Usein yritykset suojelevat työntekijöitään riskeiltä ostamalla kybervakuutuksia, tietoturvatuotteita, tietoturvakonsulttien palveluita tai lakimiehiä suojelemaan organisaatiota tietoturvariskeiltä. Kun pyritään tunnistamaan tietoturvariskejä organisaatiossa, jää usein huomaamatta yksittäisen työntekijän inhimillisen virheen mahdollisuus. Kokemuksemme mukaan yrityksen henkilöstön tietoturvakoulutuksesta ei välttämättä huolehdita muuten, kuin sertifikaatin vaatimukset edellyttämällä, helpoimmalla ja edullisimmalla tavalla. Mitä vaaditaan henkilöstölle suunnitellun tietoturvatietoisuuden kasvattamiseen tähtäävän koulutuksen järjestämisessä? Mitkä ovat edellytykset onnistumiseen?
Mikä on tietoturvakoulutus?
Tietoturvakoulutus on koulutus, joka tähtää organisaation henkilöstön tietoturvatietoisuuden tason kasvattamiseen työelämässä, kotona ja matkoilla. Organisaation turvallisuusstrategia toimii vain, jos henkilöstö on riittävästi koulutettu tietoturvariskien varalta. Tietoturvakoulutuksen tärkeyttä ei pidä aliarvioida, eikä sitä pidä nähdä pelkästään välineenä työntekijöihin kohdistuvien riskien hallinnassa. Organisaation pitäisi nähdä henkilöstön tietoturvatietoisuus yhtenä mittarina koko organisaation tietoturvan tasoa arvioitaessa. Ideaalitilanteessa tietoturvatietoisuus on otettu mukaan tietoturvakulttuuriin ja henkilöstö kykenee toimimaan itsenäisesti kohdatessaan tietoturvapoikkeaman. Tämän takia on tärkeää, että organisaatiossa suhtaudutaan vakavasti koulutuksen tärkeyteen johtoportaasta käsin.
Koulutus voi koostua peleistä, kyselyistä, videoista, webinaareista tai esimerkiksi verkkokoulutuspalveluista. Sen voi toteuttaa avaamalla ensin koulutuksen yhteisellä istunnolla, jossa käsitellään organisaation henkilöstöön kohdistuvat tärkeimmät uhat. Kertauskoulututukseen voi riittää pelkästään lyhyet välikyselyt tai videot, jotka auttavat henkilöstöä palauttamaan mieleen koulutuksen aiheet. Erityisen tärkeää on osata tehdä koulutuksesta henkilöstölle mielekästä, jotta kiinnostus aiheeseen herää ja oma rooli organisaation turvallisuuden tekijänä korostuu.
Standardin edellyttämänä
Tietoturvatietoisuuden koulutusohjelma saatetaan toteuttaa organisaatiossa pääasiassa täyttämään tiettyjä vaatimustenmukaisuuksia tai auditointikriteeristöjä. Useimmiten tällainen tietoturvakoulutus on rajattu vuosittaiseen tai ad-hoc-tyyliseen koulutukseen. Koulutuksen tuloksena työntekijät tiedostavat tietoturvan peruskäsitteet, mutta eivät välttämättä tunne organisaation tietoturvapolitiikkaa tai omaa rooliaan ja vastuutaan organisaation tietovarantojen suojelemisessa. Kyky tietoturvapoikkeamien ennaltaehkäisyyn, havainnointiin tai raportointiin saattaa myös jäädä vaillinaiseksi.
Kansainväliset standardit, jotka vaativat henkilöstön tietoturvakoulutusta:
- ISO/IEC 27002
- PCI-DSS
- EU:n yleinen tietosuoja-asetus (GDPR)
Kansainvälisten standardien lisäksi VAHTI (Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä) ohjeistaa julkishallinnon organisaatioiden johtoa huolehtimaan henkilöstön tietoturvaosaamisen, tietoturvakulttuurin ja -tietoisuuden jatkuvasta kehittämisestä oppaassaan Henkilöstön tietoturvaohje (4/2013). Tätä ohjetta voidaan soveltaa myös yksityisen puolen yrityksiin.
Ota koulutus mukaan osaksi tietoturvaprosessia
Tietoturva ei ole tuote, eikä se ole jonkun tietyn toiminnan lopputulos. Se on prosessi, jonka tulisi kehittyä jatkuvasti muuttuvan ympäristön mukana. Samoin koulutusohjelman tulisi tunnistaa koulutusaiheet, jotka tukevat yrityksen missiota ja samalla sopivat jatkuvasti muuttuvaan ympäristöön. Hyvä ohjelma laajenee vuosittaisesta pakollisesta koulutuksesta kattamaan jatkuvan, säännöllisesti tapahtuvan uudelleenkoulutuksen vuoden ympäri. Tällä taataan, että tietoturva ja tietoturvaohjeistus ovat mukana yrityksen jokapäiväisessä toiminnassa. Koulutuksen sisällön tulisi olla sen verran houkutteleva ja miellyttävä, että se kannustaa henkilöitä toimintatapojensa muutokseen työympäristön ulkopuolellakin. Tuloksena henkilöstö ymmärtää organisaation tietoturvapolitiikan tärkeyden ja aktiivisesti tunnistaa, ennaltaehkäisee ja raportoi tietoturvapoikkeamista.
Tämän tilanteen saavuttamiseksi kannattaa lähteä liikkeelle tunnistamalla seuraavat asiat:
- Keille kaikille koulutusohjelma on suunnattu? Erilaiset työtehtävät saattavat vaatia erilaista koulutusta. Esimerkiksi tietohallinnossa työskenteleville ja henkilöstöhallinnossa työskenteleville tulisi järjestää erilainen tietoturvakoulutus.
- Mitä ja miten koulutusohjelmasta viestitään kohdehenkilöille? Koulutuksen tavoitteena on olla mahdollisimman lyhyt, mahdollisimman suurella vaikuttavuudella. Tämä sisältää myös riskianalyysin, jolla pyritään osoittamaan suurimmat henkilöstöön kohdistuvat tietoturvariskit organisaatiossa ja mitä toimintamalleja täytyy muuttaa riskien lieventämiseksi.
- Miten henkilöstön tietoturvakoulutus järjestetään? Pääkoulutus keskittyy yleensä uuden asian opettamiseen ja järjestetään useimmiten vuosittain tai joka toinen vuosi. Tämä voi sisältää luentosalikoulutusta, verkkokoulutusta tai molempia. Kertauskoulutusta käytetään muuna aikana tehostamaan koulutuksen pääkohtia. Kertauskoulutus voi koostua esimerkiksi verkkolähetyksistä, uutiskirjeistä, välitesteistä tai blogikirjoituksista.
- Raportoi tuloksista organisaation johdolle. Tulokset voivat koostua esimerkiksi suoritusraporteista osastoittain ja miten koulutustavoitteet ovat täyttyneet. Tuloksia voi myös havainnoida laajemmalla tasolla, esimerkiksi prosenttikohtaista tietoa kuukausittaisista teennäisten tietojenkalasteluviestien klikkaamisesta, tietojärjestelmien saastumisesta, raportoiduista tietoturvapoikkeamista tai jaettujen ja/tai heikkojen salasanojen määrästä organisaatiossa.
”Koulutus vie hirveästi aikaa”
Kokemuksemme mukaan työnantajat perustelevat usein koulutuksen järjestämisen laiminlyöntiä sillä, että työntekijöiden irtautuminen työtehtävistään tulee kalliiksi ja työntekijöiden työpanos kärsii koulutuksesta. Aika usein näihin koulutustilaisuuksiin jää tulematta riskikäyttäytymiseen taipuvat työntekijät, jotka eivät koe koulutuksen koskettavan heitä. Tässä on kuitenkin hyvä muistaa tietoturvakoulutuksen pidemmän aikavälin tavoitteet turvallisuuskulttuurin kehittymisestä.
Henkilöstön tietoturvakoulutus voidaan järjestää esimerkiksi lyhyitä koulutusvideoita hyödyntäen, jotta työntekijöiden työpanos ei kärsisi. Jo muutamat lyhyet kysymykset saattavat palauttaa mieleen aiemmin opittuja asioita, jotka ovat mahdollisesti jo unohtuneet. Koulutuksesta voi myös tehdä kilpailuhenkistä, jolloin suoritukset pisteytetään tulostaululle ja voittajalle annetaan palkinnoksi esimerkiksi tablettitietokone tai muu lahja. Tämä aktivoi henkilöstöä suorittamaan koulutuksia ja ottaa huomioon myös vähemmän kilpailuhenkiset henkilöt. Palkintojen ei ole välttämätöntä olla kalliita, vaan ajatus palkitsemisesta on tärkein. Mikäli tähän ei haluta ryhtyä, diplomien jakaminen muistoksi suorituksesta voi riittää.
Kuinka voimme auttaa tietoturvakoulutuksen järjestämisessä?
Me 2NS:llä autamme asiakkaitamme kouluttamaan henkilöstöään tietoturvatietoisemmaksi. Opetamme asiakkaita tunnistamaan ja välttämään keskeisimmät henkilöstöön kohdistuvat tietoturvariskit. Tarjoamme apuamme myös tulosten seurantaan ja analysointiin.