Tietoturvallisuus on hyvin monisyinen aihepiiri. Hyvän tietoturvallisuustason saavuttaminen vaatii sekä ennaltaehkäiseviä teknisiä toimenpiteitä ja toimintatapoja että henkilöstön osaamista ja tietoisuutta tietoturvaan liittyvistä asioista. Liian usein tietoturvallisuutta pyritään parantamaan kuitenkin vain kertarysäyksenä toteutettavilla yksittäisillä toimenpiteillä. Parhaimmatkaan tekniset toimenpiteet tai yksittäiset perehdytyskoulutukset eivät kuitenkaan toimi, jos henkilöstön osaaminen ja tietoisuus ei ole riittävällä tasolla, ja sitä ei ylläpidetä systemaattisesti. Tietoturvan selkokielinen, säännöllinen ja systemaattinen koulutus on kuin talon perustukset, jonka päälle rakennetaan muut riskienhallinnalliset menettelyt. Mikäli talon perustukset ovat mädät, ei kannata lähteä ensimmäisenä korjaamaan räystäitä.
Useissa yrityksissä työhöntuloperehdytyksen yhteydessä tiedotetaan kertaluontoisesti tietoturvallisuuteen liittyvät yleisimmät toimintatavat. Systemaattista koulutusta ja tietoisuuden ylläpitoa ei kuitenkaan tehdä ollenkaan. Räikeimmissä tapauksissa tietoturvallisiin työtapoihin ei anneta minkäänlaista perehdytystä, vaan tietoturvaan liittyvät asiat kuitataan sillä että ”kyllä meidän IT-kaverit hoitaa ne tietoturvajutut!”. Usein myös kuulee väitteitä, että ”tietoturva ei ole meidän toimialalla olennaista” tai ”ei meillä ole mitään niin tärkeää tietoa, että sitä pitäisi suojata”. Tämä kertonee jotain vaarallisesta kulttuurista, joka valitettavasti vieläkin on varsin hyvin elossa monessa yrityksessä. Vasta-argumenttina tällaisille väitteille voisi esittää esimerkiksi seuraavaa: entä jos yrityksesi työntekijä lataa tietämättömyyttään sähköpostista yrityksesi palvelimelle haittaohjelman, joka salakirjoittaa kaikki yrityksesi tiedot lukukelvottomiksi? Tietojen saatavuus ja oikeellisuus kuuluvat myös olennaisena osana tietoturvallisuuteen, ja nämä ovat äärimmäisen olennaisia joka ikiselle toimialalle, vaikka tiedon luottamuksellisuus ei olisikaan niin tärkeässä roolissa.
Yrityksissä, joissa tietoturvallisuuteen suhtaudutaan kokonaisvaltaisesti, on kulttuuri hyvin erilaista. Sen lisäksi, että tekninen suojautuminen ja käytännön toimintatavat ovat IT-osaston puolesta mallikkaasti hoidettu, on myös tietoisuuden ja osaamisen jatkuva kehittäminen otettu osaksi yrityksen normaaleja toimintatapoja ja siitä huolehtiminen kuuluu yrityksen jokaiselle työntekijälle, ei vain IT-osastolle. Työhöntuloperehdytyksen lisäksi koko henkilöstö käy vuosittain (tai jopa pari kolme kertaa vuodessa) jokapäiväiseen toimintaan liittyviä tietoturvallisia toimintatapoja opettavia ja kertaavia kursseja, säännöllisesti keskustelee esimerkiksi tiimi- tai osastokohtaisesti tietoturvaan liittyvistä havainnoista ja yleisesti ottaen pitää tietoturvallista toimintaa ja kulttuuria pakollisen pahan sijaan keskeisenä asiana koko liiketoiminnan jatkuvuudelle. Tietoturvallisuutta koskevat koulutukset ja ohjeistukset ovat esitetty selkokielisesti, tekninen jargon loistaa poissaolollaan ja asia koskettaa mahdollisimman tehokkaasti kohderyhmäänsä. Koulutuksien tärkeys ja suuri rooli yrityksen jatkuvuuden varmistamiseksi viestitään koko henkilöstölle, jolloin tietoturvaosaamisen ylläpitäminen nähdään enemmän yhteen hiileen puhaltamisena, kuin pakollisena pahana, joka ylhäältä käsin määrätään käytäväksi.
Monissa yrityksissä asian tärkeys kyllä tiedostetaan, mutta tietoturvallista toimintakulttuuria ei ole saatu rakennettua ja tietoturva-asioiden systemaattisen koulutuksen osalta ei ole tehty käytännön toimenpiteitä. Mistä siis kannattaisi lähteä liikkeelle?
- Kommunikoi tietoturvan tärkeys koko henkilöstölle
Yhdistä tietoturva tärkeisiin teemoihin esim. pyytämällä asiantuntija puhumaan ja motivoimaan koko henkilöstöä jonkin sopivan tapahtuman yhteyteen. Kuvaa lisäksi vaikkapa video, jossa esimerkiksi toimitusjohtaja ja turvallisuuspäällikkö kertovat asian tärkeydestä ja yrityksen yhteisistä tavoitteista tietoturvallisen kulttuurin rakentamisessa. Upota video intraan etusivulle. - Tee koulutuksesta ja tietoisuuden lisäämisestä säännöllinen toimintatapa
Esimerkiksi verkkokoulutukset ovat hyvä tapa kouluttaa ja kerrata tietoturvallisia toimintatapoja koko henkilöstölle kustannustehokkaasti. Tämän lisäksi kriittisissä työtehtävissä olevia henkilöitä voi jatkokouluttaa myös lähikoulutuksena. Ota tietoturvatietoisuuden lisääminen kuukausittaiseksi agendaksi; käy esimerkiksi viikko- tai kuukausipalaverissa uusimmat tietoturvauhat ja vinkit läpi kaikkien kanssa. - Seuraa koulutusten etenemistä ja tuloksia säännöllisesti ja sovita toimintatapoja sen mukaisesti
Henkilöstön osaamisen kehittymistä ja puutteita on seurattava. Koulutuksien toteutus ei lopu siihen, että koulutukset laitetaan pyörimään, vaan niiden suorittamista on seurattava ja jatkokoulutustarpeita tunnistettava tuloksien perusteella. - Kehitä kannustimia tietoturvakulttuurin kehittämiselle
Esimerkiksi keskinäinen leikkimielinen kisailu voi parantaa henkilöstön motivaatiota osallistua jokapäiväiseen tietoturvatyöhön. Voit myös vaikka palkita henkilöstöä arjen tietoturvateoista säännöllisesti. Puutu ongelmakohtiin niitä huomatessasi, mutta pyri korjaamaan toimintaa kertomalla miksi jokin toimintatapa ei ole turvallinen, ja kannustamaan oikeaan toimintaan positiivisessa mielessä rangaistuksilla pelottelun tai negatiivisen palautteen sijaan.
Tietoturvallisuutta rakennetaan jokapäiväisillä teoilla. Henkilöstön osaamisella ja tietoisuudella on hyvin suuri merkitys siinä, miten tietoturvallisuus käytännössä toteutuu. Koulutuksen ja henkilöstöön panostuksen tulee toimia kaiken muun toiminnan vakaana perustana. Oikotietä onneen ei ole, kulttuurin ja osaamisen parantamiseen tulee sitoutua pitkällä tähtäimellä – kannattaa siis aloittaa jo tänään.
Olli Pirttilä, markkinointi- ja asiakkuuspäällikkö sekä
Teppo Kattilakoski, toimitusjohtaja, Granite