Etätyö ja tietoturva

Monissa organisaatioissa etätyö on jo pitkään ollut tavanomainen tapa tehdä työtä. Osalle etätyö on pääsääntöinen tapa työskennellä, kun taas osalla meistä ei ole vieläkään mahdollisuutta siihen. Ja tähän väliin mahtuu vielä monia variaatiota.

Etätyö ei ole enää pitkään aikaan ollut poikkeus, ja olenkin miettinyt, onko termi ehkä jo vanhentumassa. Onko erityisen merkityksellistä, että henkilö on ”etänä”, omalla työpisteellään toimistossa tai mahdollisesti asiakkaan luona? Jos henkilö työskentelee itsenäisesti esimerkiksi projektin parissa, on hän joka tapauksessa vaikeasti häirittävissä riippumatta henkilön fyysisestä sijainnista. Jos henkilö osallistuu kokoukseen, henkinen läsnäolo ja valmistautuminen eivät ole riippuvaisia henkilön fyysisestä sijainnista.

Edelleen on monia tilanteita, joissa fyysinen läsnäolo on välttämätöntä, tai se ainakin tuo lisäarvoa työskentelyyn. En siis osaa nähdä vielä tilannetta, missä toimistot häviäisivät ja kaikki toimistotyö siirtyisi ihmisten koteihin ja mökeille. Sen sijaan keskustelu etätyön erityisyydestä on mielestäni aikansa elänyttä. Vaikka monet myyjät ovat viettäneet merkittävän osan työajastaan aina asiakkaiden luona, emme ole pohtineet, voiko myyjä mennä asiakkaan luokse myyntikäynnilleen. Näissä tilanteissa on tyypillisesti luotettu siihen, että myyjä kykenee itse valitsemaan kulloiseenkin tilanteeseen tarkoituksenmukaisimman tavan työskennellä.

Samaan aikaan, kun etätyö arkipäiväistyy tai on jo arkipäiväistynyt, meidän on otettava tämä entistä paremmin huomioon yrityksen käytännöissä.

Yritysten käytännöt ja teknologia kehittyvät eri tahtiin

Teknologia etätyöhön on ollut olemassa jo pitkään. Toki teknologia kehittyy edelleen, mutta ainakin viimeiset kymmenen vuotta etätyön tekeminen on ollut suurin piirtein yhtä helppoa kuin se on nyt. Yhtään erityisen suurta ja mullistavaa innovaatiota ei tänä aikana ole tapahtunut. Sen sijaan ohjelmistot ovat kehittyneet nopeasti: yhä useammat ohjelmistot toimivat selaimessa ja yhä harvempi sovellus edellyttää yritykseltä erityisiä järjestelyitä, jotta sen käyttö olisi mahdollista etätyössä. Ohjelmistot ovat muuttuneet intuitiivisemmiksi, ja niiden suunnittelussa on huomioitu ohjelmistojen käyttö myös muillakin laitteilla kuin tietokoneella. Myös ohjelmistojen versiopäivitysten tahti on nopeutunut merkittävästi.

Kirjoitan tätä kirjoitusta tänään 2.9.2020 samalla etätyön mahdollistavalla teknologialla kuin mitä käytin jo vuonna 2010. Ratkaisu on päivittynyt tässä ajassa monia kertoja, mutta lähtökohdat eivät ole muuttuneet. Aloitin kirjoittamisen toimistolla ja olen jatkanut sitä kotona, eikä tässä ole tänä päivänä enää mitään ihmeellistä.

Käyttäjien ja yritysten halut sekä kyvyt kehittyvät hitaammin kuin teknologia. Monissakaan organisaatioissa ei ollut teknistä osaamista, halua tai käytäntöjä etätyön mahdollistamiseksi. Meillä ei useinkaan ole ollut edes visiota siitä, että tämä asia koskettaisi meitä nyt tai edes tulevaisuudessa. Suuri osa sekä yrityksistä että henkilöistä on alkanut kypsymään etätyölle vasta paljon myöhemmin.

Suurella osalla yrityksistä ei ole käytäntöjä etätyöhön, jolloin kokemukset ja käytännöt etätyöstä voivat vaihdella hyvinkin paljon henkilöiden välillä. Me laadimme töissä etätyöohjeistuksen jo useita vuosia sitten. Me olemme teknologiayhtiö ja meidän liiketoimintamme on tarjota asiakkaille etätyöratkaisuja. Mihin me siis tarvitsimme tämän kaltaista ohjeistusta?

Suurella osalla yrityksistä ei ole käytäntöjä etätyöhön, jolloin kokemukset ja käytännöt etätyöstä voivat vaihdella hyvinkin paljon henkilöiden välillä.

Meidän ei ole tarvinnut juurikaan käyttää resursseja teknisten valmiuksien lisäämiseen. Sen sijaan tarvetta on ollut käydä yhdessä läpi etätyön työskentelykäytäntöjä. Voiko luottamuksellisia puhelinkeskusteluja käydä esimerkiksi ruuhkabussissa? Voiko henkilö käyttää työn tekemiseen kaikkia henkilökohtaisia älylaitteitaan samoin, kun hän on tottunut käyttämään työnantajan älylaitteita? Miten työskentely onnistuu junassa läppäri sylissä, kun vieressä tai takana on muita ihmisiä ja tietokoneen ruudulla on luottamuksellista tietoa? Miten henkilöiden pitäisi olla tavoitettavissa työskennellessään etänä?

Tietoturva käytännössä

Tietoturvassa on osittain kyse teknologiasta, mutta lopulta kyse on ennen muuta yrityksen käytännöistä. Jos hyvän tietoturvatason saavuttaminen onnistuisi vain hyvän ohjelmiston ostolla, meillä ei olisi tietoturvaongelmia nykyisessä laajuudessa.

Olemme valmistautuneet yrityksessämme ISO27001-tietoturvasertifiointiin pari vuotta. Meillä on ollut kaikki tekniset menetelmät riittävällä tasolla, joten niiden puolesta olisimme olleet valmiit sertifioitumaan jo vuosi sitten. Sen sijaan käytäntöjen määrittäminen, dokumentointi, kouluttaminen ja jatkuva arviointi ovat olleet asioita, joita olemme parisen vuotta aktiivisesti kehittäneet. Sisäinen auditointi suoritettiin ulkopuolisen arvioitsijan toimesta keväällä ja sen perusteella oma uskoni on vahvistunut siitä, että parin vuoden työ tämän hankkeen ympärillä ei ole mennyt hukkaan.

Tietoturvassa on osittain kyse teknologiasta, mutta lopulta kyse on ennen muuta yrityksen käytännöistä.

Toimistolla laitteet ovat tyypillisesti lukituissa tiloissa siten, että ulkopuolisilla ei ole laitteille pääsyä. Kotona sen sijaan perheenjäsenet, tuttavat ja sukulaiset muodostavat joukon, joka on syytä ottaa tietoturvamielessä huomioon.

Paperi ei vielä ole kokonaan hävinnyt keskuudestamme. Toimistolla meillä paperit ovat yleensä hyvin piilossa ulkopuolisten katseelta, mutta kotona näin ei useinkaan ole. Siinä missä toimistolla luottamukselliset keskustelut on pääsääntöisesti helppo käydä ilman ulkopuolisia korvia, etätyössä tämä ei aina ole yhtä helppoa. Monilla meillä on kotonamme käytössä moderneja älylaitteita, eikä ole poikkeuksellista, että kotiin hankitut laitteet ovat nykyaikaisempia kuin työpaikan tarjoamat laitteet. Voidaanko näitä laitteita käyttää tietoturvallisesti etätyöskentelyssä? Jossain tilanteissa myös yksinkertaiselta kuulostavat varmistukset saattavat vaatia huomiointia käytännössä esimerkiksi siinä tilanteessa, jos käyttäjän siirrettäville laitteille joudutaan tallentamaan tietoa. Entä miten on huomioitu tiedon tai laitteiden salaus, jos jokin laite tai tieto kaikesta huolimatta päätyisi vääriin käsiin?

Teknisesti tietoturvan hoitamiseen on saatavilla helposti palveluita. Yhtä oleellista kuitenkin on, että henkilöt tuntevat yrityksen käytännöt ja osaavat toimia niiden mukaisesti. Tietoturvaan liittyvää osaamista voi ja usein myös kannattaa ostaa ulkopuolisilta asiantuntijoilta. Kokonaisuutena tietoturvaa yritys ei kuitenkaan voi ulkoistaa, sillä tietoturvan toteutuminen edellyttää käytännössä yrityksen ylimmän johdon vahvaa sitoutumista tietoturvaan. Tietoturvan tärkeyden tiedostaa tyypillisesti vasta silloin, kun siihen jo liittyy pienempiä tai suurempia häiriöitä.

Viime kevät opetti meidät työskentelemään etänä

Viimeistään viime keväänä alkanut koronapandemia on tuonut etätyön tutuksi meille kaikille. Itse työskentelin maaliskuun puolivälistä kesäkuun alkuun täysin etänä. Kaikki työt hoituivat ongelmitta, ja omalla kohdallani havaitsin työtehokkuuden enemmänkin kasvaneen kuin vähentyneen tuon jakson aikana. Toisaalta työpäivät tuntuivat paljon totutumpia raskaammilta, sillä toimistolla tapahtuvat kohtaamiset jäivät pois, palaverit olivat selvästi tiiviimpiä ja työpäivät venyivät myös helposti. Tämän aikana sain kuitenkin huomata, että parinkymmenen hengen yrityksen siirtäminen päivän varoitusajalla etätöihin 2,5 kuukaudeksi onnistui ongelmitta ja kaikki työt saatiin pyörimään alusta asti hyvin.

Etätyössä niin Suomessa kuin maailmallakin otettiin parissa kuukaudessa askel, jonka ottamiseen normaaleissa olosuhteissa olisi kestänyt varmasti vuosia. Osa organisaatioista oli tilanteeseen valmiimpia, ja osa havahtui uuteen tilanteeseen housut kintuissa. Meillä oli olemassa valmiina etätyöohjeistus, etätyö oli huomioitu henkilöstön työsopimuksissa, kaikki käytännöt oli koulutettu henkilökunnalle ja yrityksemme toiminnan luonteen takia henkilöstöllä etätöiden käytännön toteuttaminen oli teknisesti helppoa. Meillä sattumoisin myös aloitti keväällä kaksi uutta työntekijää, joiden molempien perehdytys tapahtui tilanteen takia etänä. Samaan aikaan monilla yrityksillä etätyövalmiudet puuttuivat kokonaan, ja näillä yrityksillä kevät oli selviämistä. Suurin osa yrityksistä taisi kuulua kuitenkin joukkoon, jolla oli kohtuulliset tekniset etätyövalmiudet ja jossa etätöitä lähdettiin opettelemaan pandemian alettua ja kevään aikana etätyön tekemiseen löytyi kohtuullisen hyvä rytmi.

Etätyössä niin Suomessa kuin maailmallakin otettiin parissa kuukaudessa askel, jonka ottamiseen normaaleissa olosuhteissa olisi kestänyt vuosia.

Mikäli pandemia kiihtyy uudestaan syksyllä ja etätöihin vetäydytään uudestaan samaan tapaan kuin keväällä, varmasti yritykset ovat sekä teknisesti että henkisesti siihen valmiimpia. Monia teknisiä ratkaisuja etätöihin on ollut mahdollista ottaa käyttöön nopeasti, mutta toimivien käytäntöjen luominen organisaatioissa on ollut vaikeampaa. Kaikesta huolimatta tekniset ja henkiset valmiudet etätyön tekemiseen ensisijaisena työskentelytapana on varmasti parantunut merkittävästi maaliskuun tilanteesta, jolloin siirryimme etätöihin yllättävässä tilanteessa ja siitä johtuen osittain huonosti valmistautuneina.