Organisaation tietoturva nähdään usein teknisenä kokonaisuutena, jonka perustana ovat tietojärjestelmät. Järjestelmiä käyttävät kuitenkin ihmiset - organisaation henkilöstö. Henkilöstöllä onkin suuri merkitys organisaation tietoturvakulttuurin luomisessa ja ylläpitämisessä. Tietoturva ei ole yksin kenenkään henkilön tai minkään tietojärjestelmän harteilla, vaan se on organisaation yhteinen asia, johon kuuluu teknisten mekanismien ohella myös arkipäiväisiä asioita.

Kun tietoturvatietoisuudesta tehdään yhteinen prioriteetti, paranee koko organisaation tietoturvan taso ja hyökkäyksiä on haastavampaa saada menestyksekkäästi toteutettua. Virheitäkin sattuu, mutta varustamalla henkilöstö sopivalla tietoturvatietoisuudella ja oikeanlaisilla toimintamalleilla, organisaatio voi ehkäistä virheiden tapahtumista ja minimoida vahinkoja.

Mitä jokaisen on sitten hyvä osata?

Huijaukset

Rikolliset tekevät erilaisia huijausyrityksiä jatkuvasti esimerkiksi internetin, puhelimen, tekstiviestien ja sähköpostin välityksellä. Osa huijauksista on tehty erittäin taitavasti ja kohdennetusti. Onnistuessaan huijari voi saada ongittua tietoonsa esimerkiksi työntekijän käyttäjätunnukset, levittää organisaatioon haittaohjelman tai maksattaa tekaistun laskun.

Henkilöstölle on hyvä kouluttaa ainakin:

  1. Miten tunnistan nettihuijarin?
  2. Miten suojaudun huijauksilta?
  3. Mitä teen, jos huijaus onnistuu?

Lisätietoja: Näin suojaudut nettihuijaukselta

Haittaohjelmat

Haittaohjelmat ovat yksi yleisimmistä tietoturvapoikkeamista organisaatioissa. Haittaohjelmatartunnasta voi seurata organisaatiolle erilaisia vahinkoja, kuten tärkeiden tietojen menetys, toiminnan seisahtuminen sekä taloudellisia tappioita. Haittaohjelmatartunta voi tulla esimerkiksi tavallisen käyttäjän avaaman linkin, liitetiedoston, työlaitteeseen liitetyn muistivälineen tai oheislaitteen kautta.

Henkilöstölle on hyvä kouluttaa ainakin:

  1. Miten haittaohjelma voi tarttua?
  2. Miten toimin, jos saan organisaation ulkopuoliselta taholta muistivälineen (esimerkiksi USB-tikun) tai oheislaitteen?
  3. Miten voin tunnistaa haittaohjelmatartunnan?
  4. Mitä teen, jos epäilen haittaohjelmatartuntaa?

Lisätietoja: Toimintaohje – Kiristyshaittaohjelma  (Ulkoinen linkki)

Työvälineet

Organisaation on hyvä kouluttaa henkilöstö työntekoon tarvittavien välineiden käyttöön, jotta jokainen tietää, mitä työvälineitä työntekoon on sallittua käyttää ja miten niitä käytetään. Organisaation on tarpeen ottaa kantaa esimerkiksi siihen, onko omien laitteiden (kuten näyttöjen ja kuulokkeiden) kytkeminen työvälineisiin sallittua. Lisäksi työvälineiden käyttö vapaa-ajalla ja muihin kuin työtehtäviin liittyen, on hyvä ohjeistaa. Koulutuksessa ja ohjeistuksissa on hyvä huomioida myös tilanteet, joissa varsinaiset työvälineet ja järjestelmät eivät jostain syystä toimi.

Henkilöstölle on hyvä kouluttaa ainakin:

  1. Mitä välineitä voin käyttää työntekoon?
  2. Mitä laitteita voin kytkeä työvälineisiini?
  3. Mitä ohjelmistoja voin asentaa työvälineilleni?
  4. Minkälaisia salasanoja minun kannattaa käyttää?
  5. Mihin voin käyttää työvälineitä, kuten työkonetta ja työsähköpostia?
  6. Mitä teen, jos varsinaiset työvälineeni eivät toimi?
  7. Mitä teen, jos työvälineeni katoaa tai se varastetaan?

Etätyö ja matkustus

Mikäli organisaatiossa tehdään etätöitä tai työmatkoja, henkilöstölle on hyvä käydä läpi tietoturvalliset toimintatavat myös työpaikan ulkopuolella.

Henkilöstölle on hyvä kouluttaa ainakin:

  1. Miten yhdistän laitteeni turvallisesti internettiin?
  2. Mitä työvälineitä voin ottaa matkalle mukaan?
  3. Miten suojaan työvälineeni sekä käsiteltävät työasiat organisaation ulkopuolisilta?
  4. Mitä teen, jos työvälineeni katoaa tai varastetaan työmatkalla?

Lisätietoja etätyön tietoturva - ohjeita organisaatioille ja yrityksille (Ulkoinen linkki)

Suojattava tieto

Organisaatioissa käsitellään eri tasoista tietoa. Organisaation tulee ymmärtää, minkälaista tietoa siellä käsitellään, sekä miten tietoa kuuluu käsitellä. Esimerkiksi henkilötietojen käsittelyn periaatteet tulevat laista. Organisaation pitää varmistaa, että henkilöstö tunnistaa suojattavan tiedon ja ymmärtää, miten sitä käsitellään.

Henkilöstölle on hyvä kouluttaa ainakin:

  1. Minkälaista tietoa työpaikallamme käsitellään?
  2. Miten käsittelen arkaluonteista tietoa?
  3. Mitä työasioita voin jakaa työpaikan ulkopuolella, esimerkiksi somessa?

Henkilötietojen käsittelystä löydät lisätietoja esimerkiksi Tietosuojavaltuutetun toimiston verkkosivuilta (Ulkoinen linkki).

Toiminta poikkeamatilanteessa

Poikkeamia (kuten huijausyrityksiä ja inhimillisiä virheitä) voi tapahtua jokaisessa organisaatiossa. Organisaation on hyvä varmistaa, että henkilöstö on perillä organisaation toimintamalleista poikkeamatapauksissa. Organisaation on myös tärkeää kertoa henkilöstölle, mihin he voivat ilmoittaa turvallisuutta koskevista havainnoista ja poikkeamista.

Henkilöstölle on hyvä kouluttaa ainakin:

  1. Mistä asioista organisaatiossamme tehdään poikkeamailmoitus?
  2. Mihin ilmoitan poikkeamasta ja epäilyttävästä toiminnasta?
  3. Mistä löytyy organisaatiomme toimintaohjeet poikkeamatilanteiden varalle?
  4. Keneltä voin kysyä lisätietoa epäselvissä tilanteissa?

Lisätietoja: Toimi näin, jos havaitset tietoturvapoikkeaman (Ulkoinen linkki)

Koulutuksen suunnittelu

Koulutuksen suunnittelijan on hyvä tunnistaa oman organisaation kannalta keskeiset tietoturvariskit sekä suojattava tieto. Organisaation oma tietoturva, tietosuoja-, sekä mahdollinen etätyöpolitiikka voivat auttaa suunnittelemaan koulutuksia.

Koulutuspolkujen rakentaminen

Organisaatio voi hyödyntää erilaisia koulutuspolkuja tietoturvakoulutuksen suunnittelussa ja rakentamisessa, esimerkiksi:

  • Perehdytys (uusi työntekijä)
  • Perustason koulutus (jokainen työntekijä käy koulutuksen läpi)
  • Jatkokoulutukset (perustason tietojen ja taitojen päivittäminen tietyin väliajoin)
  • Syventävä koulutus (eri toimintojen, kuten taloushallinnon, tietohallinnon tai johtoportaan tarpeisiin suunniteltu kokonaisuus)

Käytännön harjoittelu

Organisaatio voi järjestää koulutuspolkujen ohessa myös kyberharjoituksia. Harjoituksen ei tarvitse olla pitkä tai monimutkainen ja se voikin olla pienimmillään esimerkiksi yhden käyttötapauksen mittainen. Harjoituksessa voidaan simuloida poikkeamaa tai poikkeamatilanteita, joita organisaation henkilöstö pyrkii ratkaisemaan jo opituilla toimintatavoilla.

Kyberturvallisuuskeskus tukee harjoittelua esimerkiksi ohjeilla ja työkaluilla. Osoitteesta www.kyberharjoitukset.fi (Ulkoinen linkki) löytyy ohje sähköpostiharjoituksen tekemiseen, harjoituksen suunnittelun työkalu sekä skenaariopankki. Sivuilta löytyy myös harjoitustoimintaan liittyvät muut palvelumme.

Henkilöstön motivointi

Henkilöstön suhtautuminen tietoturvaohjeistuksiin ja niiden noudattamiseen on keskeisessä roolissa tietoturvan toteuttamisessa. Koulutusten ja harjoitusten yhteydessä onkin tarpeellista kertoa henkilöstölle, miksi tietoturva on tärkeä ja miksi jokaisen panoksella on merkitystä. Aihepiiriin voi motivoida esimerkiksi käytännön esimerkeillä Suomesta ja maailmalta:

  • Minkälaisia tietoturvaloukkauksia organisaatioissa on tapahtunut?
  • Minkälaisia vaikutuksia tietoturvaloukkauksilla on ollut organisaatiolle? Entä henkilöstölle?
  • Miten tilanteista on toivuttu? Onko esimerkiksi henkilökunnan neuvokkaalla toiminnalla ollut myönteisiä vaikutuksia tapauksen estämisessä tai selvittelyssä?

Lisäksi oman henkilöstön onnistumisten noteeraaminen ja niistä kiittäminen, oman organisaation toimintatavan mukaisesti, ovat tärkeitä motivoinnin kulmakiviä.

Koulutuksen jälkeen

Materiaali on hyvä pitää helposti saatavilla myös koulutuksen jälkeen, jotta henkilöstön on mahdollista käydä kertaamassa opittuja menettelytapoja sekä tarkistaa epäselviä asioita.

Tietoturvauhat kehittyvät käsi kädessä digitaalisen maailman kehityksen kanssa. Tämän vuoksi koulutusmateriaalin sekä henkilöstön jo hankkiman tietotaidon päivittäminen aika ajoin sisäisillä koulutuksilla ja harjoituksilla on tärkeää. Myös organisaation johdon on tärkeää olla sitoutunut tietoturvan jatkuvaan kehittämiseen.

Päivitetty