Kypsänä kyberiin? Tee nopea arvio omasta ja organisaatiosi tieto- ja kyberturvallisuuden osaamisen tasosta!

13.04.2023

Tieto- ja kyberturvallisuuden osaaminen ja osaamisen tason nostaminen ovat tärkeitä osa-alueita jokaisen organisaation liiketoiminnalle ja jatkuvuudelle riippumatta toimialasta. Organisaatioissa tieto- ja kyberturvallisuuden kypsyystasoa, eli maturiteettia, voidaan arvioida usein eri mittarein ja arviointiin onkin hyödyllistä käyttää valmiita malleja. Yksi työkalu, jolla organisaatio voi kartoittaa nykytilaansa ja saada käsityksen henkilöstönsä osaamisesta sekä organisaation tasosta, on esimerkiksi SANS Security Awareness Maturity Model -viitekehys. Viitekehys jakaa tieto- ja kyberturvallisuuden osaamisen viiteen helposti ymmärrettävään kypsyystasoon.

Turun ammattikorkeakoulun kyberturvallisuuden perusteet -kurssilla (YAMK/JOTPA) opiskelijaryhmä tarkasteli kattavasti kaikkien jäsentensä taustaorganisaatioita kyseistä viitekehystä vasten ja saivat laajan kuvan eri tasoille sijoittuvista esimerkeistä ja syistä kunkin organisaation nykyiseen kypsyystasoon.

TASO 1: Ei tietoturvallisuuden tietoisuusohjelmaa
TASO 2: Säädösten vaatimukset keskiössä
TASO 3: Tietoisuuden ja käyttäytymisen muutoksen edistäminen
TASO 4: Pitkäaikainen ylläpito ja kulttuurin muutos
TASO 5: Mitattava kokonaisuus

Nykytila-analyyseihin perustuen ryhmä laati sekä pikatestin kypsyystason arviointiin että tieto- ja kyberturvallisuuden koulutuksen, jonka tavoitteena on lisätä organisaatioiden tietoisuutta ja kehittää tieto- ja kyberturvallisuuskulttuuria. Ryhmä päätyi toteuttamaan perustasoisen tietoiskutyyppisen tieto- ja kyberturvallisuuskoulutuksen selainpohjaiselle koulutusalustalle saatavuuden takaamiseksi. Koulutusta laadittaessa ryhmä myös havaitsi, että yksityisille henkilöille ei ole juurikaan tarjolla tietoturvaan tai kyberturvaan liittyvää koulutusta. Ryhmän laatimalla koulutuksella pyrittiin vastaamaan myös tähän tarpeeseen.

https://bit.ly/tietojakyberturvantietoisku

Opiskelijaryhmän laatima pikatesti organisaation kypsyystason arviointiin

Osaaminen, kulttuuri ja asenne

Nykytilan kuvauksen mukaan organisaatioilla on vaihteleva lähestymistapa tietoturvakoulutuksiin. Jotkut tarjoavat systemaattista ja suunnitelmallista koulutusta, kun taas toisilla koulutus puuttuu lähes täysin. Organisaatiot jotka kouluttavat systemaattisesti ovat yleensä korkeammalla SANS-kehikon kypsyystasolla. Joillakin organisaatioilla on myös oma koulutussuunnitelma, joka on integroitu osaksi koko organisaation toimintaa ja kulttuuria. Onkin viitteitä siitä, että asenteella voi olla tietoa merkittävämpi rooli tietoturvallisuuden toteutumisessa (Vilander J. 2020). Huomioitavaa on, että myös tieto- ja kyberturvallisuuskoulutuksen puute voi ylläpitää tai jopa luoda huonoa tietoturvakulttuuria pitkällä aikavälillä.

Varmista ylimmän johdon osaaminen

Organisaatioiden johdot suhtautuvat pääsääntöisesti tieto- ja kyberturvallisuuteen vakavasti ja pyrkivät kehittämään osaamistaan ja kulttuuria. Organisaatiot täyttivät tarkasteluhetkellä kouluttamisen osalta vähintäänkin lakisääteiset velvollisuutensa eli lakien ja säädösten vaatimukset tietoturvallisuuden ja tietosuojan suhteen oli otettu huomioon. Organisaatiot kykenivät myös hallitsemaan ja mittaamaan inhimillisiä riskejä.

Kypsyysmallin neljäs taso, joka vaatii hyvin vahvaa organisaation läpileikkaavaa kulttuuria ja joka mahdollistaa sekä edistää tieto- ja kyberturvallisuuden rakentumisen kaikkien toimintojen osalta, oli kuitenkin vielä saavuttamatta. Ylimmän johdon tietotaito voi olla puutteellista ja tietoturvakoulutus onkin usein kertaluontoista, jolloin sitä ei voida mitata systemaattisesti. On tärkeää muistaa, että organisaation ylin johto johtaa organisaatiota myös mahdollisissa tieto- ja kyberturvallisuuteen liittyvissä kriisitilanteissa, jolloin ylemmän johdon osaamisen merkitys korostuu entisestään.

Digitalisaatio

Digitaalisen maailman kehittyessä tieto- ja kyberturvallisuuden merkitys kasvaa koko ajan. Organisaatioilla on käytössään erilaisia teknisiä ja hallinnollisia ratkaisuja, joilla tiedon käsittelyn turvallisuus on varmistettu. Digitalisaation myötä organisaatioilla on mahdollisuuksia kasvuun ja tulosten saavuttamiseen, mutta se on myös lisännyt tietoturvaan liittyviä riskejä ja tarvetta kouluttaa henkilöstöä näiden uhkien tunnistamiseen ja torjumiseen.

Puutteelliseen osaamiseen voidaan löytää ratkaisuja oikea-aikaisella ja kohdennetulla viestinnällä, tiiviimmällä yhteistyöllä ja työkierroilla, henkilöstön saatavuuden varmistamisella sekä tietoturva- ja kyberturvallisuuskoulutuksen kehittämisellä. Nämä toimenpiteet voivat auttaa organisaatioita kasvattamaan tietoturvakulttuuriaan ja parantamaan tietoturvan ja kyberturvallisuuden osaamistasoaan. Vaikka tarkasteltavina olleiden organisaatioiden maturiteeteissa ilmeni paljon vaihtelua, yksi läpileikkaava teema oli perustasoisen ja kertaavan koulutuksen tarve.

Kertausharjoituksia

Kertaaminen tehostaa toimintaa myös tieto- ja kyberturvallisuuden perusasioissa. Organisaatioiden ymmärtäessä ja reagoidessa yhä laajemmin heihin kohdistuviin riskeihin tulee muistaa, että suuri osa tietomurroista tapahtuu perusasioiden ja ihmisten kautta. Hyviä kerrattavia perusasioita ovat esimerkiksi järjestelmien pitäminen päivitettynä, reagointi tietojen kalasteluun, tehokkaat salasanojen hallintatavat sekä koneen lukitseminen lounaalle lähtiessä. Nämä ovat aiheita, joista on hyvin vaikea kouluttaa henkilöstöä liikaa. Perusasioiden kertaaminen myös varmistaa yrityksissä ja organisaatioissa toiminnan tehokkuutta poistamalla henkilöstöltä epävarmuustekijöitä. Jotta organisaation kypsyystaso voisi kehittyä, tulisi perusasioiden olla osa päivittäistä toimintaa.

Sido käytäntöön

Tietoturvallisuuskoulutukset voivat monesti olla teknisiä ja joskus asiantuntijoillekin vaikeasti käsitettäviä. Paras tapa saada organisaatioissa henkilöstö ymmärtämään koulutuksen tarkoitusta ja sisältöä on sitoa sitä henkilöstön päivittäisiin toimiin. Ryhmä laatimassa koulutuksessa haluttiinkin tuoda esiin käytännön esimerkkejä siitä, miten tieto- ja kyberturvallisuus vaikuttaa arkisiin asioihin ja miten pienillä teoilla voi olla suuri merkitys. Koulutuksen tavoitteena on lisätä yleistä tietoisuutta tieto- ja kyberturvasta sekä parantaa ihmisten kykyä huolehtia omasta tieto- ja kyberturvallisuudestaan. Koulutus on suunniteltu avoimeksi, jotta mahdollisimman moni voisi hyötyä siitä. On tärkeää, että jokainen meistä toimii vastuullisesti arjessa, koulussa ja työpaikalla.

Ole oman onnesi kyberseppä

Voit käydä kertaamassa taitojasi, vaikka heti! Linkki koulutukseen: https://bit.ly/tietojakyberturvantietoisku

Jatkuva oppiminen

Tietoturvakoulutus on jatkuva prosessi, joka vaatii säännöllistä arviointia, päivittämistä ja kehittämistä. Tehokas tapa toteuttaa ja todentaa tietoturvallisuuteen liittyviä koulutusvaatimuksia, on arvioida eri työtehtävissä tarvittavia osaamistarpeita ja laatia suunniteltu sekä systemaattinen tapa kouluttaa henkilöstöä eri tasoilla. Vaikuttavuuden lisäämiseksi tietoturvakoulutus on hyvä integroida osaksi organisaation strategiaa ja kulttuuria.

Turvallisuus on olennainen osa liiketoimintaa ja sen merkitys kasvaa jatkuvasti. Organisaatiot, jotka panostavat tietoturvakoulutukseen ja kehittävät omaa osaamistaan, ovat paremmin valmistautuneita kohtaamaan tietoturvariskejä ja suojelemaan arvokasta tietoaan.

Investointi tietoturvakoulutukseen on investointi organisaation tulevaisuuteen!

Blogikirjoitus on kirjoitettu osana Kyberturvallisuuden osaajakoulutusta (30 op), joka on rahoitettu Euroopan unionin elpymis- ja palautumistukivälineellä (RRF), joka on EU:n elpymisvälineen (Next Generation EU) suurin ohjelma. Rahoituksen on myöntänyt Jatkuvan oppimisen ja työllisyyden palvelukeskus. Palvelukeskuksen tehtävänä on edistää työikäisten osaamisen kehittämistä ja osaavan työvoiman saatavuutta sekä vastata nopealla toiminnalla työmarkkinoiden äkillisiin rakennemuutoksiin. Palvelukeskuksen toimintaa ohjaavat opetus- ja kulttuuriministeriö sekä työ- ja elinkeinoministeriö. 

Tutustu koulutukseen: Kyberturvallisuuden osaajakoulutus

Lähteet

Vilander, Jaakko: Bridging the knowing-doing gap: The role of attitude in information security awareness: https://jyx.jyu.fi/bitstream/handle/123456789/76067/URN%3aNBN%3afi%3ajyu-202105313312.pdf?sequence=1&isAllowed=y

SANS security awareness maturity model: https://www.sans.org/security-awareness-training/resources/maturity-model/

Tekijät

Jonna Luostarinen, Anssi Walta, Teea Korppi, Jani Voutilainen, Leo Hämäläinen ja Pia Satopää

Opettaja

Pia Satopää
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe20231113145250

Teemat | Themes

Tekniikka ja liiketoiminta

Ajoneuvo- ja kuljetustekniikka (18) Energia- ja ympäristötekniikka (76) ICT (87) Kemiantekniikka (77) Konetekniikka (20) Liiketalous (56) Logistiikka (27) Master School Engineering and Business (217) Master School Health and Well-being (114) Myynti (19) Rakennustekniikka (51) Teknologiateollisuus (15) Tuotantotalous (61) Yrittäjyys (10)

Taideakatemia

Master School Arts Academy (3)

Terveys ja hyvinvointi

Bioanalytiikka (1) Ensihoito (24) Fysioterapia (4) Hammastekniikka (6) Kätilötyö (7) Master School Engineering and Business (217) Master School Health and Well-being (114) Radiografia (7) Sairaanhoito (45) Sosiaali- ja kasvatusala (40) Terveydenhoito (11) Toimintaterapia (16)