhaimmillaan harjoitustoiminta on silloin, kun se on systemaattista ja säännöllistä.
Suunnitelmallisuus varmistaa, että harjoitustoiminta linkittyy vahvasti organisaation kyberturvastrategiaan, huomioi siinä määritellyt painopisteet ja ongelmat ja siten sekä toteuttaa että testaa haluttua kyberturvan tasoa. Systemaattinen harjoitustoiminta mahdollistaa myös tulosten ja toiminnan vaikuttavuuden arvioinnin: sitä mukaa kun organisaation kyberturvakyvykkyys kehittyy ja maturiteetti kasvaa, voidaan harjoitusten vaikeustasoa nostaa.
Harjoitustoiminnan säännöllisyys on tärkeää myös organisaatiossa tapahtuvien sisäisten muutoksien takia, sillä jo yhdenkin avainhenkilön vaihtuminen tai pidempiaikainen sairauspoissaolo voi joissain tapauksissa vaikuttaa organisaation resilienssiin. Kun harjoitustilanteessa harjoittelevasta ryhmästä jätetään yksi–kaksi avainhenkilöä ulkopuolisen tarkkailijan rooliin, nähdään nopeasti, miten hyvin organisaation varahenkilöjärjestelyt ja vastuunjako toimivat, eli löytyykö organisaatiosta todellisuudessa haluttua resilienssiä.
Poikkeusaika on korostanut harjoitustoiminnan merkitystä
Korona-aikana jokainen organisaatio on joutunut koeponnistamaan omia varautumissuunnitelmiaan – myös kyberturvallisuuden osalta, kun kyberrikollisuuden riskit ovat olleet koholla ja samalla etätyöskentely on kasvattanut tietoturvaongelmien ja kyberuhkien mahdollisuutta.
Etätyöskentely tulee olemaan normaali työskentelytapa myös tästä eteenpäin, mikä voi johtaa siihen, etteivät totutun mukaiset, kasvokkaiset kohtaamiset poikkeustilannejohtamisessa ole välttämättä mahdollisia. Tämä asettaa uusia haasteita poikkeustilanteen tilannekuvan muodostamiselle ja välittymiselle ja koko johtamisketjun toiminnalle. Uudenlainen toimintaympäristö on syytä huomioida varautumissuunnitelmissa, ja ohjeiden käytännön toimivuus puolestaan testata harjoitustoiminnan kautta.
Koronapandemia on osoittanut monille organisaatioille myös sen, miten riippuvaisia nämä ovat kumppaneistaan ja sidosryhmistään. Kun kaikki organisaatiot ovat olleet samassa tilanteessa yhtä aikaa, oma selviäminen on voinut olla kiinni siitä, miten kumppani selviää. Kumppaneiden välisen tilannekuvan muodostamiseen, vastuunjakoon ja jaettuun tilanneymmärrykseen liittyvät seikat kannattaa myös kyberuhkatilanteiden osalta pyrkiä selvittämään etukäteen. Harjoitustoiminta on hyvä keino tunnistaa muun muassa kumppanuuksien hallintaan liittyviä sopimusteknisiä haasteita tai puutteita esimerkiksi keskeisten palveluiden tai järjestelmien vasteaikoihin liittyen.
Kun organisaatiot sopeutuvat tulevaan, on niiden osattava toimia muuttuneessa toimintaympäristössä uusilla toimintamalleilla. Se ei ainakaan vähennä harjoitustoiminnan merkitystä.
Ville Somppi
Myynti- ja liiketoimintajohtaja
