Tietoturvatietoisuus on koko organisaation asia
Usein tietoturvatietoisuus ymmärretään kapeasti, esimerkiksi pelkkänä kalasteluviestien välttämisenä ja turvallisena internetin käyttönä. Todellisuudessa sen tulisi tarkoittaa kaikkea tietoturvaan liittyvää koulutusta, tavoitteena yhtenäisen tietoturvakulttuurin rakentaminen yrityksessä.
Henkilöstön koulutus tulee rakentaa riskiperusteisesti ja huomioida eri roolit yrityksessä. Jos liiketoimintayksiköllä on oikeus hankkia sovelluksia itsenäisesti, heidän tulisi tuntea tietoturvaan liittyvät hyväksyntä- ja tarkistuspisteet, mukaan lukien toimialasääntelyyn liittyvät vaatimukset.
Esimerkiksi riski tietovuodosta voi realisoitua, jos sovellusten hankinnassa ei noudateta tietoturvaohjeita. Pahimmillaan sovellus on jo otettu käyttöön ja ladattu täyteen henkilöstön tai asiakkaiden dataa ennen kuin tietoturvavastaava edes tietää hankinnasta – ja sovelluksen tietoturvan taso osoittautuu puutteelliseksi.
Johdon rooli onnistuneessa tietoturvakulttuurissa
Yrityksen johdon merkitystä onnistuneen tietoturvakulttuurin luomisessa ei voi väheksyä. Yrityksen hallituksen tulisi tunnistaa merkittävimmät kyberriskit ja käsitellä niitä säännöllisesti hallituksen tasolla. Johdon sekä hallituksen on tärkeää ymmärtää kyberriskien vaikutus oman toimialan sisällä sekä suurimmissa sidosryhmissä. Hallituksen velvollisuus on varmistaa, että toimitusjohtajalle on selvää, mikä hallituksen tahtotila kyberriskien hallinnassa on.
Tietoturvakulttuurin rakentaminen kärsii, jos hallituksen linjaus ei näy työntekijätasolle asti. Monesti tietoturvaa vetää tietoturvatiimi tai tietoturvapäällikkö, jolla ei välttämättä ole suoraa yhteyttä ylimpään johtoon. Jos yrityksen tahtotilaa ei ole selkeästi viestitty, kybertaitojen kehittäminen voi jäädä liiketoimintojen sekä IT:n prioriteettilistalla toissijaiseksi. Tällöin henkilöstön sitoutuminen heikkenee, eikä tietoturvatiimin antamia ohjeita välttämättä noudateta, koska niiden koetaan olevan oman työn kannalta epäolennaisia.
Motivointi ja koulutus luovat turvallisen toimintaympäristön
Motivointi tietoturvakäytäntöjen ja -ohjeiden noudattamiseen voi olla haastavaa, jos henkilöstölle ei anneta riittävästi aikaa ja mahdollisuuksia sisäistää tietoturvaa osaksi päivittäisiä tehtäviä. Johto toimii tässä avainasemassa: johtaja johtaa esimerkillään ja luo puitteet tietoturvakulttuurin kasvamiselle. Kun henkilökunnalla on mahdollisuus käyttää työaikaa tietoturvan opiskeluun ja huomiointiin, päästään parempiin tuloksiin kuin olettamalla tietoturvatietoisuuden syntyvän itsestään.
Organisaation on myös hyvä nimetä selkeästi tietoturva-asiantuntijan, tietoturvapäällikön, CISOn tai vastaavan rooli, johon henkilökunta voi avoimesti olla yhteydessä pienissäkin kysymyksissä.
Ihmiset oppivat eri tavoin – koulutusten monipuolisuus kannattaa
Koska ihmiset oppivat ja sisäistävät tietoa eri tavoin, tietoturvatietoa kannattaa tarjota monipuolisesti eri oppimiskanavien kautta. Vaikka tietoturvakoulutusten tarjoaminen monimuotoisina on tärkeää, osan koulutuksista tulisi silti olla pakollisia ja samansisältöisiä kaikille. Muuten vaarana on, että tietoturvakulttuuri rakentuu vain niihin tiimeihin, jotka ovat valmiiksi aktiivisia.
Tietoturvakulttuuria rakennetaan hyvällä viestinnällä ja jatkuvalla toistolla. Yrityksen tietoturvaohjeet ja -käytännöt tulee kouluttaa henkilökunnalle säännöllisin väliajoin ja niiden tulee olla helposti löydettävissä.
Tietoturvakulttuuri suojaa yrityksen liiketoimintaa
Parhaiten henkilökuntaan kohdistuvilta ja henkilökunnan tietämättömyyttään aiheuttamilta tietoturvapoikkeamilta suojaudutaan tarjoamalla puitteet osaamisen jatkuvalle kehittämiselle myös tietoturvan osalta. Koulutukseen panostaminen kannattaa, sillä sen avulla voidaan estää merkittävien kyberriskien toteutuminen sekä niihin liittyvät taloudelliset tappiot ja yrityksen maineen vahingoittuminen.
Hyvin rakennettu tietoturvakulttuuri on investointi yrityksen tulevaisuuteen, joka maksaa itsensä takaisin moninkertaisesti
Ratkaisut
Mint Security edustaa KnowBe4 tietoturvatietoisuusalustaa, jossa on valmiita koulutuksia ja johon voi lisätä omia dokumentteja PDF-muodossa tai tuottaa omaa materiaalia SCORM-tiedostoina.
