Pirkka Rannikko

Pirkka Rannikko

UX and Service Design

pirkka.rannikko@vincit.fi

TwitterLinkedIn

Edellisessä ihmiskeskeistä tietoturvallisuuden hallintaa käsittelevässä blogissa heitin ilmoille ajatuksen siitä, että muotoiluajattelua ja palvelumuotoilun menetelmiä voisi hyödyntää tietoturvallisuuden hallinnan kehittämisessä. Palveluiden ja tuotteiden kehityksessä muotoilun hyödyntäminen on tietysti arkipäivää, mutta niiden taustalla olevat liiketoimintaprosessit, toimintatavat ja tietoturvallisuuden hallintakeinot voisivat yhtä lailla olla ihmiskeskeisen muotoilun kohteita.

Tässä jatko-osassa esittelen pari eri kanvaasia (vertaa esim. Lean Canvas), joista voi olla apua tietoturvallisuuden kehittämisen käynnistämisessä ihmiskeskeisesti. Ensimmäinen soveltuu projektin alkukartoitukseen eli sen määrittelyyn mitä ollaan tekemässä ja missä ollaan nyt. Toinen taas pyrkii pureutumaan ihmiseen tietoturvallisuuden hallinnan keskellä. Millainen se heikoin lenkki on tällä kertaa ja miten sitä voitaisiin vahvistaa?

Ihmiskeskeisen tietoturvallisuuden hallinnan kehittämisprosessi

Kaikki projektit alkavat jonkinlaisella määrittelyllä. Mikä on tavoite tai vaikuttavuus johon pyritään? Miten sitä mitataan? Millaisen hiekkalaatikon reunojen sisällä tähän pyritään eli mikä on projektin rajaus? Mitä tietoa meillä on aiheesta jo nyt ja mistä asioista tiedämme tarvitsevamme lisää tietoa? Ja niin edelleen.

Alun määrittelyn jälkeen projekti voisi edetä esimerkiksi alla listatuin askelmerkein ja siitä soveltaen muotoutua muun liiketoiminnan ohella tapahtuvaksi jatkuvaksi kehittämisprosessiksi.

  1. Etsitään se kuuluisa joku, eli operatiivinen omistaja kehitystyölle, ja saatetaan hänet tehtävänsä tasalle. Mielestäni tätä tehtävää ei voi ulkoistaa organisaation ulkopuolelle. Jos turvallisuuskulttuurin halutaan kehittyvän, tulee ohjasten olla tiukasti omissa käsissä. Osaamista ja apua toki kannattaa hankkia ulkoa mahdollisuuksien mukaan.
  2. Suunnitellaan miten tehdään, ketä tekemiseen tarvitaan mukaan ja mitkä ovat sopivia tapoja osallistaa ihmisiä heidän ehdoillaan. Luodaan kehitysjono eli ns. backlog.
  3. Laajennetaan ymmärrystä nykytilasta haastattelemalla valittuja henkilöitä ja pyritään hahmottamaan kehitystyön kontekstia, ihmisten tarpeita, kehityskohteita, kehittämisen haasteita jne.
  4. Puretaan haastatteluiden antia, tunnistetaan kehityskohteita ja listataan työtä kehitysjonoon.
  5. Kutsutaan ihmiset koolle ja yhdessä tunnistetaan suojattava omaisuus (eli missä tieto asuu), siihen kohdistuvat riskit ja arvioidaan ne organisaation olemassa olevan riskien hallintamallin avulla. Jos mallia ei ole, niin otetaan sellainen käyttöön esim. ISO27005 standardin viitoittamana.
  6. Jatketaan yhdessä riskien käsittelyllä eli suunnitellaan ja sovitaan keinoista, joilla riskejä pyritään hallitsemaan. Listataan työtä kehitysjonoon.
  7. Toteutetaan hallintakeinoja sovitussa prioriteettijärjestyksessä. Järjestykseen voi mm. vaikuttaa riskitaso (matala-korkea), hallintakeinon toteutukseen vaadittava aika/raha/muu investointi (ei kannata investoida enempää, kuin mitä riskin toteutumisesta johtuvat vahingot voivat olla), käyttöönoton helppous ja ihmisten hyväksyntä, riippuvuudet muuhun tekemiseen jne. jne.
  8. Toteutetaan ratkaisuita/hallintakeinoja siten, että kerätään ihmisiltä lisää tietoa heidän tarpeistaan, otetaan heidät mukaan ratkaisuiden suunnitteluun ja testataan ratkaisuita heidän avullaan. Iteroidaan palautteen perusteella.
  9. Arvioidaan kehitysprosessin ja hallintakeinojen toimintaa ja vaikuttavuutta säännöllisesti mm. retrospektiiveissä. Listataan työtä kehitysjonoon.
  10. Toistetaan kohdasta #5. Uudestaan ja uudestaan.

Lähtötilanteen selkeytys

Suunnittelijan tärkein työkalu ovat hyvät kysymykset (ja tietysti nykytilan kyseenalaistaminen). Kun lähtötilannetta selkeytetään mm. kysymysten avulla erilaisissa ja -tasoisissa keskusteluissa eri ihmisten kanssa, tulee monimutkaisen asian äärellä äkkiä tarve muistin tuelle, tiedon jäsentämiselle sekä sen jakamiselle. Käytiin keskusteluita sitten kahden kesken tai samanaikaisesti isommalla porukalla esim. työpajoissa, on kanvaaseista suuri apu mainittuihin tarpeisiin. Ne toimivat ikään kuin pohjapiirroksena, jonka avulla suunnistaa eteenpäin.

Seuraava kanvaasi voi auttaa projektin alkukartoituksessa. Sitä voi käyttää pelkästään haastattelurunkona keskusteluiden tukena tai täyttää ryhmäharjoituksena työpajassa. Suurin hyöty kuitenkin saavutetaan sillä, että kertaalleen täytetty kanvaasi löytää tiensä näkyvälle paikalle, esim. toimiston seinälle tai projektin digitaalisen työtilan etusivulle, jonka äärelle on helppo kokoontua pällistelemään, ajattelemaan ja iteroimaan suunnitelmia.

Kanvaasi tietoturvallisuuden kehittämisen alkukartoitukseen

Ihmiskeskeisen tietoturvallisuuden hallinnan kehittämisen lähtöselvitys.

Millainen on heikoin lenkki?

Kaikki suunnittelijat ja tuotekehittäjät tietävät, että käyttökelpoisen, käyttäjilleen sopivan ja heidän arkeen tarttuvan ratkaisun suunnittelu on haastavaa. Erityisen vaikeaa siitä tekee, jos emme tiedä kuka ratkaisua tulee käyttämään ja mitkä ovat hänen tarpeensa ja konteksti missä ratkaisua tullaan käyttämään.

Jälleen tarvitaan hyviä kysymyksiä, jotta saamme kerättyä tietoa ihmisiltä heidän työstään ja siihen liittyvistä tietoturvanäkökulmista. Empatiakartta on oiva työkalu, jota voi käyttää haastatteluiden tukena ja niistä opitun jakamiseen.

Empatiakarttaa soveltaen hahmottelin toisen kanvaasin, joka pyrkii pureutumaan ihmisen rooliin tietoturvallisuuden hallinnan keskellä. Millainen se heikoin lenkki on tällä kertaa ja miten sitä voitaisiin vahvistaa?

Käytä kanvaasia haastatteluiden tukena. Voit esimerkiksi koota yhdestä roolista tai toimenkuvasta kerätyt tiedon yhdelle kanvaasille ja purkaa löydökset porukalla työpajassa. Empatiakartan äärelle kannattaa palata uudestaan ja uudestaan, kun opitte ihmisistä lisää tai kun tarvitsee palauttaa mieleen, että millaisia ne ihmiset ovat joiden työhön suunniteltu hallintakeino tai tietoturvaratkaisu tulee vaikuttamaan.

Kanvaasi ihmisen roolin selkeytykseen osana tietoturvallisuuden hallintaa

Ihminen tietoturvallisuuden hallinnan keskiössä.

Loppuun

En ole itse vielä päässyt testaamaan kanvaaseja käytännössä. Jos uskallat kokeilla, niin olisin kiitollinen kuulemaan kokemuksia ja palautetta. Oliko niistä tukea ajatteluun, vuorovaikutukseen ja yhdessä kehittämiseen?

Toivon, että edes pieni ajatuksen kipinä tarttuu näistä mietteistä teihin muihin digipalveluiden parissa työskenteleviin, jotka satutte jutun lukemaan.

Ihmiskeskeiseen tietoturvallisuuden hallintaan voi ottaa askeleen syvemmälle esim. lukemalla seuraavat pari ajatuksia herättävää teosta:

Kuvassa tekstissä suositellut kirjat

Missä kunnossa oman yrityksesi tietoturva on? Nyt on hyvä hetki selvittää miten tietoturvallisuus on teillä hallinnassa. Jotta huominen ei pelottaisi, tarjoamme ilmaisen tietoturvakonsultoinnin yrityksille, joita mietityttää oman järjestelmän haavoittuvaisuus. Jos kiinnostuit, laita meille sähköpostia osoitteeseen: tietoturva@vincit.fi.

Tykkäsitkö artikkelista?

Anna pienet aplodit!