Ads 468x60px

tiistai 22. marraskuuta 2011

Tietoturvatietoisuudesta...

Henkilökunnan tietoturvatietoisuus ja sitä myöten, toivottavasti, parantuva tietoturvallinen käyttäytyminen ovat oleellinen osa jokaisen yrityksen tietoturvallisuuden hallintaa. Perusajatus on, että henkilökunnan tulisi olla riittävän tietoinen tietoturvallisuudesta, jotta he voivat itsenäisesti tunnistaa tilanteita, jotka mahdollisesti uhkaavat yrityksen tietoturvallisuutta ja osaavat toimia tilanteessa oikein. Tämän lisäksi henkilöstön tulisi tietää se mitä tietoturvapolitiikka ja sitä heijastava muu ohjeistus sisältää sekä toimia politiikan ja ohjeistuksen mukaisesti. Tietoturvakoulutus ja tietoturvatietoisuuskampanjat (”awareness”) tähtäävät juuri näiden taitojen ja tietojen kasvattamiseen.

Viime viikot ovat tässä suhteessa olleet mielenkiintoisia. Olemme saaneet Suomeen kaksi uutta tohtoria, jotka ovat tehneet väitöksensä juuri tähän liittyen, Viestintävirasto julkaisi uuden tietoturvallisuuden tietoisuutta lisäävän kampanjan ”Internetin itsepuolustuskurssi” ja viime viikon lopulla Euroopan verkko- ja tietoturvavirasto ENISA julkaisi ison kasan videomateriaalia 23 kielellä (saatavilla myös suomeksi). Linkit materiaaleihin löytyvät artikkelin lopusta.
Oulun yliopisto, johon edellä mainitsemani tuoreet tohtoritkin väitöksensä tekivät, on professori Mikko Siposen johdolla jo vuosituhannen alkupuolelta saakka tehnyt ahkerasti töitä tutkimalla tietoturvatietoisuuden parantamisen keinoja ja etsimällä syitä henkilökunnan heikkoon tietoturvapolitiikkojen ja ohjeistuksen noudattamiseen. Voidaan varmasti sanoa, että tässä tutkimuksessa Oulun yliopisto on maailman johtava tutkimuslaitos. Yhteenvetona tutkimuksesta todettakoon että henkilökunnan syyt rikkoa ovat moninaiset ja motivointi sekä henkilökunnan käytöksen muuttaminen hankalaa. Vaikka kyseessä on hyvin käytännönläheistä tutkimusta, valitettavan harva tietoturva-ammattilainen on tietoinen tehdystä tutkimuksesta.

Tietoturvatietoisuuden lisäämisen tärkeys on myös huomattu käytännöntasolla. Nyt julkaistut tietoturvatietoisuusmateriaalit, kuten monet muut aiemmat, sisältävät ainakin yhden yhteisen tekijän; materiaalit ovat tehty huumorilla. Videoiden oletettu teho perustuu siis olettamukseen siitä, että monen mielestä kuiva ja tylsä aihe saadaan mielenkiintoiseksi katsojille huumorin avulla ja näin ollen viesti saadaan paremmin perille. Valitettavasti vain huumori on erittäin vaikea taiteenlaji. Katsoessani (erityisesti ENISAn) videoita en ainakaan itse nauranut. Valitettavasti reaktioni on usein ollut sama katsoessani vastaavia kampanjoita. En myöskään ole tietoinen siitä, onko huumorin osoitettu olevan tehokas keino lisätä tietoturvatietoisuutta ja, mikä oleellista, saavutetaanko sitä kautta haluttu henkilökunnan käyttäytymisen muutos. Yleensä se mikä toimii yhdelle ei toimi kaikille. Tämä tekee juuri yleisesti kampanjoista vaikeita. Joillekin varmasti paras keino on juurikin huumori, toiset haluavat kovia faktoja kuten statistiikkoja ja kolmas ärsyyntyy jo pelkästä ”tietoturva”-sanasta. Varmaa on kuitenkin se, että epäonnistuessaan tietoisuuskampanjalla voi olla hyvinkin negatiivinen vaikutus, kuten millä tahansa epäonnistuneella mainoskampanjalla.

Kokemukseni mukaan, nykyään edelleen harva suomalainen yritys harjoittaa tietoturvatietoisuuskampanjoita (tässä en laske mukaan niitä organisaaatioita, joiden intranetin syvyyksissä on jokin video, joka organisaation oli pakko tehdä auditoinnista läpi päästäkseen). Lieneekö syynä juuri sen vaikeus vaiko se ettei yleensä kovin IT-taustaiset tietoturva-ammattilaiset ole kokeneet keinoa omakseen? Kuitenkin viimeaikaisten, paljon mediahuomioita saaneiden, tietoturvaloukkausten kautta henkilökunnan kiinnostus tietoturvaan on varmasti lisääntynyt ja moni kaipaisi lisätietoa. Tämän kaltaiset tapahtumat avaavatkin hienon mahdollisuuden organisaatioiden tietoturvallisuushenkilöstölle saada aidosti kiinnostuneita henkilöitä kuuntelemaan esitystä tapahtumista ja jonka yhteydessä voidaan samalla kertoa myös organisaation omista tietoturvatavoitteista, vaatimuksista ja syistä vaatimusten taustalla.

Linkkejä viittaamaani materiaaliin:

Väitöskirja ” Tietoturvakoulutuksen vaikuttavuuden arviointi yksilön ja organisaation tietoturvakäyttäytymiseen”, http://jultika.oulu.fi/Record/isbn978-951-42-9571-3

Väitöskirja “Improving employees’ information systems (IS) security behavior : Toward a meta-theory of IS security training and a new framework for understanding employees' IS security behavior”, http://jultika.oulu.fi/Record/isbn978-951-42-9567-6

Internetin itsepuolustuskurssi:
http://www.tietoturvaopas.fi/perusohjeet/tietoturvaiskut/internetin_itsepuolustuskurssi.html

ENISAn videot: http://www.enisa.europa.eu/media/press-releases/enisa-launches-information-security-awareness-videos-in-23-european-languages

1 kommentti:

Mika Iivari kirjoitti...

Olen törmännyt muutamalla asiakkaallamme tietoisuuskampanjoihin ja ollut mukana myös suunnittelemassa muutamaa toteutusta, jotka ovat sisältäneet varsin monipuolista sisältöä; luentoja, uutisia intrassa, postereita käytävillä ja neuvotteluhuoneissa, vihkosia, itseopiskelupaketteja, kilpailuja, palkintoja jne. Erään kampanjan yhteydessä kaikille organisaation työntekijöille jaettiin tietoturvan perussäännöt sisältävä kynä. Eli eivät nämä asiat Suomessakaan tavattoman harvinaisia ole.

Lähetä kommentti