Suomalaiset viranomaistahot ovat asettaneet tietoturvalle kunnianhimoisia tavoitteita. Yritykset kaipaavat viranomaisilta ohjeistuksia sekä selviä suosituksia siitä, mitä toimenpiteitä yrityksessä tulisi ja saisi tehdä, jotta tietoturvan ylläpitäminen ja parantaminen toteutuisi. Yritykset haluavat varmistaa tietoturvatoimenpiteiden lainmukaisuuden ja tehokkuuden palvella eri osapuolten tavoitteita. Työntekijät ovat tärkeässä asemassa yrityksen tietoturvan onnistumisessa. Motivaatio vaikuttaa työntekijöiden tapaan suhtautua työpaikkansa tietoturvaohjeisiin ja tapaan toimia ohjeiden mukaisesti. Näin ollen työntekijän motivaatio on keskeistä yrityksen tietoturvan toteutumiselle.
Väitöstutkimus motivaation vaikutuksesta tietoturvaohjeistusten noudattamiseen
Viime vuoden lopulla julkaistiin väitöstutkimus, jossa selvitettiin motivaation vaikutusta tietoturvaohjeistusten noudattamiseen. Tutkimuksen aiheena oli hallinnollinen tietoturva ja yritysten työntekijöiden motivaatio noudattaa yrityksen tietoturvaohjeita. Tutkimus toteutettiin suomalaisessa pk-yrityksessä vuosien 2013–2014 aikana. Tutkimuksessa etsittiin vastauksia neljään kysymykseen. Tutkimuksessa selvitettiin miten suomalaiset viranomaistahot ohjeistavat yrityksiä tietoturvan huomioimiseksi, eli miten ja mitä viranomaistahojen tietoturvaohjeet sisältävät. Tutkimuksessa selvitettiin millainen on yritysten työntekijöiden motivaatio, eli pyrkimys, noudattaa tietoturvaohjeita ja mitkä tekijät motivoivat työntekijöitä heidän pyrkiessä noudattamaan tietoturvaohjeita. Lisäksi tutkittiin mitkä tekijät vaikuttavat motivaation syntymiseen ja muuttumiseen tietoturvaohjeiden noudattamisessa.
Tulosten mukaan tietoturvaohjeiden toteuttamisen motivaatio pysyy pääosin samana tai paranee
Tutkimuksen tuloksena saatiin selville, että työntekijät pyrkivät huomioimaan tietoturvan osana omaa päivittäistä toimintaansa, osana yrityksen liiketoimintaa sekä kiinteänä ja keskeisenä osana koko yrityksen toimintaa. Työntekijät ymmärtävät ja huomioivat työntekijän ja inhimillisen toiminnan tietoturvan suurimpana uhkana. Työntekijät huomioivat tietoturvan tällä hetkellä erityisesti sähköpostin ja henkilötietojen käsittelyssä sekä tietopääoman suojaamisessa. Yrityksen hyvään tietoturvatasoon vaikuttavat yleisesti parantunut hallinnollisen tietoturvan merkityksen näkyvyys. Tutkitussa yrityksessä työntekijöiden tietoturvatietoisuus on hyvä, he ymmärtävät tietoturvaohjeiden merkityksen ja tuntevat tietoturvatermistön.
Tulosten mukaan tietoturvaohjeiden toteuttamisen motivaatio pysyy pääosin samana tai paranee. Hyvään tietoturvakäyttäytymiseen motivoivat sekä sisäisen että ulkoisen motivaation tekijät. Eniten motivoivat oma usko tietoturvaohjeiden toteuttamisen tärkeydestä sekä toisen henkilön tai tilanteen vaatimus. Tuloksista ilmenee, että halu suojata yrityksen tietopääomaa lisää motivaatiota noudattaa yrityksen tietoturvaohjeita. Erityisesti työntekijät pyrkivät suojaamaan yrityksen tuotetietoja, henkilötietoja ja asiakastietoja. Motivaatiota parantaa tieto tietoturvariskeistä ja erityisesti yrityksen omat tiedotteet tietoturvauhkista. Myös yleinen keskustelu tietoturvasta lisää tietoturvaohjeiden noudattamisen motivaatiota. Vanhempien kollegojen toimimista esimerkkinä myös tietoturva-asioissa pidetään työntekijöiden keskuudessa hyvänä käytäntönä – heiltä kun kysytään ja opitaan muitakin oman toimenkuvan asioita. Positiivisella yrityksen tietoturvakulttuurilla pystytään vähentämään yrityksen tietopääomaan liittyviä riskejä.
Työntekijät eivät ole tietoisesti valmiita toimimaan yrityksen tietoturvaohjeiden vastaisesti, mikä poikkeaa aiemmista tieteellisistä tutkimustuloksista. Tutkimus kumoaa myös aiemmin todettuja väitöksiä, että tietoturvaohjelmat innostavat työntekijöitä heikosti eikä niillä ole työntekijöiden tietoturvakäyttäytymiseen parantavaa vaikutusta. Syynä tähän voidaan nähdä, että yrityksen työntekijät ymmärtävät tietoturvan merkityksen erityisesti tietojen suojaamisessa. Viimeisen kolmen vuoden aikana tietoturvaohjeiden noudattamisen motivaatioon on työntekijöiden mukaan vaikuttanut tietoteknisten laitteiden muutos, esimerkiksi älypuhelinten käyttöönotto. Tuloksista ilmenee kuitenkin, että työntekijät nimeävät joitakin tilanteita, joissa he voisivat kuvitella toimivansa tietoisesti yrityksen tietoturvaohjeiden vastaisesti. Tällainen on esimerkiksi, jos esimies tai ylempi johtaja määräisi toimimaan yrityksen tietoturvaohjeiden vastaisesti tai, jos työtehtävien hoitaminen ehdottomasti sitä vaatisi. Tutkimus siten vahvistaa aiempia tutkimustuloksia, joiden mukaan liiallinen tietoturvasta aiheutuva työmäärä aiheuttaa ristiriitoja työtehtävien toteuttamisen ja tietoturvaohjeiden noudattamisen välille.
Viranomaistahojen tulisi työstää tietoturvaohjeistuksia ja termistöä
Tulosten mukaan viranomaistahojen tulee ymmärtää, että tällä hetkellä tarjolla olevien tietoturvaohjeistajien ja -ohjeistusten määrä on runsas. Viranomaistahojen tulee pyrkiä vähentämään sekä ohjeistajia että ohjeistuksia. Ohjeistuksissa käytettävä termistö on kirjava, mikä hankaloittaa kokonaiskuvan muodostamista ohjeistuksista. Viranomaistahojen tulee pyrkiä selkiyttämään ja vakinaistamaan tietoturvaa koskeva termistö. Erityisesti Internetissä julkaistavat viranomaistahojen tietoturvaohjeistukset ovat nyt useissa osissa ja osittain erittäin pieninä paloina, minkä takia niiden lukeminen ja kokonaisvaltainen hahmottaminen on työlästä. Ohjeistukset tulee muuttaa muotoon, jossa ne ovat helpommin saatavilla kokonaisuuksina ja helpommin hahmotettavissa kokonaisvaltaisesti.
Yritysjohdon tulee toimia tietoturvakulttuurin luomiseksi
Tulosten perusteella suositellaan, että myös yritysten hallinnossa tulee keskustella ja päättää selkeästi mihin viranomaistahojen tietoturvaohjeistuksiin yrityksessä keskitytään ja mitä niistä pyritään noudattamaan. Yritysten tulee selkeämmin tuoda kaikkien työntekijöiden tietoisuuteen mitä tietoturvakäytänteitä yrityksessä noudatetaan ja miksi niin toimitaan. Yritysten tulee pyrkiä noudattamaan yhteisesti hyväksyttyjä tietoturvastandardeja ja -käytänteitä, jolloin työntekijöiden siirtyminen yrityksestä toiseen tukee tehokkaammin hyvien tietoturvakäytänteiden toteutumisen. Ihmisten oletetaan tietävän tietoturva-asiat jo ennestään, mikä ei välttämättä pidä paikkaansa. Yrityksen tietoturvakäytänteet tulee sisällyttää työhöntuloperehdytyksen osaksi. Tietoturvakulttuurin luomiseen ja vanhempien kollegojen antamaan hyvään tietoturvakäyttäytymisen esimerkkiin tulee panostaa yrityksissä. Uusista käyttöönotettavista tietoturvakäytänteistä tulee tiedottaa työntekijöille tehokkaasti. Yritysten tulee myös huolehtia, että tietoturvan tekniset toteutukset eivät estä työntekijöiden päivittäistä työskentelyä.
Yrityksen työntekijät tulee saada ymmärtämään erikseen kunkin tietoturvaohjeen kohdalla miksi kyseisen tietoturvaohjeen noudattaminen on yrityksessä tärkeää. Tietoturvaan perehdyttämisen tavoitteena tulee olla, että työntekijälle muodostuu oma ymmärrys kunkin tietoturvaohjeen toteuttamisen tärkeydestä. Perusteet tulee kertoa työntekijälle noudattamatta jättämisestä aiheutuvana konkreettisena vaikutuksena yrityksen käytännön toimintaan.
Tietosuoja-lehdessä julkaistussa artikkelissa (Castrén 2015) todetaan, että tietoturvaan sijoittaminen lisää yrityksen tuottavuutta ja kustannussäästöjä. Artikkelin mukaan tietoturvaan sijoittaminen on viisaan johtajan päätös. Tulevaisuudessa hallinnolliselta tietoturvalta sekä tietoturvaohjeistuksilta ja työntekijöiden motivaatiolta noudattaa niitä vaaditaan yhä enemmän, kun digitalisoituminen muuttaa liiketoimintaa.
Niina Kinnunen, lehtori (tietojenkäsittely), Haaga-Helia ammattikorkeakoulussa 1.8.2005 alkaen. etunimi.sukunimi [ät] haaga-helia.fi
KTT
Väitös 19.9.2015 Vaasan yliopistossa, aiheena: ”Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen”
Väitöstiedote: http://www.uva.fi/fi/news/kinnunenvaitos/
Väitöskirjan tilaus ja ladattava pdf: http://www.uva.fi/fi/research/publications/orders/database/?julkaisu=808