Miljardi vuodettua salasanaa – pitäisikö huolestua?

Miljardi vuodettua salasanaa – pitäisikö huolestua?

Elokuun alussa Hold Security julkisti tiedot väitetystä salasanamurrosta, jossa 420 000 eri verkkopalvelusta kaapattiin yhteensä arviolta puolesta miljardista reiluun miljardiin käyttäjätunnus-salasana-yhdistelmää. Hurja määrä, pitäisikö tästä olla huolestunut? Ei, mikäli salasanoihin liittyvät yksinkertaiset perusasiat ovat sinulla ja organisaatiollasi kunnossa. Eri verkkopalveluja tullaan murtamaan nyt ja jatkossa – se kuuluu tähän päivään.

Yleisten tietomurtojen pohjalta ei tule painaa paniikkinappulaa varsinkaan jos murto ei ole kohdistunut sinuun tai organisaatioosi. Yllä mainittu salasanamurto toimii hyvänä esimerkkinä siitä, miten jäitä kannattaa pistää hattuun tällaisten tapausten yhteydessä. Kyseisen tietomurron yhteydessä organisaatioille alettiin kaupitella maksullisia palveluja, joiden avulla organisaatio voi tarkistaa, onko kaapattujen salasanojen joukossa heille kuuluvia tunnuksia. Vastaavanlaisten tietomurtojen yleistyessä, tapahtumat houkuttelevat helposti eri tarjoajia rahastamaan organisaatioita uutisten aiheuttamalla hysterialla.

Miten minimoit tietomurron riskin?

Organisaation näkökulmasta salasanojen vuotamisen riskiä pienennetään edelleen yksinkertaisin ja perinteisin keinoin: määrittelemällä salasanapolitiikka, kieltämällä samojen salasanojen käyttö organisaation ja yleisten verkkopalvelujen välillä sekä kouluttamalla henkilöstöä säännöllisesti.

Oman haasteensa kuvioon tuo organisaatioiden lisääntyvät pilvipohjaiset palvelut. Erityisesti palvelun ollessa liiketoimintakriittinen, on syytä välttää käyttäjähallinnan ulkoistamista pilvipalvelun tarjoajalle. Organisaation tulee muodostaa vähintään selkeä sisäinen politiikka asiasta sekä määritellä tarkasti sopimusehdot palvelusopimuksessa. Näin reagointinopeus ja -vastuu säilyvät salasanavuototilanteessa organisaatiolla itsellään. Muussa tapauksessa riskinä saattaa olla se, että yrityksen järjestelmissä ja ulkoisissa työkäyttöön liittyvissä palveluissa käytetään samoja salasanoja tai käyttäjät eivät suojaa ulkoisissa palveluissa olevia yritysten tietoja riittävän vahvoilla salasanoilla.

Mitkä ovat kriittisimmät salasanat yksityishenkilöille?

Myös yksityishenkilöille salasanojen hallinta aiheuttaa tunnetusti harmaita hiuksia. Useimmat salasanoista ja käyttäjätunnuksista johtuvat tietovuodot liittyvätkin juuri yksityisten henkilöiden käyttämiin vapaa-aikaan liittyviin palveluihin. Internet on täynnä kirjautumista vaativia palveluja ja periaatteessa niiden salasanoja tulisi vaihtaa jatkuvasti. Taakkaa helpottaakseen palvelut kannattaa jakaa kolmeen eri luokkaan niiden tarjoaman sisällön perusteella:

  1. Rahaan, henkilötietoihin tai muuhun arkaluontoisiin tietoihin liittyvät palvelut, kuten esimerkiksi PayPal-maksujenvälitysjärjestelmä. Käytä näissä palveluissa vahvoja erillisiä salasanoja ja vaihda ne säännöllisesti.
  2. Yksityisyyteen ja luottamuksellisuuteen vaativat palvelut, kuten Facebook ja Twitter. Käytä palveluiden välillä eri salasanaa ja pyri vaihtamaan niitä aika ajoin.
  3. Satunnaiset ja sisällöltään esimerkiksi hupia sisältävät sivustot, joissa ulkopuolisen pääsy ei käytännössä aiheuta henkilölle merkittävää haittaa. Näissä palveluissa voit käyttää samaa salasanaa

Jos sinulla on vaikeuksia muistaa salasanoja käyttämiisi palveluihin, yksi ratkaisu on ulkoistaa ongelma ja käyttää erillistä ohjelmistoa salasanojen hallinnointiin. Tällaisiin ohjelmiin voit tallentaa yhden pääsalasanan taakse kaikki käyttämäsi salasanat, jolloin käytännössä yhden salasanan muistaminen riittää. Toisaalta kaikki munat ovat tässä tapauksessa samassa korissa, joten kyseiseen palveluntarjoajaan ja tuotteeseen on tällöin syytä tutustua huolella ja siihen on pystyttävä luottamaan. Yksityishenkilönäkin kannattaa tarkistaa tällaisten palveluiden osalta, onko niillä tietoturvallisuuden hyvistä käytännöistä kertovia sertifiointeja tai ISAE-lausuntoja.

Vaikka tietomurrot tulevat varmasti yleistymään entisestään ja tuhot voivat olla pahimmassa tapauksessa merkittäviä, voi oman organisaation ulkopuolelle kohdistuvien tietomurtojen aiheuttamia välillisiä riskejä pienentää hyvinkin yksinkertaisten ja tuttujen keinojen avulla. Tärkeintä on tiedostaa uhat ja varautua ja valmistautua niihin ajoissa. Näin voidaan välttää paniikkinappulan painamista ja siitä mahdollisesti seuraavia väärien ratkaisujen tekemistä. Tutut ja helpot keinot kannattaa muistaa myös yksityishenkilötasolla, jolloin välttyy parhaimmillaan taloudellisilta menetyksiltä ja yksityisten tietojen joutumiselta vääriin käsiin.

Käy lukemassa myös edelliset blogimme ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen” ja ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Edelläkävijä-kääntää-yritysvastuun-riskit-ja-mahdollisuudet-euroiksi

Edelläkävijä kääntää yritysvastuun riskit ja mahdollisuudet euroiksi

Suuri osa yrityksistä luokittelee ja arvioi eri riskien toteutumisen todennäköisyyttä ja rahallista arvoa sekä määrittelee tarvittavat riskienhallinnan toimenpiteet. Tärkeimpiä riskejä seurataan myös yritysten johtoryhmissä ja hallituksissa. Erityisesti listautumisen tai yrityskaupan yhteydessä riskeihin kiinnitetään huomiota. Hälyttävää on kuitenkin se, että monessa yrityksessä ympäristövastuuseen, sosiaaliseen vastuuseen ja vastuulliseen hallintotapaan liittyviä riskejä (niin kutsuttuja ESG-riskejä) ei ole huomioitu niiden liiketoimintavaikutuksiinsa nähden ansaitsemalla tavalla.

Miksi ESG-riskejä (tulee sanoista Environmental, Social ja Governance) ei ole sitten sisällytetty riskienhallintajärjestelmään? Tämä saattaa johtua siitä, että riskejä ei ole kartoitettu, niitä ei seurata johtoryhmätasolla, ne mielletään vähämerkityksellisiksi tai niiden liiketoimintavaikutusten rahassa mittaaminen koetaan vaikeaksi.

Onnellinen tietämättömyys voi johtaa kuitenkin tuskalliseen tiedostamiseen jos riski realisoituu. ESG-riskien sisällyttäminen riskienhallintajärjestelmään on tärkeää, jotta liiketoiminnallisesti olennaiset uhat tunnistetaan ja niitä pystytään hallitsemaan ja seuraamaan. ESG-riskit täytyy siis sisällyttää yrityksen riskikarttaan.

ESG-riskit tulevat eri mauissa ja väreissä

ESG-riskit voivat olla strategisia, operatiivisia, velvoitteenhoitoon liittyviä tai finanssiriskejä. Riskit, jotka liittyvät yritysvastuun kilpailukyvyn ambitiotason ja merkityksen määrittelemiseen ovat esimerkkejä strategisista kysymyksistä. Operatiiviset riskit voivat taas liittyä yritysvastuun avainprosesseihin tai sen hallintaan alihankintaketjussa. ESG-lainsäädäntöön, toimintatapaohjeen noudattamiseen ja lupaehtoihin voi liittyä velvoitteenhoidollisia riskejä. Finanssiriskejä piilee taas päästökaupassa tai verosuunnittelun toteutuksessa.

Riskit rahaksi

Myös yritysvastuuriskien toteutumisen todennäköisyyttä ja liiketaloudellista arvoa on mahdollista arvioida. Arvioidaanhan markkinoinnin sekä tutkimus- ja kehitystoiminnankin todennäköistä tuloksellisuutta ja riskejä prosenteissa ja euroissa. Tyypillisesti ESG-riskien taloudellinen arvo on mitattavissa myyntitulojen menetyksinä, kustannusten nousuna, uusina investointitarpeina, velvoitteiden kasvuna, pääoman hankinnan kallistumisena tai osakekurssin alenemisena.

Maineriskiä emme kuitenkaan voi mitata euroissa?

Kyllä voimme! Voimme kysyä itseltämme esimerkiksi, mitkä asiat vaikuttavat maineeseemme? Minkä sidosryhmän silmissä mainemme saattaa kolhiintua? Mitä siitä mahdollisesti seuraa – vaikeampia myyntineuvotteluita, taloudellisia vaatimuksia, toimintaamme hidastavia tyytymättömyyden ilmaisuja, yleiseen mielipiteeseen vaikuttavia kriittisiä lehtikirjoituksia, selvitystarpeita vai kenties investointiviiveitä? Vaikuttavatko nämä asiat tulokseemme heti, lyhyellä vai pitkällä aikavälillä?

Pahimmillaan yritysvastuuriskin realisoituessa sekä maine että välitön kilpailukyky asiakasrajapinnassa heikkenevät. Uhkakuvia ovat niin ikään sijoittajaluottamuksen heikkeneminen sekä velvoitteenhoidon kustannusten tuntuva nousu. Kun riskit on arvioitu, helpottuu kannattavien hallintakeinojen tunnistaminen, joka voi purra joko riskin toteutumisen todennäköisyyteen alentavasti tai toteutumisen taloudelliseen arvoon rajoittavasti.

ESG-riskit haltuun, entä mahdollisuudet?

Useilla toimijoilla liiketoiminnallisten mahdollisuuksien tunnistamisen, arvioimisen ja toteuttamisen seuranta on vähemmän systemaattista kuin riskien. Tämä koskee luonnollisesti mitä suurimmassa määrin myös yritysvastuun kautta saavutettavia liiketoimintamahdollisuuksia. Voimmeko lisätä myyntiä ratkaisuilla, jotka vastaavat paremmin asiakkaiden vastuullisuustarpeita? Pystymmekö pienentämään kustannuksiamme hyödyntämällä uusiutuvuutta, kierrätettävyyttä ja energiatehokkuutta? Lisääkö ESG-riskien hyvä hallinta sijoittajien kiinnostusta? Onko brändimme ja julkisuuskuvamme sellainen, että olemme kiinnostava työnantaja?

Jos yritys mielletään toimijaksi, joka tarjoaa ratkaisuja vastuullisuuden megatrendeihin sekä nähdään vastuullisena liikekumppanina ja työnantajana, ovat lähtökohdat kannattavalle liiketoiminnalle hyvät. Ehkä mahdollisuuksien arvioinnista tuleekin seuraava yritysjohtoa innostava työkalu? Kun hallitsee sekä riskit että mahdollisuudet, voi todennäköisesti olla osa ratkaisua eikä ongelmaa.

Toivotan lukijoillemme oikein vastuullista töihin paluuta ja alkusyksyä! Käykää lukemassa myös viimeisimmät blogini ”Yritysvastuustrategia on vastuunotto yhtiösi menestyksestä ja arvonnoususta” ja ”Ilmastonmuutos on miljardibisnes”.

tomas-otterstrom-100x100Partner Tomas Otterström vastaa KPMG:n vastuullisen sijoittamisen, ilmasto- ja yritysvastuun palveluista. Hänellä on parinkymmenen vuoden kokemus liikkeenjohdon konsultoinnin, sijoitus- ja varainhoitotoiminnan sekä yritysvastuun johtotehtävistä.

Vapaa-aikaansa Tomas viettää perheensä kanssa sekä sulkapalloa jahdaten, johtamiskirjoja lukien että elämysmatkailua harrastaen. Hän on myös hyvän ruuan ystävä.

Miten-välttää-punainen-kortti-veromuutosten-pelikentällä_700x250

Miten välttää punainen kortti veromuutosten pelikentällä?

Futiksen MM-kisahuuman ollessa kovimmillaan eri maiden hallitukset, veroviranomaiset ja kansalaisjärjestöt ovat olleet huolissaan kansainvälisesti toimivien yritysten todellisesta ja väitetystä verokikkailusta. Lahjakkaimmat verotaiturit ovat onnistuneet sääntöjen puitteissa alentamaan verorasitustaan hämmästyttävän alas, vaikka yritysten suuri enemmistö maksaakin huomattavan osan tuloksestaan tuloveroina. Verotuksen sääntökirjaa ollaan tämän vuoksi päivittämässä lähiaikoina verottajien hyväksi tavalla, joka voi vaikeuttaa paitsi sääntöjen rajoilla kikkailevien myös rehdisti pelanneiden yritysten suoritusta.

Muutoshanke tunnetaan nimellä BEPS – Base Erosion and Profit Shifting. Hankkeen takana on vaikutusvaltainen toimija, G20, ja sitä toteuttaa talouden kansainvälinen järjestö OECD. Kärjistän hieman asian selkeyttämiseksi: Kun kansainvälisen vero-oikeuden pyrkimyksenä on tähän asti ollut estää yritysten tulon kahdenkertainen verotus, BEPS-hankkeen tavoitteena on estää kaksinkertainen verottomuus. Kyseessä on merkittävä muutos ajattelutavassa ja tavoitteissa. Yritysten katsotaan onnistuvan välttämään verojen maksu kokonaan sähköisen kaupan, hybridi-instrumenttien ja siirtohinnoittelun avulla.

Kansainvälinen vero-oikeus tämän päivän pelikentille sopivaksi

BEPS-hanke sisältää useita konkreettisia aloitteita, joiden tavoitteena on päivittää kansainvälinen vero-oikeus digitaalisen talouden aikakauteen ja harmonisoida kansallisia verosäännöksiä. Harmonisoinnin avulla pyritään hybridi-instrumenteista saatavan verohyödyn neutralisoimiseen, veroparatiisien käyttöä rajoittavan väliyhteisölainsäädännön vahvistamiseen ja korkovähennyksiin liittyvän verosuunnittelun torjumiseen. Lisäksi tavoitteena on vahingollisten verokäytäntöjen tunnistaminen. Olemassa olevien kansainvälisten ohjeiden purevuutta pyritään lisäämään estämällä verosopimusten väärinkäyttö ja rajoittamalla kiinteän toimipaikan syntymisen estämiseksi tehtyjä keinotekoisia järjestelyjä. Tavoitteena on varmistaa, että siirtohinnoittelu vastaa konsernin todellista arvonmuodostusta aineettomien oikeuksien, riskien ja pääoman sekä epätyypillisten liiketapahtumien osalta.

Pelitaktiikkojen läpinäkyvyys, ennustettavuus ja dokumentointi

Osana hanketta verotuksen läpinäkyvyyttä, ennustettavuutta ja oikeusvarmuutta pyritään edistämään. Maaliin päästään keräämällä tietoa toimenpiteiden vaikuttavuudesta ja velvoittamalla yritykset raportoimaan aggressiivisista verosuunnittelutoimistaan, sekä kehittämällä siirtohinnoitteludokumentointia ja keskinäistä sopimusmenettelyä. BEPS -aloitteiden tehokkaaseen implementointiin pyritään löytämään keino, joka ei edellytä satojen verosopimusten uudelleenneuvottelua.

Sääntelytulva jarruttaa kilpailukykyä – verottajalle luvassa vapareita

BEPS-aloitteiden määrä on vaikuttava, samoin kuin se vauhti, jolla OECD on ryhtynyt laatimaan raportteja aloitteiden konkretisoimiseksi. Suomalaiset yritykset joutuvat opettelemaan uusia sääntöjä nopeasti, koska BEPS-hankkeen periaatteita saatetaan ryhtyä soveltamaan Suomessa ja muissa maissa ilman varsinaisia lakimuutoksia. Sen lisäksi että uudet säännökset lisäävät vero- ja siirtohinnoitteluraportoinnin tarvetta, ne antavat veroviranomaisille erinomaisia mahdollisuuksia heittäytymisiin ja filmaamiseen. Viranomainen voi esimerkiksi jälkeenpäin tulla väittämään mitä tahansa liiketapahtumaa tai toimintamallia aggressiiviseksi verosuunnitteluksi, ellei se ole yrityksen kannalta nimenomaan epäedullinen relevanteissa toimintamaissa.

Keltaisia ja punaisia kortteja on siis luvassa yrityksille samoin kuin vapaapotkuja verottajalle. Lukuisat sääntömuutokset ovat valitettavasti jarruttamassa yritysten kilpailukykyä ja orastavaa talouskasvua. Tätä tuskin verottajakaan tavoittelee.

Jalkapallon MM-kisatunnelmissa toivotan teille hyvät lukijat oikein aurinkoista ja rentouttavaa kesää!

Käy kurkkaamassa myös edellinen kirjoitukseni aiheesta ”Verottaja tuntee liiketoimintasi sinua paremmin”.

eric_sandelin_100x100Partner Eric Sandelinilla on 15 vuoden kokemus KPMG:llä yritysten siirtohinnoittelusta ja kansainvälisestä verotuksesta.

Ericin perheeseen kuuluu vaimo ja kaksi opiskelevaa lasta. Harrastuksinaan hän kuntoilee ja havainnoi maailman tapahtumia ja ilmiöitä.

Maassa maan tavalla pätee irtisanomisiin Venäjällä

Maassa maan tavalla pätee irtisanomisiin Venäjällä

Huonossa taloudellisessa tilanteessa yritykset saattavat joutua harkitsemaan työvoiman vähennyksiä kustannusten pienentämiseksi. Irtisanomiset ovat luonnollisesti mahdollisia myös Venäjällä. Miten itänaapurimme irtisanomisia koskeva lainsäädäntö poikkeaa suomalaisesta?

Työnantajan aloitteesta suoritettu irtisanominen edellyttää aina syyn ja perustelut. Syitä voivat olla esimerkiksi henkilökunnan vähentäminen, töiden uudelleen organisointi tai yrityksen lakkauttaminen.

Pääjohtaja voidaan irtisanoa ilman irtisanomisaikaa

Irtisanomisajan pituus työnantajan puolelta riippuu irtisanomisen perusteesta ja työntekijän asemasta organisaatiossa. Yleisimmin se on kaksi kuukautta. Pääjohtaja sanotaan irti yhtiökokouksen päätöksellä, joka voi astua voimaan välittömästi. On kuitenkin huolehdittava siitä, että toimivassa yhtiössä on aina pääjohtaja eli uusi tulee nimittää samanaikaisesti kuin vanha vapautetaan tehtävistään.

Irtisanotuilla on oikeus irtisanomiskorvaukseen

Irtisanomiskorvaus on henkilökuntaa vähennettäessä ja yritystä lakkauttaessa yleensä kahden kuukauden palkan suuruinen. Yhtiö on velvollinen lisäksi maksamaan kolmannen kuukauden palkan, mikäli työntekijä ei ole löytänyt uutta työpaikkaa ilmoittauduttuaan työvoimatoimistoon kahden viikon sisällä työsuhteen päättymisestä. Pääjohtajalle on maksettava aina vähintään kolmen kuukauden irtisanomiskorvaus.

Osalla henkilökuntaa on irtisanomissuoja

Eräs asiakkaani kertoi huhtikuussa, että tuhannesta työntekijästä heillä on parhaillaan 29 prosenttia äitiys- tai hoitovapaalla. Poikkeuksellisen paljon. Venäjällä on irtisanomissuoja raskaana olevilla naisilla, alle 3-vuotiaiden lasten äideillä, alle 14-vuotiaiden yksinhuoltajilla sekä alle 18-vuotiaiden vammaisten huoltajilla tietyin poikkeuksin. Mainittuja henkilöitä ei käytännössä voida irtisanoa taloudellisin perustein. Tämä tulee ottaa huomioon työvoiman vähennystä suunniteltaessa ja sillä on vaikutusta irtisanomisjärjestykseen myös yhtiötä lakkautettaessa.

Työntekijän itsensä aiheuttama irtisanominen

Irtisanomiseen voivat johtaa taloudellisten syiden lisäksi myös työntekijän oma toiminta tai muut syyt. Tällöin irtisanomiskorvausta ei aina tarvitse maksaa tai se voi olla hyvin pieni. Henkilökohtaisten syiden perusteella voidaan irtisanoa myös irtisanomissuojan omaavia työntekijöitä. Irtisanomisen syitä voivat olla esimerkiksi:
• Luvaton poissaolo työpäivän aikana (yli neljä tuntia)
• Päihtyneenä esiintyminen työpaikalla
• Työntekijän sopimattomuus työhönsä (sairaus, osaamattomuus)
• Varkaus työpaikalla
• Luottamuksellisten tietojen vuotaminen
• Ylimmän johdon ja pääkirjanpitäjän tekemät perusteettomat päätökset, jotka aiheuttavat työnantajalle taloudellista vahinkoa
• Työvelvollisuuden toistuva noudattamatta jättäminen
• Väärien tietojen antaminen työsopimusta solmittaessa

Lisäksi yhtiön omistajan vaihtuessa voidaan ylin johto ja pääkirjanpitäjä vaihtaa ja tämä onkin hyvin tavallista Venäjällä.

Hoida prosessi aina paikallisten sääntöjen mukaan

Irtisanominen tehdään aina kirjallisesti venäjäksi eikä sitä voida tehdä vuosiloman tai sairasloman aikana.
Mikäli irtisanomisten perusteella jäljelle jäävien työntekijöiden tehtävänkuvat muuttuvat, on heidän työsopimuksiinsa tehtävä asianmukaiset muutokset kirjallisina.

Noudata paikallisia sääntöjä pilkun tarkasti irtisanomistilanteessa, jotta työntekijäpuolella ei ole aihetta valittaa. Valitusprosessit ovat kalliita ja aikaa vieviä, ja kokemukseni mukaan yleensä työnantaja häviää valituskierrokset. Ota siis selvää pykälistä ja tarvittaessa käänny asiantuntijoiden puoleen jo ennen prosessin aloittamista.

Vanha oppi, joka auttaa pärjäämään vaativimmissakin olosuhteissa pätee myös Venäjällä; maassa maan tavalla. Huolehdi siitä, että tiedät mikä maan tapa on. Muutoin Siperia opettaa ja maksat kalliita oppirahoja irtosanomisprosesseissa.

Käy lukemassa myös edelliset kirjoitukseni ”Venäjällä yhtiöissä toimitaan ilman hallitusta” ja ”Venäjällä tulee aina yllätyksiä – myös ERP-järjestelmän käyttöönotossa”.

Taija_Kaivola100x100Director Taija Kaivola on viettänyt useita vuosia Venäjällä taloushallinnon parissa ja on hurahtanut venäläiseen verotukseen. Nykyään vastaa KPMG:n Russian Deskin toiminnasta.
Paasikiven muistomerkki sijaitsee Lasipalatsin ja Mannerheimintien vieressä. Sen jalustaan on kirjattu Paasikiven motto "Kaiken viisauden alku on tosiasiain tunnustaminen".

”Kaiken viisauden alku on tosiasiain tunnustaminen”

Tuo lause osui silmään kävellessäni Helsingin ydinkeskustassa kohti toimistoamme. J.K. Paasikivi oli sen aikanaan lausunut ja nyt tämä lause on ikuistettu hänen muistomerkkipatsaan jalustaan. Niin totta tuo lause on, myös liike-elämässä.

Tästä tuli mieleeni eräs tapaus, jossa asiakasyritykseni, monen muun yrityksen tavoin, tavoitteli kannattavaa kasvua. Itse asiassa heidän mielestään kannattava kasvu oli kiteytettynä heidän strategiansa. Joopa joo, ihan hyvä, eikö vaan?

Pohdimme heidän kanssaan tätä haastetta eri näkökulmista. Kysymyksiä heräsi. Mistä kasvua voisi hakea? Onko yritys kilpailukykyinen? Miten kannattavaa toiminta oikeasti on? Erilaisten raporttien valossa yrityksellä meni kohtalaisesti. Myyntivolyymit olivat hyvin tiedossa, mutta kun puhuttiin tarkemmin kannattavuudesta, niin äänenpainot muuttuivat epävarmemmiksi. ”Ei, emme varmuudella tiedä tuotekohtaista kannattavuutta.”

Sama ongelma koski asiakkuuksia. ERP-järjestelmät tarjosivat runsaasti erilaista tietoa, mutta laskenta perustui aikaa sitten laadittuihin standardeihin ja kustannusallokointeihin. Monia kustannuksia jätettiin allokoimatta kokonaan ”poliittisista” syistä. Tässä oli yksi yrityksen kipupisteistä. Johto totesi joutuneensa toimimaan ja tekemään päätöksiä epäluotettavien tai väärien tietojen pohjalta. Tämän tosiasian tunnustaminen oli viisauden alku.

Mikä on kannattavaa, mikä kannattamatonta?

Tarina ei loppunut tähän. Kyseisen yrityksen tapauksessa tuli tarve selvittää todellinen ja oikea kustannusrakenne niin, että oikeasti tiedetään, mikä on tuote- tai asiakaskohtainen kannattavuus. Mikä on kannattavaa ja mikä kannattamatonta? Miten kannattavuus muuttuu, kun siihen vaikuttavat parametrit muuttuvat?

Mahdottomasta mahdollista

Tällaisen mallin rakentamiseen ei mennyt montaa viikkoa oikeilla työkaluilla ja menetelmillä, mutta tulokset olivat huimat. Analyysin jälkeen yrityksen johdolla oli käytössään oikeaa tietoa ja faktoja päätöksenteon pohjaksi. Tiedettiin, mihin kohdistaa panostukset ja toimenpiteet, ja pystyttiin arvioimaan niiden todellinen vaikutus. Jopa mahdottomasta tuli mahdollista. Siinä missä yleinen hinnankorotus tuntui mahdottomalta, tietyille asiakasryhmille ja jopa yksittäisille asiakkaille se oli perusteltua ja toteutettavissa. Siellä missä uskottiin, että kaikki säästöpotentiaali oli jo kaluttu loppuun, löytyi uusia säästökohteita, jotka paransivat yrityksen kannattavuutta ja kilpailukykyä. Tosiasiat osoittivat jälleen olevansa viisauden lähde.

Faktat faktoina

Myös laajemmin tarkasteltuna, monen yrityksen johto toivoo, että heille kerrotaan asiat niin kuin ne ovat, kaunistelematta ja totuudenmukaisesti. Kun tilanne tunnetaan, on helpompi ryhtyä toimenpiteisiin, jotka johtavat toivottuun tulokseen.

Kyseinen yritys ei missään nimessä ole ainoa laatuaan. Monet yritykset ovat kohdanneet saman – tarpeen ymmärtää toimintaa paremmin olemassa olevan datan ja analytiikan kautta, ja saada luotettavaa ja oikeaa tietoa johtamisen käyttöön. KPMG:n tuore selvitys Global Manufacturing Outlook 2014 tukee tätä käsitystä.

Juho Kusti Paasikivi (1870–1956) oli Suomen seitsemäs presidentti. Hänen muistomerkkinsä sijaitsee Paasikivenaukiolla Lasipalatsin ja Mannerheimintien vieressä. Sen jalustaan on kirjattu Paasikiven motto ”Kaiken viisauden alku on tosiasiain tunnustaminen”. Muistomerkin on suunnitellut Harry Kivijärvi.

Juho Kustin sanoissa on meille kaikille väkevä viesti: Tosiasioiden tunnustaminen on viisauden alku, kun haluat ohjata yrityksesi takaisin kannattavalle kasvu-uralle. Kylläpä Paasikivi oli viisas mies.

Käy lukemassa myös edelliset tekstini ”Kansainvälistyminen ja purjehduskausi vaativat huolellista valmistautumista” ja ”Kolme kysymystä, jotka auttavat yrityksen hallitusta parempaan strategiaan”.

Kim LehtoDirector Kim Lehto vastaa KPMG:n teollisuustoimialan palveluista Suomessa ja toimii on osana KPMG:n strategia ryhmää. Liikkeenjohdon konsulttina hän on toiminut parikymmentä vuotta.

Vapaa-aika kuluu mukavasti lasten harrastuksen parissa, mökillä tai merellä. Myös viheriöt kutsuvat ylläpitämään golftasoitusta.

Sinisilmäisyys-tietoturvassa-johtaa-skandaaleihin-ja-maineen-menetykseen

Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen

Viimeisten vuosien aikana organisaatioiden tietoisuus ulkoisista tietoturvauhista on kasvanut ja niihin on myös panostettu merkittävästi. Valitettavasti tämä kehitys saattaa aiheuttaa sokeutta kaikkein perinteisimmille uhille, jotka sijaitsevat lähempänä kuin usein muistammekaan.

Viime viikolla Helsingin Sanomat uutisoi tanskalaisen juorulehden tapauksesta, jossa tanskalaisten kuninkaallisten ja julkisuuden henkilöiden luottokortti- ja henkilötietoja oli vuodettu säännöllisesti lehden käyttöön usean eri organisaation toimesta. Näihin lukeutuivat mm. luottokorttiyhtiö, lentoyhtiö ja sairaala. Juorulehden intressinä oli saada tietoa julkkisten ostoksista, matkoista ja muista tekemisistä. Tietojen vuotajien intressinä oli raha.

Tapauksen tultua julkisuuteen ja juorulehden painiessa oman skandaalinsa parissa, tulilinjalla ovat myös edellä mainittuihin tietovuotoihin osallistuneet organisaatiot. Selvää on, että kyseessä ei ole henkilötietojen asiallinen käyttö. Mikäli EU:n tuleva tietosuoja-asetus olisi jo voimassa, organisaatioita uhkaisivat hyvin merkittävät taloudelliset sanktiot, jotka asetuksen luonnoksen mukaan voisivat olla jopa 5 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta tai 100 miljoonaa euroa. Tulevaisuus näyttää, millaisia sanktioita näille tahoille langetetaan suurten mainemenetysten lisäksi.

Määrittele, valvo ja hallinnoi suunnitelmallisesti

Tapaus osoittaa hyvin sen, että arkaluontoista ja salaista tietoa tulisi suojella yhtä lailla organisaation sisällä kuin sen ulkopuolellakin. Tietoturva- ja tietosuojapolitiikat sekä henkilöstön tietoisuuden lisääminen ovat tärkeä pohja työlle, mutta ne eivät vielä itsessään riitä estämään tahallisia tietovuotoja, joiden motiivina on usein raha, kosto tai ideologia.

Olennaista on määritellä tarkasti, mikä on arkaluonteista tietoa, missä organisaation hallussa olevat luottamukselliset tiedot sijaitsevat, ketkä niihin pääsevät käsiksi ja miten tietojen käsittelyä valvotaan. Lisäksi kattava lokitietojen kerääminen ja niiden seuranta ovat osa tehokasta sisäistä valvontaa väärinkäyttöjen estämiseksi. Henkilötietojen hallinnoinnin suunnitelmallisuus ja asianmukainen järjestäminen, eli mm. henkilötietojen käsittelyn valvonta, ovat osa tulevassa tietosuoja-asetuksessa vaadittavaa niin kutsuttua tilivelvollisuuden periaatteen toteuttamista. Asetuksessa määritetään myös tuntuvat sanktiot tietovuodoista, jos rekisterinpitäjä ei ole toiminut vastuullisesti.

Älä luota sokeasti kumppaneidesi tietoturvaan

Työssämme olemme usein huomanneet, että monet organisaatiot luottavat myös sokeasti alihankkijoidensa tietoturvallisuuteen ja niihin liittyviin toimintatapoihin. Tämä saattaa pohjautua esimerkiksi yhteen turvallisuuden tunteen tuovaan lauseeseen alihankkijasopimusten osana. Alihankkijat saattavat myös kirkkain silmin vakuuttaa, että he luonnollisesti täyttävät kaikki samat tietoturvavaatimukset kuin alihankintaa ostava organisaatio, mutta todellisuus saattaa olla täysin toisenlainen. Monissa tilanteissa alihankkijat käyttävät, prosessoivat tai heillä on pääsy organisaation arkaluonteiseen tietoon, jolloin organisaation maine ja tätä kautta jopa olemassaolo saattaa olla kiinni alihankkijoiden tietoturvallisesta toiminnasta.

Vaikka tietoturvallisuuden taso kasvaa jatkuvasti, nämä tyypilliset ajattelutavat ovat yllättävän juurtuneita. Meillä Suomessa on ollut kunnia elää kulttuurissa, jossa lähtökohtaisesti toisiin ja toisten sanomisiin voi luottaa. Tämä on edelleen kunnioitettava piirre, mutta muistettaessa tietoturvallisuuden kokonaisvaltaisen hoitamisen haasteet, mustaa valkoisella ei välttämättä aina kuitenkaan vielä riitä. Toiminta tulee aidosti varmistaa, kehitystoimenpiteet tunnistaa ja niiden toteutumista valvoa – oli kyseessä sitten oman organisaation tai alihankkijoiden ja yhteistyökumppaneiden toiminta. On hyvä muistaa, että sinisilmäisyys tietoturvassa voi johtaa helposti skandaaleihin ja maineen menestykseen.

Käy lukemassa myös edellisiä kirjoituksiamme ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon” ja ”Leijonien menestys Sotshissa on organisaatioille tietoturvariski”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.