Samuli Bergström, johtaja, Turvallisuus ja Riskienhallinta, Verohallinto.
Vuoden Tietoturvapäällikkö® 2021. Samuli Bergström, johtaja, Turvallisuus ja Riskienhallinta, Verohallinto. Kuva: Nina Kaverinen

CISOn muuttuva rooli

Verohallinnossa on CISOn rooli onnistuneesti siirretty jarrumiehestä luotsiksi, eli tukemaan digitalisaatiota, aidosti samalle puolelle kehittäjien kanssa. CISOn roolin muuttui vanhasta ”vastustajasta” aidosti mahdollistajaksi.

Tilannetietoisuuden rakentaminen ja kehittäminen on mahdollistanut paitsi yleisen tietoturvallisuuden paremman hallinnan myös täsmällisemmän puuttumisen heikompiin kontrolleihin ja toimivampien kontrollien kehittämisen. Hyvä tilannetietoisuus on myös elinehto, jotta turvallisuustoiminto voi vastata ketterän kehittämisen nopeus- ja tehokkuusvaatimuksiin.

Riskienhallintanäkökulma on tuonut tietoturvallisuuden kehittämiseen paremmin mukaan liiketoiminnan kielen: On luontevaa keskustella konkreettisten riskienhallinnan esimerkkien kautta ja tätä kautta kaikki ymmärtävät, ettei tietoturvaa kehitetä vain itsensä vuoksi.

Sellaiset CISOt, jotka eivät lähde siihen mahdollistaja-porukkaan mukaan, heistä tulee vähitellen jotain yksittäisen asioiden, kuten palomuurin vartijoita, vanha roolikuva tulee pikkuhiljaa kuihtumaan. Tulevaisuudessa sellaisten CISOjen, jotka kykenevät kasvamaan aidoiksi mahdollistajiksi, roolit tulevat väistämättä kasvamaan. Kyberturvallisuus tulee ainakin tietyillä aloilla nousemaan niin kriittiseksi resurssiksi, että tietoturvajohtajasta tulee aidosti johtoryhmän jäseniä, kuten Verossa.

CISOn toimenkuvan paisuminen näyttää ilmeiseltä. Siihen kytkettäneen muita toimintoja, kuten tietosuojan hallintaa sekä riskienhallintaa isommassa kuvassa.  Jos katsomme isoja korporaatioita, niillähän strategisissa riskeissä käytännössä on, tai ainakin pitäisi olla, mukana kyberriskit, mikäli organisaatio millään tasolla tekee digitalisaatiota. Hyvin todennäköisesti, kun tämä ”maailma kasvaa” ja isompien esimerkkejä omaksutaan, myös jättikorporaatioita pienemmillä tekijöillä tästä seuraa luonnollisesti, että CISOn rooli tulee kasvamaan strategisemmaksi myös yleisemmällä tasolla.

Tällä hetkellä on vielä nähtävissä, kuinka oman ammattikuntamme sisällä osa CISO-toimijoista mystifioi tarkoituksella toimintaa ja ”puhuu palomuuria” ja salamyhkäistä it-kieltä, kun aidosti liiketoimintaa hyödyttääkseen tulisi 1900-lukulaisesta ”kaiken kieltäjän” roolista vihdoin luopua ja kyetä nousemaan aidosti johtamaan liiketoiminnan mahdollistamista, keskustelemaan oikeista toimintamalleista ja työkaluista riskienhallinnan näkökulmasta.

Teksti: Tomi Marttinen


TIVIA News on TIVIAn jäsenlehti, jonka ensimmäinen numero ilmestyi kesäkuussa 2016. Lehti ilmestyy myös osana painettua Tivi-lehteä.

TIVIA Newsin artikkelit julkaistaan myös digitaalisina versioina TIVIAn verkkosivustolla, jossa ne ovat myös vapaasti luettavissa. Lisäksi TIVIA Newsin digitaalinen näköislehti on vapaasti luettavissa TIVIAn verkkosivustolla.