Linkitin Oy

Työkaveria ei jätetä! Linkitin tukee organisaatioita, johtoa ja henkilöstöä, oli porukkasi iso tai pieni.

Viestintä voitelee kyberturvallisuuden rattaita

Uncategorized

Viestintä voitelee kyberturvallisuuden rattaita

Pointtini: viestintä leviää kaikkialle

Eräässä kyberturvallisuuteen liittyvässä harjoituksessa saimme aikaan vain aika huonon puhelinluettelon. Ne pari muuta yhteistä suoritetta olivat vieläkin keskeneräisempiä. Olimme harjoitukseen erittäin tyytyväisiä – ja syystä!

Puhelinluettelo lähti yhdistämään teemaan liittyviä toimijoita. Verkostomme alkoi muuttua näkyväksi. Eri tahot ja vastuut eivät olleet vain yksittäisiä post it -lappuja aivoissamme, vaan tiedonpalaset yhdistyivät jaetuksi yhteiseksi verkostoksi.

Luetteloon tuli henkilöitä, jotka edustivat organisaatioidensa eri haarakkeita. Siellä he pystyisivät viemään eteenpäin ongelmia korjaavia toimia. Harjoituksessa – tai oikeassa tilanteessa – tilannetta pystytään korjaamaan rivakammin, kun tiedetään kehen otetaan yhteyttä ja mitä silloin sanotaan.

Ihmiset, prosessit ja teknologia ovat kyberturvallisuuden osia, turvallisuuskoneiston rattaita. Nämä osat eivät ole erillisiä osia, mutta niiden yhteistoiminta ei myöskään synny itsestään. Päinvastoin, näissä rattaissa voi olla kitkaa, jota (sisäinen) viestintä voi vähentää. Käyn rattaita läpi seuraavissa kappaleissa.

Viestinnän ytimessä on kommunikointi ihmisten välillä. Aiemmassa esimerkissä yhden organisaation henkilö soittaa toiselle. Kyberturvallisuudessa vaikeuksia aiheuttaa, jos teknisellä tiedolla tukahdutetaan vastaanottaja. Ammattiryhmien eri slangi ja englannista väännetyt uussanat vaikeuttavat ymmärtämistä. Monesti unohtuu, että kuulijana ei olekaan samaan piiriin kuuluva henkilö. Esimerkkejä kielimuureista löytyy tekniikan asiantuntijoiden ja liiketoimintajohdon väliltä, mutta jakolinjoja löytyy paljon enemmän. Useasti kuitenkin näyttää siltä, että tekniikan ekspertit ovat ainakin se toinen osapuoli. Ellei molemmat. Harjoittelu, henkilökohtainen kokemus ja yhteyshenkilöiden käyttö vähentävät tulkintaongelmia. Kyberuhkien jatkuva muuntautuminen toisaalta lisäävät niitä.

Viestinnän merkitys näkyy myös kyberturvallisuusprosesseissa. Esimerkiksi GDPR määrittää monella tavalla oikeita toimintatapoja. Vaikka lainsäädäntö ei toimintaa rajaisi, prosessit halutaan pitää ryhdissä. Toimiakseen prosessien itsensä tulee olla selkeitä, kaikille jo aiemmin kerrottuja ja harjoitettuja. Kassakaappiin piilotettu suunnitelma ei ehdi hädän hetkellä kätköstään kentälle.

Kyberuhkat moninaistuvat teknologiamyllerryksessä, mikä voi heittää vanhat prosessit ja toimintamallit sekä käytännölliset viitekehykset roskakoriin ajastaan jälkeenjääneinä. Toisaalta, jos vanhoihin toimintatapoihin vain lisätään uusia palasia, niin ovatko ne enää tehokkaita. Jos prosessit ovat monimutkaisia ja moniselitteisiä, niin ne pysäyttävät toiminnan tai pistävät ihmiset juoksemaan eri suuntiin. Prosessista on siis voitava kommunikoida, ja sen on otettava huomioon kommunikaatio työkaluna. Esimerkkinä selkeästi ja aikaa kestävästä varautumisen viitekehyksestä on yhteiskunnan turvallisuusstrategia.

Viestijöinä ihmiset ja koneet

Rattaista kolmas, teknologia, on myös sidoksissa viestintään. Teknologia on kyberturvallisuuden perusta, ja se on myös tehokkaan, paikkarajat ylittävän viestinnän edellytys. Työkalujen kehittämisessä on huomioitava ihmisten rajoitteet. Esimerkiksi valvomoiden tai tilannekuvan kehittämisessä on pohdittava, kuinka asiantuntija käsittää näkemänsä.

Teknologian kehityksen vuoksi viestintä on yhä useammin koneiden keskinäistä toimintaa, mikä ei sekään poista riskiä siitä, että tärkeät ja oikeat sanomat eivät päädy oikeisiin paikkoihin. Jouni Pöyhönen väitöskirjassaan (2020) esittää tiedonjakamista kyberturvallisuuden johtamista käsittelevässä väitöksessään: ”Osa sairaalan datasta on pirstaloitunut erillisiin järjestelmiin, mikä luo haasteita sen keskitettyyn jakamiseen tai analysointiin. Toisaalta osa tietolähteistä, kuten potilas-, ja perimätietojärjestelmät muodostavat jo lähtökohdiltaan yhtenäisen data-alustan… Toimintaan kytkeytyvät myös kyberturvallisuuden kyvykkyydet, ihmiset, prosessit ja teknologiat, ja niiden toiminnan kehittäminen osana sairaalan turvallista toimintaa.”

Viestinnällä on siis suuri merkitys kyberturvallisuuden peruselementtien – ihminen, prosessit, teknologia – sisällä ja niiden välillä. Viestintä on kaikkialla, mutta harvemmin kuskin paikalla.

Viestintään liittyviä kyberin hallinnan ongelmia ja korjaustoimenpiteitä:

  1. Ammattikielten erilaisuus vaikeuttaa ymmärtämistä – harjoittelu, henkilökohtainen kokemus, käyttäminen yhteyshenkilöitä
  2. Etätyöskentely tai muut toimintatavat vaikeuttavat kommunikointia / viesti ei mene perille – sisäisen viestinnän analyysi ja tulosten perusteella toimenpiteet
  3. Lainsäädännön ja muiden normien vaikutus prosesseihin
  4. Kyberturvallisuuskulttuurin ongelmat – asian merkityksestä kertominen ja korjaaminen lähtee ylimmästä johdosta
  5. Kassakaappisuunnitelmat eivät ole tiedossa – harjoitellaan ja tehdään normaaleista prosesseista jo turvallisempia
  6. Prosessit ovat monimutkaisia – harjoitellaan, prosesseja päivitetään säännöllisesti ja hyödynnetään ulkopuolisia tekijöitä ja lukijoita
  7. Prosessit vanhenevat – prosesseja päivitetään ja käytetään yleisempiä, sopeutuvaisempia viitekehyksiä
  8. Viestintäteknologia ei ole käyttäjäystävällistä – suunnittelun tulisi olla monitieteistä ja käyttäjäkunnan osallistavaa
  9. Koneiden välinen viestintä on sirpaloitunutta, muuttuvaa ja monimuotoista – turvallinen tuotanto ohjelmoinnissa

Lähetä palautetta (antti.sillanpaa@linkitin.fi), niin pidennetään listaa yhdessä.

Lisää aiheesta tai sen liepeiltä:

Jouni Pöyhönen 2020: Kyberturvallisuuden johtaminen ja kehittäminen osana kriittisen infrastruktuurin organisaation toimintaa

https://jyx.jyu.fi/handle/123456789/71395

https://turvallisuuskomitea.fi/yhteiskunnan-turvallisuusstrategia/

https://www.computerweekly.com/opinion/Security-Think-Tank-Communication-processes-and-tech-a-new-beginning-for-security

https://www.cfo.com/cyber-security-technology/2019/08/overcoming-cybersecurity-communications-barriers/

https://securityintelligence.com/these-four-communication-tips-could-improve-your-cybersecurity-reporting/ https://www.cyberwatchfinland.fi/

Organisaatiosi on muurahaiskeko – järjestyksestä ei tietoakaan

Pointtini: Organisaatiokaaviot kuvaavat vastuita, eivät toimintaa

En tiedä ajattelinko vai menikö fiilispohjalta: tapoin luontokappaleita taas turhaan. Väkivalta ei ollut kuitenkaan oikea ratkaisu kiukkua aiheuttaneeseen ongelmaani. Muurahaiset valtaavat ajoittain reitin mökillemme. Ja reitin ulko-ovelta keittiöön. Ja saunalle.

Muurahaisten yhteiskunnat ovat järjestäytyneitä tavalla, jota emme näe, emmekä täysin tunnekaan. Muurahaiset eivät ole esittäneet Powerpoint-esityksiä organisaatiokaavioistaan. Ainakaan niillä eivät toimi vanhat nyrkkisäännöt, että pomolla tulisi olla enimmillään alle kymmenen suoraa alaista. Muurahaisten maailmassa kaverit paikkaavat nopeasti, jos itse katoaa systeemistä pois. Vaikkapa mökinomistajan kengänpohjaan.

Ihmisten piirtämissä organisaatiokaavioissa on monta tasoa ja monta laatikkoa. Viestit kulkevat erityisen hyvin ylhäältä alas. Jotenkin myös alhaalta ylös. Ehkäpä myös laatikoista viereisiin laatikoihin. Mutta organisaatio on piirretty väärin! Onneksi meille kaikille.

Muurahaisten suurissa yhdyskunnissa roolit ovat selvät ilman organisaatiokaavioita
Hierarkisetkin organisaatiot muuttuvat tarvittaessa tai ainakin pakon edessä. Sotaväki marssii näin ryhdikkäästi ja tiukassa muodossa vain paraatissa. Toden tullen toiminta määrää etenemisen muodon.

Meillä on olemassa viralliset organisaatiokaaviot. Ne eivät kerro niinkään toiminnasta vaan enemmänkin vastuista. Virkamieskokemuksellani näen, että erityisesti isoissa organisaatioissa ja julkisella sektorilla usein ajatellaan enemmän vastuita kuin toimintaa. Voi olla perusteltua, että jotkut asiat eivät käynnisty tai etene, jos mandaatti ei ole selkeä. Yhteisiä rahoja käyttävät toimijat joutuvat olemaan tässä hyvin tarkkoja. Toisissa tilanteissa organisaatio takertuu kaavioihinsa, mutta se onkin vastuunpakoilua. Täydellistä vastausta ei ole.

Organisaatiolaatikot ovat liian rajattuja

Organisaatio ja sen jäsenet eivät pysy ahtaissa rajoissaan. Ihmiset viestivät toisilleen, harvemmin laatikoille. Tämä kommunikaatiosta syntyvä verkosto on monella tavalla todellisempi. Asiat syntyvät vaihdannassa, henkilöt jakavat tietoa, pyytävät jotain, kertovat tunteistaan, antavat käskyjä.

Sanojen ja ajatusten vaihtokaupassa suhteet tiivistyvät entisestään. Kiitollisuudenvelka tai muisto aiemmasta vaihtokaupasta vaikuttavat seuraavaan transaktioon. Kommunikaatioverkostot näyttävät, missä yhteydet tiivistyvät, ja missä ne katkeavat. (Sosiaalisen verkostojen analyysissä löydetään ja etsitään näitä yhteyksiä. Uusi katsaus verkostoanalyysiin ja -ohjelmistoihin arviointi mm. David Camacho ym. (2020): https://arxiv.org/pdf/2002.09485.pdf.)

Toiminnassa suhteet vahvistuvat tai heikkenevät, mikä on jälleen suuri ero perinteiseen kaaviopiirrokseen. Niissähän yksi viiva pyrkii kertomaan, että laatikoiden välillä on yhteys. Jos ei ole viivaa, niin sen kai pitäisi tarkoittaa, että ei ole yhteyttä. Onneksi menee taas väärin!

Ohessa esimerkkejä, milloin viestintä ei tavoita johdonmukaisesti organisaatiosi kaikkia kulmia:

  1. Sama osasto/alue toistuvasti puuttuu samaan asiaan
  2. Sama osasto/alue jää toistuvasti toiminnosta syrjään tai huomauttaa huonosta viestinkulusta
  3. Jonkun osaston henkilöt tuovat toistuvasti kokonaisuuteen sopimattomia tai ainoastaan itselleen sopivia seikkoja
  4. Esimiesten ja henkilöstön tai eri ryhmien välinen yhteistyö ei toimi sujuvasti etätyöskentelyssä, vaikka siinä ei ollut ongelmia ennen

Toisaalta ongelmia ratkovat usein viestinnän supersuorittajat, organisaatioiden sisäiset vaikuttajat. Kommunikaation solmukohdat ovat usein arvattavissa muodollisestakin hierarkiasta, mutta aktiivinen viestinvieminen edellyttää omaa panosta ja ominaisuuksia. Nämä influensserit eivät ole välttämättä yksilöitä, vaan ne voivat olla myös aktiivisten henkilöiden yksiköitä. Näistä menestystekijöistä lisää toisessa kirjoituksessani.

Viestintäverkostojen tutkiminen

Kaksi eri todellisuutta – organisaatio ja viestinnän verkosto – voivat toimia yhteen, mutta erot tulee tuntea ja ymmärtää.

Kommunikaatioverkostoja voidaan tutkia esimerkiksi kyselyillä tai selvittämällä automatisoidusti, mitä oikeasti tapahtuu. Ensin mainitussa henkilöiltä kysytään viestinnän kohteista tai sisällöistä. Osallistuminen on vapaaehtoista, ja näitä on tehty menestyksellä pitkään. Kyselyiden ongelmana on, että ihmisillä voi olla väärä käsitys omasta toiminnasta ja arviot ovat karkeita.

Toisaalta automatisoitu valvonta törmää yksityisyyden rajoihin. Maailmalta löytyy kuitenkin kaupallisia sovelluksia, jotka etsivät yhteyksiä sähköpostikommunikaatiosta tai jopa kävelyreiteistä konttorilla (lähde). Jälkimmäisten periaate on kuin koronasovelluksessa. Laitteet tietävät toistensa läheisyydestä mutta eivät välineen kantajan henkilöllisyyttä. Anonymiteetin suojaamiseen on löydetty ratkaisuja, mikä ei poista tunnetta kyttäävästä koneistosta.

Uusia lähestymistapoja kehitetään, myös yrityksessämme. Linkitin Oy analysoi viestinnän pulmapaikkoja ja supersuorituksia. Väitteemme on, että ongelma-alueita kartoittamalle sujuvoitamme organisaatioiden arkea. Se parantaa sekä työhyvinvointia että päätösten läpimenoaikoja.

Palataan vielä siihen muurahaispesään. Yksittäisen muurahaisen siirtämisessä ei ole mitään mieltä. Enkä pysty puuttumaan yksilöiden väliseen vuorovaikutukseen, koska en saa dataa muurahaisten keskinäisestä toiminnasta ja omakin kielitaitoni on huono. Helppoja keinoja ei siis ole, vaan on puututtava rakenteisiin, jotta niiden vuorovaikutus ja hierarkia siirtyvät mökistä kauemmaksi. Muurahaispesän siirto on siis mökillä tiedossa, Raid jää kaappiin.

Moka on mahdollisuus

Pointtini: uskalla viestiä

Olin aikoinani uutistuottajana televisiossa. Loistohomma! Tunsin olevani tärkeiden asioiden lähellä. Pääsin tyydyttämään yleisön tiedonnälkää omalta osaltani. Tilanteet muuttuivat ja vauhti tuntui jännittävältä. Kova vauhti johti myös virheisiin, jotka tietysti harmittivat. En tiedä lohdutinko enempi itseäni kuin muita tokaisemalla: ”Huomenna on jälleen uusi päivä – tehdä virheitä.”

Pyritkö sinä täydellisyyteen? Tämä tapahtuu usein sanojen tasolla, mutta todellisuudessa teot jäävät vaillinaiseksi. Suoritus jää vajaaksi, mikä tietysti harmittaa. Sen verran yritystä ehkä on, että voidaan hieman hurjemmin vaatia muiltakin.

Johtajilta vaadimme helposti täydellisyyttä, vaikka eihän siitäkään mitään tule. Erityisesti julkisuuden henkilöiden ja oman pomoportaan vajavaisuuksista revitään niin huumoria kuin hiuksia päästä.

Jotkut – mutta onneksi harvemmat kuin mediajulkisuuden perusteella voitaisiin päätellä – todella panostavat 100%:n suorituksiin. Vaatimustaso on heillä hurja. Onnistumiset voivat seurata toisiaan, koska elämä on asetettu tavoitteiden mukaisesti. Vaikka mitattavissa kohdissa onnistumisia tulisikin, ongelmat voivat ilmaantua muualla. Tämä on kolmas klappi onnistumisten ja tavoitteiden välillä.

Mahdottomia vastaan ei kannata taistella. Jos menee pieleen vaikka kunnolla yritti, niin sitten menee. Moka on mahdollisuus.

Pyrkimys epätäydellisyyteen voi tuoda parempia tuloksia kuin pyrkimys täydellisyyteen. (Olen ensimmäisestä kokemusasiantuntija, mutta tunnen käsitteenä tuon toisenkin.) Täydellisyyden tavoittelu jarruttaa vauhtia ja jopa pysäyttää etenemisen. Mikäli tavoitteet ovat korkealla, mutta sinne edetään reippaasti, voidaan päästä pitkälle. Tärkeää on tässä epätäydellisellä matkalla olla mieli avoimena uuden oppimiselle.

Yksilötasolla epäonnistumisen voiman kiteytti koripallon supertähti Michael Jordan “Olen heittänyt ohi 9000 kertaa urallani. Olen hävinnyt lähes 300 ottelua. 26 kertaa minun piti heittää voittava kori, mutta heitin ohi. Olen elämässäni mokannut uudelleen, uudelleen ja uudelleen. Siksi menestyn.” ¹

Työssä oppiminen on usein sitä, että ei tee samaa virhettä uudelleen. Kannattaa siis tehdä uusia virheitä, ei vanhoja. Opimme eniten, kun uusissa ja epätäydellisissä tilanteissa teemme virheitä, jotka eivät kuitenkaan koettele liikaa. Epäonnistumisten tulisi tapahtua siten turvallisessa ympäristössä. Ensilinjassa toimivat pelastajat tai vaikkapa synnytyksessä oleva kätilö ovat henkilöitä, joiden yksittäinen teko voi ratkaista elämän tai kuoleman. Mutta yleensä näin ei ole.

Useimmat työyhteisöt ovat sellaisia, joissa yksittäinen virhe ei aiheuta merkittäviä ongelmia. Vasta virheiden kasaantuminen aiheuttaa todellisia tuhoja ja tappiota. Tuho on monen tekijän summa, ja tilanne on usein vielä pitkään muhinut.

Riittävän hyvää onnistumista riittävän usein

Me emme tarvitse yrityssankareita, vaan hyvin toimivia yksilöiden verkostoja. Henkilöt tietävät mihin suuntaan organisaatio tai työryhmä on menossa, ja itse omilla toimillaan edesauttavat sitä. Yksilöiden välinen viestintä tavoittaa kohteensa riittävän nopeasti.

Kaikkea ei siis tarvitse korjata. Menestys syntyy, kun tarpeeksi hyvä onnistuminen jatkuu kerta toisensa jälkeen. Pieleen menneet asiat olisivat usein korjaantuneet paremmalla viestinnällä ja yhteisellä ymmärryksellä. Ja jos menee pieleen, kannattaa siitäkin viestiä nopeasti ja kattavasti.

Tässä auttavat Linkitin Oy:n uudenlaiset palvelut organisaatioiden johdolle ja henkilöstöhallinnolle. Haluan tukea päätösten läpimenoa, tehokkuutta ja henkilöstön hyvinvointia verkostoanalyysin keinoin. Vuodet journalismin ja tutkimuksen parissa sekä virkamiestehtävät loivat pohjan, jolle tätä palvelua rakennetaan. Sloganimme ”Työkaveria ei jätetä” kuvaa sitä, että ryhmä saa parhaan tuloksen, kun kaikki ovat mukana. Jokainen meistä soutaa samaa venettä, vaikka joskus töppäillenkin.

Meillä on pian tulossa testivaiheeseen palvelu, jossa analysoimme viestinnän toimivuutta. Etätyötä tai hajautettua työtä tekevä organisaatio saa kuvan siitä, miten viestintä etenee. Pilottiorganisaation näkökulmasta tuote on hyvinkin valmis, mutta palvelun tuottaminen vaatii enemmän käsityötä meidän puoleltamme. Pilottiyritykset saavat valmiin tuotteen 50%:n alennuksella valmiiseen palveluun verrattuna. Tätä kirjoittaessa meillä on vielä mahdollisuus ottaa kaksi organisaatiota mukaan. Tarjous päättyy pilottien päätyttyä.

Jos kiinnostaa, laita viestiä antti.sillanpaa@linkitin.fi tai soita.

¹) https://www.youtube.com/watch?v=GuXZFQKKF7A