07.06.2023 09:15

Henkilöstön tietoturvakouluttaminen – miten ja miksi?

”Käyttämiesi ohjelmistojen lisenssi päättyy kolmen päivän kuluttua. Jatkaaksesi ohjelmistojen käyttöä, paina TÄSTÄ!”

Klikkaisitko ”tästä”-sanassa olevaa linkkiä? Kyberrikolliset lähettävät huijausviestejä, koska ne toimivat. Huijausviestien tunnistaminen kuuluu olennaisena osana organisaatioiden tietoturvakoulutuksiin. Tässä kirjoituksessa selitän lyhyesti, mitä organisaation tietoturvakoulutuksessa tulisi huomioida.

Jokaisessa organisaatiossa on asenteita, erilaisia käsityksiä sekä uskomuksia tietoturvaa ja sen toteuttamista kohtaan. Tätä kokonaisuutta kutsutaan tietoturvakulttuuriksi, joka rakentuu tietoturvatietoisuuden päälle. Yleensä tietoturvan merkitystä korostaessa tulee mieleen tiedon luottamuksellisuus. Kuitenkin tiedon oikeellisuus sekä tiedon ja järjestelmien saatavuus ovat tärkeitä, kun turvataan organisaation päivittäistä toimintaa. Henkilöstön tiedot, taidot ja tietoisuus tietoturvan merkityksestä ovatkin avainasemassa organisaation turvaamisessa. Säännölliset tietoturvakoulutukset ovat yksi yleisimmistä tavoista ylläpitää ja kehittää henkilöstön taitoja sekä tietoturvatietoisuutta.

Koulutuksen toteuttamisessa on erilaisia tapoja, mutta tavoite on sama: varmistaa henkilöstön turvallisen työskentelyn edellytykset. Tietoturvakoulutuksia järjestetäänkin pakollisena osana perehdyttämisprosessia sekä säännöllisin väliajoin uudelleenkoulutuksena. Koulutusmuotona voi olla luokkahuoneessa tapahtuva, perinteinen koulutus tai verkkopohjainen koulutus, jonka jokainen voi suorittaa silloin, kun itselle parhaiten sopii. Tietoturvakoulutukseen osallistuneista henkilöistä kannattaa pitää kirjaa, sillä jokaisen organisaation jäsenen osallistuminen koulutukseen on tärkeää.

Perustietoisuus tulee olla jokaisella, mutta tietyissä työtehtävissä olevat henkilöt tarvitsevat työnsä vuoksi kattavampaa koulutusta. Perinteisinä esimerkkeinä mainittakoon taloushallinnossa tai ICT:n parissa työskentelevät. Usein kuitenkin jää huomaamatta muutamat roolit, joiden syvällisempi kouluttaminen voi olla organisaatiossa paikallaan. Esimerkkeinä työnjohtajat, projektipäälliköt, lähiesihenkilöt ja ohjelmistojen pääkäyttäjät.

Miten sitten tulisi kouluttaa ja miksi?

Koulutuksen sisällön tulee perustua organisaation omiin, ylätason dokumentteihin, joihin henkilöstö voi tarvittaessa palata ja tarkastaa epäselviä asioita. Organisaation tietoturvapolitiikka, tietosuojapolitiikka, hyväksytyt käyttösäännöt ja mahdollinen etätyöpolitiikka ovat siis koulutuksen keskiössä. Koulutuksen suunnittelussa on pidettävä mielessä henkilöstön näkökulmasta ensisijainen tavoite: henkilöstön riittävä varmuus ja tietotaito toimia turvallisesti. Tämä vaatii sen, että koulutuksen pääasiallinen ajatus on uuden oppiminen ja vanhan kertaaminen. Ei niinkään rangaistusten ja seuraamusten korostaminen. Onnistunut koulutus näkyykin henkilöstön työtapojen ja toimintamallien muutoksena parempaan, tietoturvallisempaan suuntaan. Henkilöstö tietää myös, mistä varmistaa oikeat menettelytavat, mistä tarvittaessa saa lisätietoa ja tukea sekä kenelle mahdolliset tietoturvaloukkaukset tulee ilmoittaa.

Yhteenvetona voisi todeta, että organisaation tulisi kouluttaa ja säännöllisesti uudelleenkouluttaa koko henkilöstönsä toimimaan tietoturvallisesti. Tietoturva on viime kädessä organisaation johdon vastuulla. Tästä syystä tulee huolehtia, että henkilöstöllä on mahdollisuus kouluttautua suorittaakseen työtehtävänsä turvallisesti. Tekniset ratkaisut ovat tarpeellisia ja välttämättömiä, mutta ne eivät yksinään riitä, sillä tietojärjestelmää käyttää ihminen. Ihminen tekee inhimillisesti virheitä, mutta oikealla koulutuksella virheiden mahdollisuutta ja seurauksia voidaan pienentää huomattavasti.

Jäsenenä saat maksutonta neuvontaa liiketoiminnan eri kysymyksissä

Tarvitsetko tietoa verotuksesta, taloushallinnosta, työsuhteista tai yrityksen kauppasopimuksista? Kysymyksiisi vastaavat yritystoimintaan erikoistuneet keskisuomalaiset lakimiehet ja tilintarkastajat. Voit ottaa suoraan yhteyttä yhteistyökumppaneihimme tai lähettää kysymyksesi kauppakamariin: neuvonta@kskauppakamari.fi.