Ads 468x60px

maanantai 19. syyskuuta 2011

Tietoturvakoulutus – hieno juttu, mutta mistä aloittaa?

Monessa yhteydessä on korostettu, että organisaation tulisi kouluttaa henkilöstöään säännöllisesti (myös) tietoturvatietouden osalta. Itse asiassa tämä vaatimus tietoturvakoulutuksesta ei ole mikään uusi juttu, vaan kansanväliset tietoturvakriteeristöt (kuten ISO27001 ja PCI DSS) ovat edellyttäneet säännöllisestä kouluttamista (muodossa tai toisessa) jo pitkään. Kansallisella tasolla tietoturvakoulutuksen merkitystä on pyritty nostamaan mm. niin, että tietoturvatasoihin on tuotu oma vaatimus (1.3.1 Osaamisen ja tietoisuuden kehittäminen sekä sanktiot) tietoturvakoulutukselle.

Karkeasti voidaan sanoa, että kritteeristöjen vaatimukset täyttyvät sillä, että organisaatio järjestäisi itse, tai ostaisi ulkopuoliselta, jonkun satunnaisen tietoturvakoulutuksen kerran vuodessa. En kuitenkaan pidä tätä hyvänä lähestymisenä, koska tällöin hyvin harvoin tarjottu koulutus ja organisaation henkilöstön todellinen koulutustarve kohtaavat.

Näinpä, jos organisaatiossa ei ole (vielä) käynnissä suunnitelmallista tietoturvakoulutusta eikä organisaatiossa oikein edes vielä tiedetä mistä lähteä liikkeelle, niin asiaa voisi alkaa purkamaan alla olevien kysymysten kautta. Vastausten perusteella organisaation pitäisi saada karkea käsityksen siitä, mitä mieltä organisaation henkilöstö on koulutustarpeistaan. Tämä taas on äärimmäisen arvokasta tietoa siinä vaiheessa kun organisaatio miettii mistä lähteä liikkeelle.

Yleisesti ottaen tietoturvakoulutuksen osalta suosin itse mallia, jossa koko organisaation henkilöstölle järjestetään vuosittain ”peruskoulutus”. Tässä koulutuksessa kerrataan kaikille yhteisiä perusteita sekä nostetaan esiin ajankohtaisia aiheita. Tämän lisäksi, esimerkiksi noin puolen vuoden kuluttua peruskoulutuksesta, tulisi eri henkilöstöryhmille järjestää kohdistettua henkilöiden työtehtäviin liittyvää tietoturvakoulutusta. (Kohderyhminä voivat olla esimerkiksi sovelluskehittäjät, järjestelmien ylläpitäjät, asiakaspalvelijat, toimistotyöntekijät jne.) Näin koulutus voidaan räätälöidä henkilöiden tarpeiden mukaan, jolloin myös motivaatio oppimiseen on huomattavasti suurempi. Vielä kun koulutukselle laaditaan pitkän aikavälin suunnitelma; 2011 keskitymme tähän, 2012 tuohon, 2013 on vuorossa se jne, niin organisaatiolla on oivat perusteet onnistuneeseen henkilöstön tietoturvatietotaidon kehittämiseen ja ylläpitoon!


Terveisin

Antti


Kysymyksiä organisaation henkilöstön tietoturvakoulutustarpeen selvittämiseksi

  • Oletko lukenut organisaatiomme tietoturvapolitiikkaa?
    [kyllä | ei]
  • Saatko riittävästi tietoturvakoulutusta?
    [kyllä | ei]
  • Kuinka usein tietoturvakoulutusta tulisi järjestää?
    [kerran vuodessa | kaksi kertaa vuodessa | useammin kuin keksi kertaa vuodessa | harvemmin kuin kerran vuodessa]
  • Miten tietoturvakoulutus tulisi järjestää?
    [Luokkamaisena opetuksena | verkkopohjaisena koulutuksena | pienryhmissä | Muuten: miten?]
  • Mitä aiheita koulutuksessa tulisi käsitellä? (Valitse mielestäsi kolme tärkeintä)
    • Sähköpostin turvallinen käyttö Salasanojen turvallisuus
    • Internetin turvallinen käyttö
    • Työasemien turvallinen käyttö
    • Yksityisyyden suojaaminen verkossa
    • Tiedon käsittely ja sen luokittelu
    • Tietojenkalastelulta suojautuminen (social engineering)
    • Tiedon salaaminen
    • Sosiaalisen median turvallinen käyttö
    • Henkilötietojen oikeaoppinen käsittely
    • Jotain muuta: mitä?
  • Käytätkö työkäytössä olevaa käyttäjätunnusta ja salasanaa henkilökohtaisissa palveluissa?
    [kyllä | ei]
  • Tiedätkö mitkä ovat organisaatiomme suositukset vahvalle salasanalle?
    [kyllä | en | en tiedä organisaatiomme suosituksia, mutta tiedän vahvan salasana vaatimukset]
  • Tiedätkö kuinka sinun tulee käsitellä työtehtäviisi liittyvää aiheistoa työpaikan ulkopuolella Etätyö, työskentely julkisella paikalla)?
    [kyllä | ei | luulisin, mutta tarvitsen lisätietoa]
  • Käytänkö ulkopuolisia henkilökohtaiseen käyttöön tarkoitettuja palveluita työtehtävien hoitamisessa? (Esimerkiksi Google docs, Gmail, Dropbox, jne)
    [kyllä | ei]

Ei kommentteja:

Lähetä kommentti