Ads 468x60px

maanantai 13. elokuuta 2012

Onko henkilöstön tietoturvatietoisuudella mitään väliä?

Immunityn (Immunity Inc.) Dave Aitel on herättänyt laajaa verkkokeskustelua henkilöstön tietoturvakoulutukseen hyvin kriittisesti suhtautuvalla artikkelillaan [1]. Hän kyseenalaistaa tietoturvakoulutuksen hyödyt, vedoten siihen että koulutuksen käynyt henkilö saattaa silti sortua avaamaan haitallisen liitetiedoston tai klikkaamaan haitallista linkkiä.

Artikkelissa mainitaan, että edistyneen tietoturvatietoisuusohjelman omaavilla yrityksillä ns. "click-through rate" eli todennäköisyys sortua em. hyökkäyksiin on edelleen luokkaa 5-10 prosenttia. Suomalaisiin organisaatioihin vertailu ei ole aivan suoraviivaista, koska mm. suomen kieli on pitkään toiminut suojamuurina haittaviestejä vastaan. Tilanne on kuitenkin muuttumassa automaattisten käännöstyökalujen parantuessa. Toisaalta kansainvälistymisen myötä myös englanninkielisen viestinnän osuus kasvaa. On siis hyvin kuviteltavissa että vastaavantyyppisiä lukemia saataisiin myös, jos asiaa lähdettäisiin tutkimaan Suomen mittakaavassa.

Vastakkaisen näkökulman tarjoaa Brent Hutflessin postaus Infosec Island -blogissa [2]. Hänen mukaansa tietoturvakoulutuksella on merkitystä, mikäli yksikin koulutuksen käynyt henkilö tunnistaa hyökkäyksen ja raportoi sen. Näin organisaatio pystyy reagoimaan hyökkäykseen ja mahdollisesti rajoittamaan sen vaikutuksia. Pahin tilanne on, jos hyökkäystä ei koskaan havaita vaan vasta sen seuraamukset.

Tietoturvatietoisuus ja sen ylläpito on myös tärkeä osa tietoturvallisuuden kerrosmallia - mikään kerros yksinään ei pysty estämään kaikkia hyökkäyksiä mutta yhdessä toimien hyökkäyksen todennäköisyys saadaan hyväksyttäviin rajoihin.

Millainen sitten on hyvä tietoturvakoulutus? Tämä on ikuisuuskysymys, eikä yhtä kaikille organisaatioille sopivaa mallia varmastikaan tulla löytämään. Oleellista on se, että henkilöstö saadaan ymmärtämään tietoturvallisuuden merkitys, ja tähän käytännön esimerkit ovat huomattavasti tehokkaampia kuin kalvosulkeiset. Itse painotan aina myös esimerkillä johtamista - mikäli lähiesimies ei ota tietoturvallisuutta vakavasti, ei näin tee myöskään alainen. Organisaation työvälineiden ja työskentelytapojen tulee myös mahdollistaa ja ohjata tietoturvalliseen toimintaan.

KPMG tarjoaa tietoturvakoulutuksia, joihin suosittelen organisaation avainhenkilöitä tutustumaan. Mielellämme myös avustamme organisaatioita tietoturvatietoisuuden kehittämisessä ja sopivan koulutusmallin laatimisessa.

/Samuel Korpi/

[1] Why you shouldn't train employees for security awareness, CSO Online, 18.7.2012

[2] Why Effective Awareness Training Matters, Infosec Island, 13.8.2012

Ei kommentteja:

Lähetä kommentti