Oletko koskaan miettinyt, miten saisit sitoutettua käyttäjät mukaan tietoturvatalkoisiin? Tietoturva on elintärkeä osa organisaation toimintaa ja kilpailukykyä. Sen laiminlyönti pahimmillaan keskeyttää toiminnan hetkellisesti tai jopa lamauttaa sen lopullisesti. Ihmisen virheellinen toiminta on suurin tietoturvapoikkeamien aiheuttaja. Mutta miten organisaatiot voivat parantaa resilienssiään tietoturvan saralla käyttäjien osalta ja miten heidät saadaan siihen osallistettua?
Osassa organisaatioista tietoturvakoulutusta on edelleen hoidettu siten, että perehdytyksen yhteydessä on annettu nippu tietoturvaohjeistuksia muun perehdytysmateriaalin lisäksi luettavaksi ja sen jälkeen asiaan ei ole saatettu palata millään tavoin. Osalla työntekijöistä voi olla jo useampi vuosi vierähtänyt aikaa, kun viimeksi ovat saaneet koulutusta tietoturvan saralta. Ohjeistuksiakaan ei välttämättä ole katselmoitu sitten ensimmäisen julkaistun version luonnin jälkeen ja pitävät siten vanhentunutta tietoa sisällään.
Tänä päivänä on paljon tarjolla erilaisia tietoturvan koulutusjärjestelmiä organisaatioille. Suosituimpia ovat simuloitujen kalasteluviestien ympärille rakennetut koulutusjärjestelmät, joihin on usein sähköpostin kalastelusimulaatioviestien lisäksi lisätty lyhyitä jatkuvia yleisiä eri tietoturvan osa-alueisiin liittyviä mikrokoulutuksia. Järjestelmien ydintoimintaperiaate on säännöllinen jatkuva koulutus, jolloin asiat eivät pääse unohtumaan ja pyritään pitämään käyttäjien valveutuneisuutta yllä.
Matt Linton Googlelta kirjoitti jokin aika sitten meillä Suomessakin uutiseksi nousseen blogikirjoituksen, jossa hän kritisoi sähköpostin kalasteluviestisimulaatioiden hyödyllisyyttä. Olen hänen kanssaan samaa mieltä siinä, etteivät koulutukset, joissa käyttäjille lähetetään simuloituja kalasteluviestejä ilman raportointiominaisuuksia, ole toimiva tapa. Kun käyttäjä klikkaa simulaatioviestissä olevaa linkkiä, saa hän niskaansa tietoturvakoulutuspaketin ja paheksunnat IT-osastolta. Ei kovinkaan optimaalinen osallistaa käyttäjiä. Ne järjestelmät, joissa raportointiominaisuudet ovat saatavilla ja raportoinnista palkitaan, osallistavat käyttäjiä yhteisiin tietoturvatalkoisiin – oli sitten kyse harjoitussimulaatioista tai oikeasta kalasteluviestistä.
Entä ne organisaation omat tietoturvaohjeistukset?
Usein tilanne on se, että tietoturvan koulutusmateriaalit sijaitsevat jossain Sharepointin tiedostokirjastoissa, eikä minkäänlaista seurantaa ole siitä, kuka käyttäjistä on kuitannut materiaalit luetuiksi ja milloin se on tapahtunut. Myös lähes poikkeuksetta edellä mainittuihin kalasteluviestien koulutusjärjestelmiin ei ole mahdollista tuoda organisaation omia sisäisiä koulutusmateriaaleja. Suomalaisella ohjelmistotalolla Agendiumilla on erinomainen ratkaisu asiaan. Heidän Digiturvamalli niminen tuote on tietoturvan hallintajärjestelmä, jolla voidaan kokonaisvaltaisesti hallita tietoturvaa organisaatioissa. Yhtenä järjestelmän osa-alueena on tietoturvaohjeistusten ylläpito, julkaiseminen ja seuranta organisaation käyttäjille. Järjestelmän avulla ohjeistukset pysyvät ajan tasalla ja ne saadaan tuotua tehtäviksi ja kuitattavaksi käyttäjille esimerkiksi Microsoft Teamsin avulla.
Mistä rakentuu hyvät tietoturvakäytänteet organisaation käyttäjien näkökulmasta?
- Johdon sitoutuminen
- Tietoturvakulttuurin jalkautus on tultava johdolta
- Ilman johdon aitoa sitoutumista tietoturvaan on hyvin vaikea saada luotua onnistunutta tietoturvakulttuuria organisaatioon
- Tietoturvastrategia
- Tunnistetaan mitä ulkoisia ja sisäisiä vaatimuksia organisaatioomme kohdistuu
- Toteutetaan tietoturvaa systemaattisesti esimerkiksi noudattamalla jotain viitekehystä kuten ISO27001, vaikka sitä ei varsinaisesti meiltä vaadittaisi
- Selkeät perustelut ja läpikäynti käyttäjille miksi asioita tehdään ja miten ne vaikuttavat organisaatioon ja sen työntekijöihin
- Tietoturvan hallintajärjestelmä käyttöön
- Selkeyttää ja auttaa organisaatiota tietoturvan systemaattisessa kehityksessä
- Jatkuvat kalasteluviestien ja tietoturvan mikrokoulutukset käyttäjille
- Edesauttaa käyttäjiä tunnistamaan ja raportoimaan aitoja kalasteluviestejä
- Tuo jatkuvaa valveutuneisuutta käyttäjille tietoturvan osalta
- Osallistetaan organisaation työntekijät yhteisiin talkoisiin tietoturvan parantamiseksi
- Käyttäjille tietoturvahavaintojen raportointi mahdollisimman helpoksi
- Palkitaan, ei rangaista osallistumisesta!
Klisee, mutta totta. Organisaation tietoturvan taso on yhtä kuin sen heikoin lenkki. Ja lähes poikkeuksetta suurin riski on meidän ihmisten toiminta. Osallistamalla käyttäjät mukaan yhteisiin tietoturvatalkoisiin vähennetään huomattavasti tätä riskiä.
Me Above IT:llä autamme organisaatioita luomaan onnistuneen tietoturvakulttuuriin. Ota yhteyttä alta niin jutellaan lisää!