Turvallisuuden tunne, riskienhallinnan näkymätön vihollinen

13.8.2025

Organisaation riskienhallintaa saattaa haastaa monikin tekijä, mutta kenties salakavalin ilmiö on virheellinen turvallisuuden tunne, uskomus, että meille ja toiminnallemme ei voi tapahtua mitään vakavaa, olemmehan pärjänneet hyvin tähänkin asti. Tällöin erilaiset uhat eivät enää välttämättä olekaan organisaation suurin haaste, vaan pikemminkin se miten niihin suhtaudutaan. Tällainen psykologinen ansa voi hiipiä toimintaan ja tapohin huomaamatta, vähin äänin, tehden riskienhallinnasta lopulta vain näennäistä toimintaa. Virheellinen turvallisuuden tunne uskottelee meille, että olemme turvassa, vaikka todellisuudessa riskit eivät ole kadonneet mihinkään ja pahimmillaan ne ovat jopa kasvussa.

Mikä edesauttaa virheellisen turvallisuuden tunteen syntymistä?

1. Pitkään jatkunut “hyvä kausi”
   Silloin, kun organisaatiolla on menossa ns. hyvä ja nousujohteinen kausi, jolloin on ollut tyyntä myös riskienosalta, riskeihin syventyminen ei välttämättä tunnu ajankohtaiselta “ollaanhan tässä pärjäilty hyvin tähänkin asti”. Toisaalta myös pitkään jatkunut vaikea kausi, saattaa kohdentaa kaikki voimavarat jonkin tietyn ongelman ratkaisemiseen. Olipa syy mikä tahansa, valppauden menettäminen on jokatapauksessa yksi kohtalokkaimmista virheistä riskienhallinnan osalta.
   
2. Liiallinen luottamus teknologiaan tai turvajärjestelmiin
   Olen törmännyt useammin kuin kerran tilanteeseen, jossa organisaatio luottaa yksistään siihen, että teknologia suojaa sitä tietoturvaan, kyberturvaan ja fyysiseenturvaan liittyviltä riskeiltä. Tällaisessa tilanteessa riskienhallinnan kokonaisvaltainen hallinta on vaarassa. Riskit ovat hyvin harvoin yksistään vain teknisiä, usein ne ovat monien tekijöiden yhtälö, johon liittyvät niin ihmiset, prosessit, toimintaympäristö kuin tekniikka.
   
   Yllättävän usein järjestelmistä löytyy haavoittuvuuksia, ohjelmistovirheitä tai muita suunnittelussa tapahtuneita aukkoja. Samoin mikäli järjestelmiä käyttävät ohittavat turvaprotokollia tai väärät tahot saavat pääsyn järjestelmiin ei tällöin mikään tekninen suojaus ole riittävää.
   
   Nojautuminen yksistään teknologiaan voi johtaa siihen, että kriittisiä varotoimia tai henkilöstön osaamisen varmistamista laiminlyödään. Yksikään teknologia ei tee myöskään päätöksiä, se voi tarjota dataa ja tehdä hälytyksiä, mutta aina tarvitaan myös koulutettuja ihmisiä arvioimaan tilanteen vakavuutta ja päättämään oikeista toimenpiteistä.
   
   Mikäli luotamme yksistään tekniikkaan varoitusmerkkejä ei nähdä tai niihin ei reagoida. Esimerkiksi tietoturvassa tämä voi tarkoittaa esimerkiksi sitä, että poikkeavia lokimerkintöjä ei tutkita, koska ”järjestelmä kyllä estää hyökkäykset” tai “ei näissä lokeissa aiemminkaan ole mitään poikkeavaa ollut”.
   
   
3. Organisaatiokulttuuri, jossa ei kannusteta riskien esiin nostamista
   Tällainen kulttuuri luo eräänlaisen hiljaisuuden kulttuurin, jossa ongelmat muhivat hitaasti näkymättömissä, kunne jokin päivä ne lopulta purkautuvat kriiseiksi. Tämä on hyvin todennäköinen skenaario jos henkilöstö ei uskalla raportoida puutteita, virheitä tai uhkia.
   
   Mikäli virheitä ei tuoda esiin, niistä ei voida oppia ja näin on vaarana, että samat riskit toistuvat uudelleen. Tällöin organisaatio jää reaktiiviseksi eikä kehity ennakoivaksi. Tällöin organisaation käytännöt ja prosessit eivät parane, eikä kenelläkään ole realistista ja ajankohtaista tietoa niiden mahdollisista puutteista.
   
   Hiljaisuuden kulttuuri voi johtaa myös siihen, että työntekijät kokevat, että johdo ei ole kiinnostunut todellisista arjen ongelmista. Tämä puolestaan voi heikentää motivaatiota, sitoutumista ja herkkyyttää ilmoittaa havaituista ongemista. Epämääräistenkin huolien esiin nostamista tulee kannustaa, eikä työntekijän tarvitse tietää onko kyseessä todellinen riski vai ei.
   
   Turvallisuusohjeet ja -prosessit saattavat alkaa tuntua tarpeettomalta byrokratialta. Ihmiset alkavat oikaista kulmia: suojavarusteita ei käytetä, tarkistuslistoja ei täytetä, ja valvontajärjestelmiä ei seurata aktiivisesti.
   
   
4. Vääristynyt riskiviestintä, jossa uhkia vähätellään
   Jos riskit esitetään vähäisempinä, mitä ne todellisuudessa ovat, tällöin ihmiset ja tiimit eivät koe tarvetta varautua tai edes noudattaa riittäviä varotoimia. Vähättely viestii, että riskit eivät ole tärkeitä ja tämä lisää väistämättä välinpitämättömyyttä riskienhallintaa kohtaan. Samoin riittävät resurssit, harjoitukset ja turvallisuusprosessit eivät toteudu ajoissa, mikäli uhat koetaan merkityksettöminä.
   
   Vääristynyt riskiviestintä johtaa pitkään jatkuessaan siihen, että niin henkilöstö, asiakkaat kuin muut sidosryhmät huomaavat, että uhkia on vähätelty voi tämä rapauttaa luottamusta organisaatiota kohtaan ja vähentää yhteistyömahdollisuuksia.
   
   
5. Tunnistamattomat uhat ja riskit
   Tunnistamattomat uhat ja riskit ovat ns. pimeä riskimassa, joka voi yllättää mikäli olemme virheellisen turvallisuuden tunteen vallassa. Mikäli uhkaa ei ole tiedostettu, silloin sille ei ole myöskään olemassa ajantasaista varautumissuunnitelmaa, sen osalta ei ole tehty skenaarioharjoituksia tai muuta tarpeellista resurssointia. Mikäli tällainen riski toteutuu, organisaatio joutuu todennäköisesti kohtalaisen nopealla tahdilla improvisoimaan mikä on haastavaa, etenkin jos kysymyksessä on isompi kriisi.
   
   Mikäli varautumista ei ole, seuraukset voivat levitä nopeasti ja vaikuttaa useisiin toimintoihin samanaikaisesti. Monet tunnistamattomat uhat kehittyvät huomaamatta ja ylittävät kriittisen pisteen ennen kuin niihin ehditään reagoida riittävän nopeasti.
   

Virheellinen turvallisuuden tunne vaikuttaa riskienhallinnan kaikkiin keskeisiin vaiheisiin: uhkien tunnistamiseen, varautumiseen, reagointiin ja palautumiseen. Onneksi rutiineilla ja systemaattisella työllä virheellisen turvallisuuden tunteen syntymistä voidaan kuitenkin ennaltaehkäistä, josta alla muutamia esimerkkejä:

1. Tee riskeistä ja riskienhallinnasta näkyvää ja konkreettista
   Riskeistä saa näkyviä ja konkreettisia yhdistämällä selkeä viestintä, havainnollistaminen ja kokemuksellisuus. Ajatuksena se, että eivät jää abstrakteiksi tilastoiksi ja taulukoiksi, vaan ne avataan selkokielelle ja ymmärrettäviksi arjen tasolla.
   
   Tässä auttaa tosielämän esimerkkien ja tarinoiden kertominen ja jakaminen henkilöstön kanssa. Kerro tapauksesta, jossa vastaava riski on toteutunut, esimerkin samaistuttavuutta lisää jos se on tapahtunut omalla toimialalla. Esimerkkien osalta kannattaa kuvata tapahtumien kulku, seuraukset ja siitä saadut opit. Tarinallistaminen kannattaa, sillä ne jäävät usein paremmin mieleen, kuin pelkät numerot.
   
   Visuaalisille ihmisille riskien visualisointi voi myös avata riskejä aiempaa paremmin. Tällöin kaaviot, riskikarta, lämpökartat ja prosessikaaviot voivat tehdä riskeistä helpommin hahmotettavia. Tällöinkin on tärkeää näyttää missä kohdin prosessia riski voisi toteutua ja mitkä sen vaikutukset ovat toteutumisen jälkeen.
   
   Riskien vaikutukset kannattaa konkreitoisa numeroilla ja vertauksilla. Esimerkiksi esitä talodelliset ja ajalliset seuraukset. “Jos tämä riski toteutuu, se tarkoittaa euroissa tämän verran ja työpäivinä puolestaan tällaista lukua”.
   
   Erilaisten simulaatioiden ja harjoituksien hyödyntäminen avaa usein myös ihmisten ajatuksia riskien ja uhkien osalta. Kannattaa toteuttaa kriisiharjoituksia, joissa henkilökunta saa kuvitella ja jopa kokea riskin seuraukset turvallisessa ja hallitussa ympäristössä. Kannattaakin simuloida esimerkiksi kyberkyökkäystä tai vaikkapa kriittisessä toimitusketjussa tapahtuvaa katkosta.
   
   Pidä toteutuneet riskit mukana keskustelussa ja selkeästi näkyvillä esimerkiksi henkilöstön yhteisissä palavereissa. Samoin muu yleinen riskikeskustelu tulee pitää jatkuvana aiheena tiimipalavereissa. Henkilöstöä kannattaa kannustaa mukaan keskusteluun. Mietitäänpä yhdessä “Mikä voisi mennä pieleen ja mitä siitä seuraisi”, “Mitä jos tämä toteutuisi tässä meillä?”.
   
2. Harjoittele säännöllisesti
   Säännöllinen harjoittelu toimii eräänlaisena turvallisuuden tunteen “reality checkinä”, se muistuttaa konkreettisesti, että riskit ovat olemassa ja niihin tulee varautua. Käytännössä harjoittelulla pidetään riskit näkyvissä arjessa. Harjoituksettuovat uhat esiin säännöllisesti. Tällä voidaan ennaltaehkäistä esimerkiksi sitä, että riskien mahdollisuus unohtuu kiireen tai muiden rutiinien alle, kun ihmiset näkevät käytännössä miten riski voi toteutua tai vaikuttaa heidän omaan työhön.
   
   Harjoittelun avulla voidaan paljastaa omassa toiminnassa olevat mahdolliset heikkoudet ja puutteet. Hyvin toteutetut harjoitukset osoittavat nopeasti, jos työ prosessit eivät toimi, tieto ei kulje tai resurssit eivät riitä. Harjoituksien avulla on mahdollista pitää myös henkilöstön osaaminen tuoreena, kun turvalliset toimintamallit pysyvät lihasmuistissa ja valmius korkealla.
   
   Harjoittelu antaa konkreettista tietoa ja kokemusta siitä, kuinka hyvin organisaation varautuminen käytännössä toimii ja toisaalta missä olisi vielä parannettavaa. Tällöin harjoittelusta saadut tiedot ja tehdyt päätökset perustuvat aitoihin havaintoihin eivät oletuksiin ja tuntemuksiin.
   
   Harjoittelun ollessa normaalia arkea, virheistä, puutteista ja onnistumisista voidaan puhua luonnollisesti ja avoimesti. Tämä vähentää myös puolustautuvaa “kyllä meillä on kaikki kunnossa”- asennetta.
   
3. Arvioi käytössä olevia järjestelmiä ja prosesseja kriittisesti
   Käytössä olevien järjestelmien ja prosessien arivointi toimii ikäänkuin eräänlaisena turvallisuuden terveystarkastuksena. Se varmistaa, että luottamus perustuu todelliseen suorituskykyyn, ei pelkkään oletukseen.
   
   Arvioinnin tarkoituksena on paljastaa piilevät viat ja vanhentuneet ratkaisut. Järjestelmät ja prosessit voivat vanhentua huomaamatta, jolloin ne eivät enää suojaa alkuperäisellä tasolla. Arviointi tuo esiin tekniset haavoittuvuudet, puutteet ja tehottomat käytännöt ennen kuin ne johtavat suurempiin ongelmiin. Tämä auttaa myös tunnistamaan missä tilanteessa järjestelmän tai sen käyttäjien suojaus voi mahdollisesti pettää.
   
4. Rakenna avoin riskikulttuuri
   Avoimen riskikulttuurin rakentaminen on yksi tehokkaimmista tavoista estää virheellisen turvallisuuden tunteen syntymistä, koska näin riskit ja puutteet tulevat näkyviksi ajoissa ja niistä voi puhua ilman pelkoa, kun ihmiset uskaltavat kertoa havainnoistaan, pienetkään ongelmat eivät jää piiloon.
   
   Avoimen riskikulttuurin avulla jokainen organisaatiossa työskentelevä kokee olevansa osa riskienhallintaa, ei vain IT-asioista vastaavat, tietosuojavastaavat tai johto. Tämä vähentää passiivisuutta ja oletusta siitä, että “joku muu varmaan hoitaa tämän”.
   
   Keskustelun ollessa avointa tämä mahdollistaa myös jatkuvan parantamisen ja rakentaa luottamusta organisaation sisällä. Apuna tässä on jos johto reagoi avoimesti esiin tuotuihin riskeihin ja ilmoituksien tekemisestä muodostetaan positiivinen kokemus. Tämä kannustaa vielä useampia tuomaan riskejä esiin.
   

Mikäli sinusta tuntuu, että oman organisaationne riskienhallinta työ ja osaaminen kaipaa päivittämistä autamme sinua mielellämme. Meiltä löytyy aiheeseen liittyen niin verkkokoulutusta, kuin neuvontaa. Tästä lisätietoja saat lähettämällä sähköpostia: heidi.ilmonen@sotetraining.fi