Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
Henkilöstön tietoturvakoulutus ja tietoturvaohjeistus Digiturvamallissa

Miksi panostaa henkilöstön digiturvaosaamiseen?

Parhaimmillaan organisaation työntekijät voivat olla aktiivinen suojauskerros kyberhyökkäyksiä vastaan. Aktiivinen tietoturvakoulutus ja -ohjeistus on tapa tarjota työntekijöille ajantasaisia toimintaohjeita ja ymmärrystä, joiden avulla he pystyvät estämään tietoturvauhkien toteutumista.

Pelkkä tietoisuus tietojenkalastelusta, haittaohjelmista, salasanahyökkäyksistä tai muista henkilöstölähtöisistä tietoturvauhkista ei kuitenkaan riitä. Työntekijöiden on tärkeää omaksua turvallisia toimintamalleja, jotka automaattisesti pienentävät riskejä. Tärkeää on toki myös osata reagoida, kun työntekijä havaitsee jonkin olevan vialla. Työntekijöille on opetettava, miten toimia turvallisesti. Tarvitaan osaamista laajentavaa tietoturvakoulutusta sekä selkeitä toimintamalleja opettavaa tietoturvaohjeistusta.

Hyvätkin toimintaohjeet saattavat kuitenkin jäädä noudattamatta, mikäli henkilöstö ei ymmärrä, miksi tällainen ohje on olemassa. Toimiva tietoturvaohjeistus opettaa työntekijöille selkeitä, turvallisia toimintatapoja. Parhaimmillaan ohjeistus lisäksi kertoo, miksi näiden ohjeistusten noudattaminen on tärkeää.

Kun autamme ihmisiä ymmärtämään uhkia, annamme selkeä toimintaohjeet ja kerromme, miksi ohjetta on tärkeää noudattaa, annamme heille mahdollisuudet toimia turvallisesti ja suojata tietojamme. Kun työntekijää vielä pyydetään hyväksymään kukin toimintaohje, alkaa syntyä sitoutumista tietoturvatekemiseen.

Parhaimmillaan tietoturvakoulutus ja -ohjeistus synnyttävät jaettua tunnetta vastuusta. Olemme kaikki omalta osaltamme suojaamassa organisaatiomme tärkeitä tietoja. Osallistamalla koko henkilöstön ketterin ja fiksuin toimintatavoin, viestit tietoturvan olevan tärkeää ja jokaisen osallistumista tarvittavan.

Henkilöstön osaaminen vs. tekniset tietoturvaratkaisut

Moni organisaatio saattaa investoida suoraviivaisemmin teknisen tietoturvan parantamiseen, koska tällaisia ratkaisuja voidaan ottaa käyttöön muutamien avainhenkilöiden voimien, "häiritsemättä" muuta organisaatiota. Gartner ennusti jo vuonna 2019 yritysten käyttävän 124 miljardia dollaria teknisiin suojausratkaisuihin.

Useimmat tietoturvaloukkaukset alkavat kuitenkin inhimillisestä virheestä, jota ei olisi voitu estää teknisin ratkaisuin. Ilman toimivaa ohjeistusta ja koulutusta työntekijämme saattavat olla helppoja kohteita hyökkääjille. Usein tehokkain tapa kehittää oman organisaation digiturvatasoa onkin panostaa näihin teemoihin.

Organisaation tulee ohjata työntekijöitä toimimaan turvallisesti käsitellessään organisaation tietoja. Iso osa ohjeista toimii myös työelämän ulkopuolella. Tietojenkalastelun estäminen, mobiililaitteiden turvallinen käyttö tai fiksut salasanakäytännöt auttavat työntekijää parantamaan myös vaikkapa oman perheensä tietoturvaa.

Tärkeimmät henkilöstölähtöiset tietoturvauhkat

Olemme listanneet aiemmin nykyajan tärkeimpiä tietoturvauhkia ja uutisoimme näihin uhkiin liittyvistä tosielämän tapauksista viikottain. Osa uhkista on melko teknisiä (esim. paikkaamattomat haavoittuvuudet), mutta useimmat nykyaikana korostuvista uhkista ovat työntekijälähtöisiä. Ihmiset ovat se heikoin lenkki, joihin kyberrikollisten on usein tehokkainta hyökätä.

Ihmiset ovat se heikoin lenkki, joihin kyberrikollisten on usein tehokkainta hyökätä.

Nykyajan tärkeimpiä henkilöstölähtöisiä tietoturvauhkia ovat mm.:

  • Tietojenkalastelu, (engl. phishing) eli vilpilliset yritykset hankkia arkaluontoisia tietoja, kuten salasanoja,  esittämällä hyvämaineista toimijaa, mm. sähköpostin, tekstiviestien tai puhelujen kautta.
  • Haittaohjelmat, (engl. malware) eli ei-toivotut  ohjelmat, kuten virukset, botit, troijalaiset, rootkitit ja madot.
  • Salasanahyökkäykset, joissa hyökkääjät hyödyntävät mm. sitä tosiasiaa, että työntekijät käyttävät samoja käyttöoikeustietoja uudelleen ja uudelleen.
  • Kiristyshaittaohjelmat, (engl. ransomware), eli haittaohjelma, joka salaa uhrin tiedostot ja tarjoaa pääsyä tiedostoihin ainoastaan lunnasmaksua vastaan. Nykyään myös uhataan usein tietojen julkaisulla tai kiristetään tietojen kohteena olevaa asiakasta.
  • Business-email-compromise (BEC), jossa työntekijän sähköposti pyritään joko saamaan haltuun tai sitä esitetään pyytääkseen kollegoja tai kumppaneita tekemään tekaistuja pankkisiirtoja.

Nämä ovat vakavia hyökkäyksiä, joista jokainen voi alkaa yksittäisen työntekijän huolimattomuudesta. Siksi osaamattomat työntekijät ovat yksi organisaation suurimmista tietoturvariskeistä. Koulutuksen ja ohjeistuksen ei tarvitse olla monimutkaista ja aikaavievää, vaan se voi olla hyvinkin ketterää ja automatisoitua, mutta sitä täytyy olla riskien pienentämiseksi.

Tietoturvataitoiset työntekijät tuovat kaikkein kriittisimmän puolustuskerroksen organisaationne digiturvaan.

Nykyaikainen, automatisoitu toimintamalli tietoturvaohjeistukseen ja -koulutukseen Digiturvamallissa

Olemme pyrkineet luomaan Digiturvamalliin osaamisprosessin, joka olisi tuotu mahdollisimman lähelle henkilöstön arkea ja kaikille osapuolille kevyt ylläpitää.

Näin henkilöstön digiturvaohjeistus ja -koulutus jalkautetaan Digiturvamallissa:

  • 1. Pääkäyttäjät aktivoivat halutut digiturvaohjeet työkalussa käyttäen valmiita esimerkkejä tai lisäämällä omia ohjeita
  • 2. Ohjeet voidaan kohdistaa joko valituille yksiköille tai koko henkilöstölle

Koko henkilöstön Digiturvamalli-käyttöä varten Teams-sovellus on mahdollista asettaa pääkäyttäjänä oletussovellusten joukkoon omassa Teams-ympäristössä. Tähän lisätietoja ohjeartikkelista.

  • 3. Digiturvamallin Teams-sovellus ja sen ahkera botti huolehtivat, että työntekijät huomaavat ja hyväksyvät ohjeet (suoraan Teamsissa)
  • 4. Ohjeistusprosessin voi laajentaa koulutussisältöjen puolelle parilla klikkauksella

VALMIIT SISÄLLÖT OHJEISTA, JOITA VOIT SYVENTÄÄ ITSE

Löydät Digiturvamallista listan ehdotuksia ohjeista eri teemojen alta. Nämä ovat yleisiä toimintaohjeita, jotka toistuvat samantyyppisinä organisaatioista toiseen.

Helpoin tapa ottaa ohje käyttöön on aktivoida se ja kohdistaa koko henkilöstölle. Ohjeisiin voi toki tehdä muokkauksia ja lisätä myös täysin omia.

Tärkeitä teemoja henkilöstön tietoturvaohjeistuksessa ovat mm.:

  • turvallinen salasanojen käyttö
  • tietojen kalastelun tunnistaminen ja turvallinen sähköpostin käyttö
  • oikeaoppinen henkilötietojen käsittely
  • haittaohjelmat
  • tietoturvahäiriöiden tunnistaminen ja ilmoittaminen
  • turvallinen etätyö ja mobiililaitteiden hallinta

Ohjeet pyritään pitämään selkeinä ja pieninä kokonaisuuksina, jotta niiden vierestä klikatessaan "Olen lukenut ja hyväksyn ohjeen" työntekijä todella ymmärtäisi mitä häneltä odotetaan ja sitoutuisi ohjeen noudattamiseen. Pitkien tietoturvaohjeiden sekaan tärkeät ohjeet hukkuvat.

KOHDISTA SOPIVAT OHJEET OIKEILLE TYÖNTEKIJÖILLE

Jos tietoturvaohjeistusta halutaan hioa mahdollisimman tehokkaaksi, suoraviivainen "one-size fits all" -taktiikka ei ole paras mahdollinen.

Ohjeiden tulisi olla työntekijöille relevantteja, jotta he kokevat ne tarpeellisiksi. Organisaation mobiililaitteita käyttäviä tulisi ohjeistaa niiden päivittämisestä, liikkuvaa työtä tekeviä tietosuojasta tien päällä, IT-yksikköä uusien ohjelmistoprojektien turvallisesta perustamisesta, asiakaspalvelua rekisteröidyn tietosuojaoikeuksista ja niin edelleen.

Ohjeistuksessa ei tarvitse heti pyrkiä kohdistettuun malliin, mutta kokemuksemme mukaan ohjeistettavia asioita kyllä löytyy, kunhan mahdollisuus kohdistamiseen ja automatisoituun ohjeiden hyväksyttämiseen on olemassa. Digiturvamallissa voit siis kohdistaa ohjeen joko koko henkilöstölle tai valituille yksiköille, joiden liitoksia pääkäyttäjäjt hallinnoivat.

AUTOMATISOITU TOIMINTAMALLI OHJEIDEN HYVÄKSYNTÄÄN SUORAAN TEAMSISSA

Missä työntekijämme nykyajan työssä hengailevat suuren osan päivästään? Teamsissa!

Jos henkilöstö halutaan havaitsemaan tietoturvaohjeet ja tarjota matala kynnys niiden lukemiselle ja omaksumiselle, miksei tätäkin tuotaisi sinne, missä työntekijät ovat jo nyt.

Digiturvamallissa Teams-sovelluksen botti huolehtii siitä, että työntekijöitä muistutetaan sopivin aikavälein lukemattomista tai uudelleen luettavaksi tulleista ohjeista. Oletuksena botti muistuttaa työntekijöitä kerran kuukaudessa. Pääkäyttäjät voivat puolestaan määritellä, mikä on ohjeiden uudelleen lukemisen aikaväli, esimerkiksi kerran 6 kuukaudessa tai kerran 12 kuukaudessa.

Muistutuksessa on selkeä pyyntö ja yksi linkki - mene tänne hyväksymään ohjeet. Työntekijän henkilökohtainen Ohjekirja-näkymä on siis yksittäisen klikkauksen päässä botilta tulevasta viestistä.

Tarvittaessa työntekijä voi toki palata sovellukseen ja ohjeiden pariin navigoimalla suoraan Digiturvamalli-sovelluksen (sovellukset-painikkeen takaa), mutta prosessi ei jää sen varaan.

PÄÄKÄYTTÄJÄ HAHMOTTAA KOKONAISTILANTEEN

Joidenkin tietoturvan avainhenkilöiden tulee olla vastuussa tietoturvakoulutuksen ja tietoturvaohjeistuksen kokonaisuudesta.

Näitä henkilöitä varten Digiturvamallin Organisaation työpöytä -osiossa löytyy yhteenvedot eri työntekijöiden reagoinnista ohjeisiin. Botti muistuttaa ihmisiä automaattisesti, mutta yhteenvedon kautta pääkäyttäjät voivat myös itse reagoida tilanteeseen tarvittaessa.

LAAJENNA SUORAVIIVAISESTA OHJEISTUKSESTA KOULUTUKSEN PUOLELLE

Suoraviivainen ohjeistaminen on monesti nopein tapa saavuttaa tietoturvahyötyjä, mutta henkilöstön osaamista kehitettäessä pitkäjänteisimpiä hyötyjä saavutetaan kehittämällä henkilöstön tietoturvaymmärrystä. Tällöin he parhaimmillaan pystyvät reagoimaan uusiinkin uhkiin ja tilanteisiin turvallisesti.

Kun haluatte panostaa henkilöstön osaamisen kehittämiseen enemmän, voitte ottaa käyttöön Ohjekirjaa laajentamaan ohjeiden case-esimerkit ja taitotestit.  

Case-esimerkkien ideana on kertoa ohjeiden yhteydessä tosielämän tilanteista, joita on tapahtunut, koska tätä kyseistä ohjetta ei ole noudatettu. Näiden avulla siis pyritään kouluttamaan työntekijälle, miksi tällainen ohje on olemassa, ei ainoastaan varsinaista ohjetta.

Joskus tietoturvaohjeiden noudattaminen aiheuttaa lisävaivaa tai vie aikaa, jolloin ymmärrys ohjeeseen liittyvistä uhkista voi olla ainoa keino saada ihmiset toimimaan halutulla tavalla kaikissa tilanteissa.

Taitotestien ideana on testata ohjeiden lukemisen jälkeen, onko teeman opetuksia tullut omaksuttua. Työntekijälle esitetään teeman (esim. etätyö) ohjeiden jälkeen muutama monivalintakysymys, joihin vastaamalla hän osoittaa ymmärtäneensä lukemaansa.

Tämän kautta saadaan pientä pelillistämistä ohjeistusten pariin ja työntekijät saavat tavan osoittaa, että tietoturva-asiat ovat menneet perille.

Haluatko kuulla teemasta lisää?

Mikäli haluat kuulla tarkemmin henkilöstön tietoturvaohjeistuksesta ja -koulutuksesta, tule mukaan teemaan liittyviin tuleviin webinaareihimme tai poimi sinulle sopiva aika Teams-palaverille, niin jatketaan henkilökohtaisen keskustelun merkeissä.

Sisältö

Jaa artikkeli