Parhaimmillaan organisaation työntekijät voivat olla aktiivinen suojauskerros kyberhyökkäyksiä vastaan. Aktiivinen tietoturvakoulutus ja -ohjeistus on tapa tarjota työntekijöille ajantasaisia toimintaohjeita ja ymmärrystä, joiden avulla he pystyvät estämään tietoturvauhkien toteutumista.
Pelkkä tietoisuus tietojenkalastelusta, haittaohjelmista, salasanahyökkäyksistä tai muista henkilöstölähtöisistä tietoturvauhkista ei kuitenkaan riitä. Työntekijöiden on tärkeää omaksua turvallisia toimintamalleja, jotka automaattisesti pienentävät riskejä. Tärkeää on toki myös osata reagoida, kun työntekijä havaitsee jonkin olevan vialla. Työntekijöille on opetettava, miten toimia turvallisesti. Tarvitaan osaamista laajentavaa tietoturvakoulutusta sekä selkeitä toimintamalleja opettavaa tietoturvaohjeistusta.
Hyvätkin toimintaohjeet saattavat kuitenkin jäädä noudattamatta, mikäli henkilöstö ei ymmärrä, miksi tällainen ohje on olemassa. Toimiva tietoturvaohjeistus opettaa työntekijöille selkeitä, turvallisia toimintatapoja. Parhaimmillaan ohjeistus lisäksi kertoo, miksi näiden ohjeistusten noudattaminen on tärkeää.
Kun autamme ihmisiä ymmärtämään uhkia, annamme selkeä toimintaohjeet ja kerromme, miksi ohjetta on tärkeää noudattaa, annamme heille mahdollisuudet toimia turvallisesti ja suojata tietojamme. Kun työntekijää vielä pyydetään hyväksymään kukin toimintaohje, alkaa syntyä sitoutumista tietoturvatekemiseen.
Parhaimmillaan tietoturvakoulutus ja -ohjeistus synnyttävät jaettua tunnetta vastuusta. Olemme kaikki omalta osaltamme suojaamassa organisaatiomme tärkeitä tietoja. Osallistamalla koko henkilöstön ketterin ja fiksuin toimintatavoin, viestit tietoturvan olevan tärkeää ja jokaisen osallistumista tarvittavan.
Moni organisaatio saattaa investoida suoraviivaisemmin teknisen tietoturvan parantamiseen, koska tällaisia ratkaisuja voidaan ottaa käyttöön muutamien avainhenkilöiden voimien, "häiritsemättä" muuta organisaatiota. Gartner ennusti jo vuonna 2019 yritysten käyttävän 124 miljardia dollaria teknisiin suojausratkaisuihin.
Useimmat tietoturvaloukkaukset alkavat kuitenkin inhimillisestä virheestä, jota ei olisi voitu estää teknisin ratkaisuin. Ilman toimivaa ohjeistusta ja koulutusta työntekijämme saattavat olla helppoja kohteita hyökkääjille. Usein tehokkain tapa kehittää oman organisaation digiturvatasoa onkin panostaa näihin teemoihin.
Organisaation tulee ohjata työntekijöitä toimimaan turvallisesti käsitellessään organisaation tietoja. Iso osa ohjeista toimii myös työelämän ulkopuolella. Tietojenkalastelun estäminen, mobiililaitteiden turvallinen käyttö tai fiksut salasanakäytännöt auttavat työntekijää parantamaan myös vaikkapa oman perheensä tietoturvaa.
Olemme listanneet aiemmin nykyajan tärkeimpiä tietoturvauhkia ja uutisoimme näihin uhkiin liittyvistä tosielämän tapauksista viikottain. Osa uhkista on melko teknisiä (esim. paikkaamattomat haavoittuvuudet), mutta useimmat nykyaikana korostuvista uhkista ovat työntekijälähtöisiä. Ihmiset ovat se heikoin lenkki, joihin kyberrikollisten on usein tehokkainta hyökätä.
Ihmiset ovat se heikoin lenkki, joihin kyberrikollisten on usein tehokkainta hyökätä.
Nykyajan tärkeimpiä henkilöstölähtöisiä tietoturvauhkia ovat mm.:
Nämä ovat vakavia hyökkäyksiä, joista jokainen voi alkaa yksittäisen työntekijän huolimattomuudesta. Siksi osaamattomat työntekijät ovat yksi organisaation suurimmista tietoturvariskeistä. Koulutuksen ja ohjeistuksen ei tarvitse olla monimutkaista ja aikaavievää, vaan se voi olla hyvinkin ketterää ja automatisoitua, mutta sitä täytyy olla riskien pienentämiseksi.
Olemme pyrkineet luomaan Digiturvamalliin osaamisprosessin, joka olisi tuotu mahdollisimman lähelle henkilöstön arkea ja kaikille osapuolille kevyt ylläpitää.
Näin henkilöstön digiturvaohjeistus ja -koulutus jalkautetaan Digiturvamallissa:
Koko henkilöstön Digiturvamalli-käyttöä varten Teams-sovellus on mahdollista asettaa pääkäyttäjänä oletussovellusten joukkoon omassa Teams-ympäristössä. Tähän lisätietoja ohjeartikkelista.
Löydät Digiturvamallista listan ehdotuksia ohjeista eri teemojen alta. Nämä ovat yleisiä toimintaohjeita, jotka toistuvat samantyyppisinä organisaatioista toiseen.
Helpoin tapa ottaa ohje käyttöön on aktivoida se ja kohdistaa koko henkilöstölle. Ohjeisiin voi toki tehdä muokkauksia ja lisätä myös täysin omia.
Tärkeitä teemoja henkilöstön tietoturvaohjeistuksessa ovat mm.:
Ohjeet pyritään pitämään selkeinä ja pieninä kokonaisuuksina, jotta niiden vierestä klikatessaan "Olen lukenut ja hyväksyn ohjeen" työntekijä todella ymmärtäisi mitä häneltä odotetaan ja sitoutuisi ohjeen noudattamiseen. Pitkien tietoturvaohjeiden sekaan tärkeät ohjeet hukkuvat.
Jos tietoturvaohjeistusta halutaan hioa mahdollisimman tehokkaaksi, suoraviivainen "one-size fits all" -taktiikka ei ole paras mahdollinen.
Ohjeiden tulisi olla työntekijöille relevantteja, jotta he kokevat ne tarpeellisiksi. Organisaation mobiililaitteita käyttäviä tulisi ohjeistaa niiden päivittämisestä, liikkuvaa työtä tekeviä tietosuojasta tien päällä, IT-yksikköä uusien ohjelmistoprojektien turvallisesta perustamisesta, asiakaspalvelua rekisteröidyn tietosuojaoikeuksista ja niin edelleen.
Ohjeistuksessa ei tarvitse heti pyrkiä kohdistettuun malliin, mutta kokemuksemme mukaan ohjeistettavia asioita kyllä löytyy, kunhan mahdollisuus kohdistamiseen ja automatisoituun ohjeiden hyväksyttämiseen on olemassa. Digiturvamallissa voit siis kohdistaa ohjeen joko koko henkilöstölle tai valituille yksiköille, joiden liitoksia pääkäyttäjäjt hallinnoivat.
Missä työntekijämme nykyajan työssä hengailevat suuren osan päivästään? Teamsissa!
Jos henkilöstö halutaan havaitsemaan tietoturvaohjeet ja tarjota matala kynnys niiden lukemiselle ja omaksumiselle, miksei tätäkin tuotaisi sinne, missä työntekijät ovat jo nyt.
Digiturvamallissa Teams-sovelluksen botti huolehtii siitä, että työntekijöitä muistutetaan sopivin aikavälein lukemattomista tai uudelleen luettavaksi tulleista ohjeista. Oletuksena botti muistuttaa työntekijöitä kerran kuukaudessa. Pääkäyttäjät voivat puolestaan määritellä, mikä on ohjeiden uudelleen lukemisen aikaväli, esimerkiksi kerran 6 kuukaudessa tai kerran 12 kuukaudessa.
Muistutuksessa on selkeä pyyntö ja yksi linkki - mene tänne hyväksymään ohjeet. Työntekijän henkilökohtainen Ohjekirja-näkymä on siis yksittäisen klikkauksen päässä botilta tulevasta viestistä.
Tarvittaessa työntekijä voi toki palata sovellukseen ja ohjeiden pariin navigoimalla suoraan Digiturvamalli-sovelluksen (sovellukset-painikkeen takaa), mutta prosessi ei jää sen varaan.
Joidenkin tietoturvan avainhenkilöiden tulee olla vastuussa tietoturvakoulutuksen ja tietoturvaohjeistuksen kokonaisuudesta.
Näitä henkilöitä varten Digiturvamallin Organisaation työpöytä -osiossa löytyy yhteenvedot eri työntekijöiden reagoinnista ohjeisiin. Botti muistuttaa ihmisiä automaattisesti, mutta yhteenvedon kautta pääkäyttäjät voivat myös itse reagoida tilanteeseen tarvittaessa.
Suoraviivainen ohjeistaminen on monesti nopein tapa saavuttaa tietoturvahyötyjä, mutta henkilöstön osaamista kehitettäessä pitkäjänteisimpiä hyötyjä saavutetaan kehittämällä henkilöstön tietoturvaymmärrystä. Tällöin he parhaimmillaan pystyvät reagoimaan uusiinkin uhkiin ja tilanteisiin turvallisesti.
Kun haluatte panostaa henkilöstön osaamisen kehittämiseen enemmän, voitte ottaa käyttöön Ohjekirjaa laajentamaan ohjeiden case-esimerkit ja taitotestit.
Case-esimerkkien ideana on kertoa ohjeiden yhteydessä tosielämän tilanteista, joita on tapahtunut, koska tätä kyseistä ohjetta ei ole noudatettu. Näiden avulla siis pyritään kouluttamaan työntekijälle, miksi tällainen ohje on olemassa, ei ainoastaan varsinaista ohjetta.
Joskus tietoturvaohjeiden noudattaminen aiheuttaa lisävaivaa tai vie aikaa, jolloin ymmärrys ohjeeseen liittyvistä uhkista voi olla ainoa keino saada ihmiset toimimaan halutulla tavalla kaikissa tilanteissa.
Taitotestien ideana on testata ohjeiden lukemisen jälkeen, onko teeman opetuksia tullut omaksuttua. Työntekijälle esitetään teeman (esim. etätyö) ohjeiden jälkeen muutama monivalintakysymys, joihin vastaamalla hän osoittaa ymmärtäneensä lukemaansa.
Tämän kautta saadaan pientä pelillistämistä ohjeistusten pariin ja työntekijät saavat tavan osoittaa, että tietoturva-asiat ovat menneet perille.
Mikäli haluat kuulla tarkemmin henkilöstön tietoturvaohjeistuksesta ja -koulutuksesta, tule mukaan teemaan liittyviin tuleviin webinaareihimme tai poimi sinulle sopiva aika Teams-palaverille, niin jatketaan henkilökohtaisen keskustelun merkeissä.