Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Organisaation tietoturvallisuuskoulutusohjelman olisi katettava tietoturvallisuutta tukeva henkilöstö, joka osallistuu esimerkiksi riskienhallintaan ja järjestelmien ylläpitoon. Näiden henkilöiden olisi saatava koulutusta heidän tehtäviensä kannalta olennaisista turvallisuustavoitteista ja teollisista toiminnoista. Koulutuksen olisi katettava vaadittavat taidot, politiikat ja menettelyt.

Koulutustiedot, päivitysaikataulut ja dokumentaatio olisi tarkistettava vähintään kerran vuodessa, jotta voidaan varmistaa, että koulutus on saavuttanut tavoitteensa ja jotta voidaan tunnistaa lisäkoulutuksen ja päivitysten tarve.

Koulutusteemat on tarkistettava vähintään kerran vuodessa, jotta voidaan varmistaa, että koulutus on ajan tasalla ja että siinä käsitellään organisaatioon kohdistuvia nykyisiä uhkia.

Tarkistukseen on sisällyttävä mm:

• uudet tai esiin nousevat kyberuhat
• viimeaikaiset korkean profiilin tietomurrot
• uudet turvallisuuskäytännöt tai -standardit
• tietoturvatietoisuuden testauksen tai kampanjoiden tulokset

Arvioinnin perusteella koulutusohjelma on päivitettävä ja muutoksista on tiedotettava henkilöstölle.

Organisaatiolla on oltava henkilöstöturvallisuuspolitiikka, joka kattaa kaiken organisaatioon liittyvän henkilöstön, mukaan lukien työntekijät, työnhakijat, alihankkijat ja muut kolmannet osapuolet.

Politiikkaan on sisällyttävä vähintään seuraavat asiat:

• organisaation sitoutuminen turvallisuuteen
• koko henkilöstön turvallisuusvastuut
• vaaditut toimet turvallisuusongelmien ilmoittamiseksi
• vaaditut toimet tietojen luvattoman paljastamisen käsittelemiseksi.
• vaaditut toimet kadonneiden tai varastettujen tietojen tallennuslaitteiden käsittelemiseksi.

Politiikka olisi laadittava yhteistyössä henkilöstön kanssa ja tarkistettava säännöllisesti.

Organisaation on varmistettava, että nimetty tietosuojavastaava kehittää, toteuttaa ja ylläpitää tarvittavat tietosuojakäytännöt ja -menettelyt; tämän jälkeen organisaation on varmistettava, että kaikki työntekijät koulutetaan näihin asiaankuuluviin käytäntöihin työsuhteen alkaessa ja merkittävien tietosuojakäytäntöjen muutosten jälkeen, ja dokumentoitava kaikki koulutustoimet.

Organisaation olisi nimettävä ja dokumentoitava tietosuojavastaava, joka vastaa yksityisyydensuojatoimenpiteiden kehittämisestä ja täytäntöönpanosta, sekä yhteyshenkilö/toimisto valitusten ja tiedustelujen käsittelyä varten.

Organisaatio parantaa tietoturvakoulutustaan kehittämällä roolikohtaisia moduuleja, tarjoamalla tietotekniikkahenkilöstölle turvallisen järjestelmänhallinnan kursseja, tarjoamalla OWASP Top 10 -haavoittuvuuskoulutusta kehittäjille ja tarjoamalla kehittynyttä tietoisuutta sosiaalisesta manipuloinnista korkean riskin tehtävissä toimiville.

Organisaatio vahvistaa tietoturvatilannettaan kouluttamalla työntekijöitä ohjelmistopäivitysten tärkeydestä, opastamalla heitä päivitysten tarkistamisessa ja tunnistamalla automaattisten prosessien virheet. Selkeät raportointimenettelyt, reaalimaailman simulaatiot ja ennakoivan tapahtumiin reagoimisen kulttuurin edistäminen parantavat entisestään henkilöstön kykyä ylläpitää järjestelmien turvallisuutta ja puuttua nopeasti mahdollisiin haavoittuvuuksiin.

Organisaatio lisää tietoturvatietoisuutta kouluttamalla työntekijöitä parhaista käytännöistä arkaluonteisten tietojen turvalliseen käsittelyyn, osoittamalla kannettavien laitteiden katoamisen riskit, opastamalla turvallista asiakirjojen jakamista ja lisäämällä tietoisuutta julkisen jakamisen sudenkuopista. Säännölliset tietoturvaharjoitukset ja avoimet tapahtumailmoituskanavat vahvistavat entisestään tietojen suojaamisen tärkeyttä.

Organisaatio parantaa turvallisuuskulttuuria kehittämällä kattavaa koulutusmateriaalia, vaatimalla perehdyttämiskoulutusta ja vuosittaista kertauskoulutusta sekä räätälöimällä koulutustilaisuuksia rooleittain ja osastoittain. Se päivittää säännöllisesti koulutussisältöä ja seuraa osallistumista vaatimustenmukaisuuden ja vastuullisuuden varmistamiseksi.

Organisaation ylimmän johdon ja riskienhallintajärjestelmästä vastaavien henkilöiden on osallistuttava asianmukaiseen tietoturvakoulutukseen. Koulutuksella varmistetaan, että heidän taitonsa ja tietonsa riittävät riskien määrittämiseen, kyberturvallisuuden hallintakäytäntöjen arviointiin sekä prosessin yleiseen hallintaan ja johtamiseen.

Johtoelimen olisi osallistuttava koulutukseen vähintään kahden vuoden välein, jotta heidän tietonsa ja taitonsa pysyvät ajan tasalla ja ajan tasalla. Koulutuksen olisi vastattava organisaation tarpeita ja oltava organisaation kyberturvallisuuspolitiikkojen mukaista.

Organisaatiolla on oltava henkilöstölle määritelty tietosuojaa koskeva koulutusohjelma. Koulutuksissa olisi otettava huomioon tietosuojatarpeet määriteltäessä koulutuksen laajuutta, tiheyttä ja sisältöä.

Kriittisillä alueilla työskentelevä henkilöstö (esim. IT-ylläpitäjät) on koulutettava ja opastettava ottaen huomioon heidän työnsä vaatimukset. Heille pitäisi järjestää erityisiä koulutuksia ja ohjeita.

Organisaatiolla tulee luoda menettely henkilöstöään koskevaa koulutusta ja ohjausta varten. Näihin menettelyiden tulisi sisältää ja kattaa ainakin seuraavat aiheet:

• Tietoturvapolitiikka.
• Turvallisuuspoikkeamien raportointi.
• Reagointi haittaohjelmahäiriöihin.
• Käyttäjätiliä ja kirjautumistietoja koskevat käytännöt (esim. salasanakäytännöt).
• Tietoturvasäännösten noudattaminen.
• Salassapitosopimusten (NDA) käyttö arkaluonteisia tietoja jaettaessa.
• Ulkoisten IT-palveluiden käyttö.

Koulutusohjelmassa olisi yksilöitävä tietyt työntekijäryhmät, jotka tarvitsevat tätä koulutusta, kuten järjestelmänvalvojat, tuotantohenkilöstö sekä henkilöt, joilla on pääsy asiakasverkkoihin.

Vastuullisen johdon on hyväksyttävä koulutusmenettely. Koulutus- ja tietoisuusohjelmat on toteutettava säännöllisesti ja erityisten tapahtumien yhteydessä. Varmista, että työntekijät tietävät, keneen ottaa yhteyttä tietoturva asioissa.

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

• ajankohta
• koulutuksen aihepiirit ja kesto
• koulutuksen toteutustapa ja kouluttaja
• koulutukseen osallistuneet henkilöt

Organisaation tulisi käyttää koulutusmateriaaleissaan todellisia skenaarioita tietoturvaloukkauksista henkilöstön kouluttamiseksi ja tietoisuuden lisäämiseksi. Simuloimalla todellisia häiriöitä työntekijät voivat paremmin ymmärtää mahdollisia riskejä, tunnistaa haavoittuvuuksia ja reagoida tehokkaammin todellisten häiriöiden aikana.

Organisaation täytyy muistuttaa työntekijöitä rooleistaan ja tietoturvavastuistaan. Muistuttamalla vahvistetaan henkilöstön tietoturvatietoisuutta, turvallisia toimintatapoja sekä heidän työrooliinsa liittyvien ohjeistusten sekä lakisääteisten vaatimusten noudattamista.

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

Ennen pääsyoikeuksien myöntämistä järjestettävä koulutus koskee uusien työntekijöiden lisäksi niitä, jotka siirtyvät uusiin tehtäviin tai rooleihin, etenkin kun henkilön käyttämät tietojärjestelmät sekä työrooliin liittyvät tietoturvavaatimukset muuttuvat merkittävsti työroolin vaihdoksen myötä. Koulutus järjestetään ennen uuden työroolin muuttumista aktiiviseksi.

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

• Onko henkilöstön osaaminen tarpeeksi syvällistä?
• Ovatko koulutustavat ja -määrät oikeat?
• Koulutetaanko eri yksiköille oikeita asioita?
• Onko henkilöstö motivoitunutta oppimaan?
• Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

• saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
• saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
• saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää