Rakenna vahva ja positiivinen tietoturvan kulttuuri

Hyvä tietoturvakulttuuri ratkaisee sen, miten hyvin oma organisaatiosi pärjää kyberuhkien edessä. Tekninen tietoturva yksinään ei riitä. Haastan kaikki yrityspäättäjät auttamaan ihmisiä ja parantamaan arkipäiväistä tietoisuutta tietoturvan parhaista käytännöistä. Sitä paremmassa turvassa olet, mitä paremmat ohjeet annat turvalliseen työskentelyyn. 

Kirjoitin viime blogikirjoituksessani liiketoiminnan resilienssin kulmakivistä eli siitä, mihin perustuu sietokyky suhteessa kyberuhkiin. Resilienssiin kuuluu vahvasti myös tietoturvakulttuuri, koska ihmiset ovat tietoturvassa loppujen lopuksi aina ratkaisevassa roolissa.

Vahvan ja positiivisen tietoturvakulttuurin rakentaminen lähtee aina organisaation johdosta. Tämän kulttuurin tehtävänä on varmistaa, että työntekijöille kehittyy riittävä tietoisuus kyberuhkista ja toimintatavoista niin arjessa kuin kriisitilanteissa. Keneltäkään ei voi odottaa enempää kuin on neuvottu.

Puhtaasti tekninen tietoturva havaitsee paljon vaaroja automaattisesti, mutta vain tiettyyn pisteeseen asti. Monet kaikkien pahimmista uhkista lähtevät tavallisista puheluista ja sähköposteista, joilla hyökkääjät etsivät heikkoja kohtia ja kalastelevat tietoja. Tyypillistä on pyrkimys huijata ihmisiä esimerkiksi teknisen tuen tai esimiehen nimissä. Toisin sanoen kyse on sosiaalisista tietoturvaloukkauksista, joita mikään tekninen ratkaisu ei pysty havaitsemaan ja estämään.

Matkatyön ja liikkuvan työn jälleen lisääntyessä on myös aika kerrata koko matkustukseen liittyvä tietoturvakulttuuri, koska ohjeet ovat voineet unohtua korona-aikana. Moniko työntekijä vielä muistaa esimerkiksi sen neuvon, ettei kannata työmatkalla tuosta vain liittyä kahvilan tai lentoaseman wifi-verkkoon? Moniko höpöttelee kahvilassa työasioita, joita ei missään nimessä ole tarkoitettu kenenkään sivullisen kuultavaksi?

Hälvennä huolta ja epätietoisuutta

Kukaan ei halua olla oman työpaikan ja tiimin heikoin lenkki. Ohjeiden jakaminen hälventää huolta ja epätietoisuutta ratkaisevalla tavalla. Hyvää mallia voi ottaa vaikkapa Kyberturvallisuuskeskuksen vinkeistä.

Jos työntekijäsi esimerkiksi havaitsevat jotakin huolestuttavaa, heillä pitää olla varmasti tiedossa, mitä silloin pitää tehdä. Perusedellytyksenä on luoda selkeä prosessi ja viestiä se kaikille. Järkevintä on sopia, että käyttäjät ottavat yhteyttä asiantuntevaan asiakaspalveluun, joka tarkistaa ilmoitukset, ja vie tarvittaessa prosessia suunnitellusti eteenpäin.

Henkilöstöä pitää rohkaista tarjoamalla positiivinen kanava, jonne voi ilmoittaa poikkeamista tai epäilyistä. Kun havainto on analysoitu, pitää myös antaa palaute, riippumatta siitä, oliko kyse oikeasta vai väärästä hälytyksestä: ”Havaintosi on käyty läpi. Kiitos valppaudestasi!”

Haastan organisaatiot varmistamaan henkilöstölle oikean kyberturvallisuuden osaamisen niin, että ihmiset oppivat tekemään töitä tietoturvallisesti kaikissa tilanteissa. Kannattaa myös harjoitella oikeaa toimintaa ja esimerkiksi sähköpostitse saapuvien huijausviestien tunnistamista.

6 vinkkiä työntekijän tietoturvaan

1. Käytä työssäsi vain työnantajan tarjoamia työvälineitä ja palveluita.
2. Suojaa työvälineesi työnantajan ohjeiden mukaisesti.
3. Tallenna kaikki tieto työnantajan tarjoamiin tallennuspalveluhin.
4. Noudata annettuja salasanakäytäntöjä ja tietoturvaohjeita.
5. Älä jaa mitään henkilötietoja. Älä keskustele työasioista julkisella paikalla.
6. Ilmoita epäröimättä ja viipymättä mahdollisista tietoturvaloukkauksista.