Julkaisemme Netvisor-blogissa kolmen blogikirjoituksen sarjan, jossa käydään läpi niitä toimenpiteitä, jotka pk-yritysten tulisi käydä läpi oman yrityksensä sekä asiakkaidensa ja kumppaneidensa suojaamiseksi. Sarjan ensimmäisessä osassa käytiin läpi miten yritysten kannattaa lähteä liikkeelle oman tietoturvan parantamisessa. Toisessa osassa aiheena oli varautuminen poikkeustilanteisiin ja tässä blogisarjan viimeisessä osassa käsitellään sitä, miten omaa henkilökuntaa kannattaa kouluttaa tietoturvaan ja tietosuojaan liittyen.

Henkilöstön kouluttaminen on oleellinen osa yrityksen tietoturvaa ja siihen hyvät käytännön vaiheet ovat:

8. Pidä huoli oman henkilökunnan tietoturvaosaamisesta
9. Tee oikein toimimisesta väärin tekemistä helpompaa
10. Kannusta ja palkitse

8. Pidä huoli oman henkilökunnan tietoturvaosaamisesta

Henkilökunta on yrityksen tärkein voimavara tietoturvan ylläpitämisessä. Tämän vuoksi on erittäin tärkeää, että henkilökunnan kouluttamiseen ja osaamisen päivittämiseen käytetään riittävästi resursseja. Yrityksen koosta, toimialasta ja henkilöstön määrästä riippuen tietoturvakoulutusten toteutustavat voivat vaihdella paljonkin, mutta suositeltavaa olisi pitää tietoturva työntekijöiden mielessä säännöllisesti eikä vain esimerkiksi kerran vuodessa järjestettävän koulutuksen avulla.

Henkilökunnan koulutus kannattaa miettiä henkilöstön osaamistason kautta. Mikäli kyseessä on henkilöitä, joiden tietotekninen osaaminen ei ole kovin vahvaa, koulutus kannattaa pitää hyvin selkeänä ja ymmärrettävänä ilman hämmentäviä lyhenteitä ja termejä.

Itse suosin myös usein analogioita reaalimaailmaan, kuten esimerkiksi kodin lukituksiin tai vaikkapa ruuanlaittoon, koska tämä auttaa usein ymmärtämään yksittäisen tietoturvaan liittyvän asian huomattavasti paremmin kuin pelkkä tekninen selostus aiheesta.

Analogiat reaalimaailmaan, kuten kodin lukituksiin tai ruuanlaittoon auttavat usein ymmärtämään tietoturvaan liittyviä asioita

Nykyään markkinoilla on useita työntekijöiden tietoturvakoulutukseen ja -perehdytykseen suunnattuja palveluita. Osa näistä jopa pelillistää tietoturvan, eli voit saada pisteitä siitä, mitä tehokkaammin havaitset esimerkiksi sähköpostin kautta saapuvia uhkia.

Kannattaa keskustella myös oman IT-toimittajan sekä tietoturvayhteistyökumppanin kanssa eri vaihtoehdoista, joilla henkilökunnan kouluttamista voidaan tehostaa. Samalla, kun yrityksen tietoturvasuunnitelmaa päivitetään säännöllisesti, tulisi myös yrityksen henkilökunnan tietoturvaohjeistuksia päivittää, jotta työntekijöillä on jatkuvasti saatavilla ajantasainen ohjeistus.

9. Tee oikein toimimisesta väärin tekemistä helpompaa

Usein sanotaan, että käyttäjät ovat tietoturvan heikoin lenkki. Tietyissä tapauksissa tämä voi pitääkin paikkansa, mutta yhä useammin käyttäjiltä vaaditaan lähes mahdottomia asioita, jotta he pystyvät suodattamaan esimerkiksi sähköpostin, puheluiden ja tekstiviestien läpi heihin kohdistuvat uhat oikeista viesteistä. Tämän vuoksi on erittäin tärkeää tehdä käyttäjille mahdollisimman helpoksi tunnistaa, mikä on uhka ja miten kannattaisi toimia.

Monet tekniset ratkaisut auttavat käyttäjiä esimerkiksi tunnistamaan onko sähköpostiviestin lähettäjä oikeasti se, joka viestissä väittää olevansa. Mikäli näitä teknisiä ratkaisuja ei ole toteutettu, päävastuu huijausviestien tunnistamisesta ei voi olla käyttäjällä.

Usein käyttäjiltä vaaditaan lähes mahdottomia asioita, jotta he pystyvät suodattamaan esimerkiksi sähköpostin läpi heihin kohdistuvat uhat

Modernissa yritysympäristössä käyttäjällä voi olla useita kymmeniä järjestelmiä, joita käytetään säännöllisesti. Tästä huolimatta aika ajoin voi tulla eteen uudentyyppinen tarve, joka vaatii esimerkiksi uutta työkalua tai palvelua. Sovelluskaupat ja verkko ovat pullollaan ilmaispalveluita, joiden käyttöönotto on suoraan sanoen liian helppoa.

Mikäli organisaation sisällä näiden uusien tarpeiden täyttäminen on tehty liian vaikeaksi, on monille helpoin ratkaisu tehdä itse omat päätökset ja esimerkiksi ottaa käyttöön joku ilmainen verkkopalvelu. Tämä osaltaan voi aiheuttaa yritykselle erittäin suuria ongelmia varsinkin, jos kyseisen palvelun kautta hallinnoidaan asiakastietoja tai muita henkilötietoja.

Kannustan itse luomaan organisaatioon avoimen kulttuurin, jossa tarpeista voidaan keskustella ja uusia ratkaisuja on helppo järjestää luvallisesti käyttöön. Tällöin käyttäjät mieluummin kääntyvät tämän virallisen mallin puoleen kuin harrastavat “varjo-IT:tä”, joka voi pahimmillaan aiheuttaa tietovuotoja ja suoria liiketoiminnallisia tappioita.

10. Kannusta ja palkitse

Kun yritystä kohtaan tapahtuu tietoturvahyökkäys ja oma henkilökunta omalla toiminnallaan estää hyökkäystä eskaloitumasta, tämä kannattaa ehdottomasti huomioida ja palkita. Itse työntekijän toimenpide voi pienimmillään olla vaikka se, että lyö luurin korvaan intialaisella aksentilla puhuvalle Microsoftin IT-tuelle tai varoittaa kollegoitaan pikaviestimen ryhmässä, että hänelle tuli outo sähköpostiviesti.

Nämä yksinkertaisiltakin vaikuttavat onnistumiset voivat parhaimmillaan estää monien satojen tuhansien arvoisten vahinkojen syntymisen, kun hyökkääjät eivät päässeetkään kiinni yrityksen sähköpostijärjestelmään. Tällöin pieni lahja tai yrityksen sisäisessä viestinnässä esiin nostettu työntekijän suoritus ovat itse uhkaan verrattuna hyvin pieniä asioita, mutta kannustaa työntekijöitä toimimaan oikein myös jatkossa.

Suosin itse hyvin matalaa kynnystä tietoturvaongelmien raportointiin ja epäselvistä asioista kysymiseen. Jos itse tietoturva-ammattilaisena tarjoaa kuuntelevan korvan käyttäjien huolille ja murheille, rivien välistä voi välillä löytyä suurempia ongelmia kuin mitä käyttäjä on voinut kuvitellakaan raportoivansa. Tämän vuoksi kannustakaa organisaatioitanne avoimuuteen ja muistakaa palkita ja nostaa esille onnistumisia. Toimii muuten hienosti myös muissa kuin tietoturva-asioissa.

Tässä myös blogi-sarjan aikaisemmat osat:
Perusasiat kuntoon
Näin varaudut poikkeustilanteisiin


Riku Tarkiainen on Visma Solutionsin Director of Information Security and Data Privacy. Tietoturvasta ja tekniikasta innostuva Riku pitää yhdessä tiimiemme kanssa huolen, että yrityksemme asiakkaat, tuotteet ja työntekijät pysyvät turvassa.