Tietoturvatietoisuus vaatii muutakin kuin koulutusta

08.04.2025

Vaikka tekniset ratkaisut estävät suuren osan tietoturvahyökkäyksistä, lopulta ihminen on usein ratkaiseva tekijä – se viimeinen palomuuri – estämässä hyökkääjien pääsyn organisaation kruununjalokiviin. Tietoturvatietoisuus ei kehity irrallisilla koulutuksilla, vaan sen tulee rakentua osaksi organisaation kulttuuria. Miten yritys voi sitten tukea turvallisen toiminnan kasvua?

Media täyttyy nykyään säännöllisesti toteutuneista tietomurroista ja huijauksista. Usein yhteistä tapauksille on se, että tekniset suojaukset ovat olleet kunnossa, mutta ihminen on – joko kiireessä, epätietoisuudessa tai hyväuskoisuudessaan – tehnyt virheen. Juuri siksi henkilöstön tietoturvatietoisuudesta on tullut yksi organisaation tärkeimmistä voimavaroista. Tietoturvallinen toiminta ei ole itsestäänselvyys, eikä se kehity ainoastaan koulutuksilla tai ohjeita kirjoittamalla. Tietoisuus on myös enemmän kuin pelkkä osaaminen. Se tarkoittaa ymmärrystä, asennetta ja oikeaa käyttäytymistä, jotka kaikki kokonaisuutena suojaavat organisaatiota kehittyviltä uhilta. Tärkeimpänä se vaatii kuitenkin ympäristön, joka tukee yksilön turvallista käyttäytymistä, eli yrityskulttuurin, jossa hyvä tietoturvatietoisuus on arvo, ei välttämätön paha.

Yrityskulttuuri muovaa tietoturvakäyttäytymistä

Organisaation tietoturvakulttuuri näkyy siinä, miten asioista puhutaan. Jos työntekijä kokee, ettei typeriltä tuntuvista kysymyksistä tai virheistä voi puhua ääneen, on todennäköistä, että monet turvallisuuteen liittyvät havainnot jäävät jakamatta. Tietoturvasta tulee voida puhua niin kuin muistakin työskentelyyn liittyvistä asioista, eli avoimesti, selkeästi ja osana arkea. Kun johdon, esihenkilöiden ja tiimikavereiden toiminta on linjassa ohjeiden kanssa, syntyy ympäristö, jossa turvallinen toiminta on oletusarvo, eikä poikkeus.

Yrityskulttuuri ei synny yhdessä yössä, mutta pienillä teoilla voidaan kehittää toimintaa oikeaan suuntaan. Turvallisuusviestintä, palautekanavat, kannustaminen havaintojen tekemiseen ja turvallisuuden huomioiminen päätöksenteossa sekä työtehtäviin kohdennetut koulutukset ovat konkreettisia keinoja, joilla kulttuuria rakennetaan pitkäjänteisesti tietoisuuden tueksi.

Tietoturvatietoisuus ei synny tentistä

Monessa organisaatiossa tietoturvatietoisuus pyritään vieläkin varmistamaan vuosittaisella koulutuksella, jonka lopussa on testi. Koulutuksilla on tärkeä rooli, mutta ne eivät yksin riitä. On eri asia tietää, mikä olisi oikein, kuin toimia oikein todellisessa tilanteessa. Todellinen tietoisuus näkyy käytännön valinnoissa: tunnistatko epäilyttävän viestin? Lataatko liitteen, vaikka et ole täysin varma sen lähettäjästä? Kysytkö apua, ennen kuin klikkaat? Päivitätkö ohjelmiston, vaikka se vaatii laitteen uudelleenkäynnistyksen kesken työpäivän? Nämä ovat käytännön työskentelyn päivittäisiä valintoja, joissa kulttuuri ja asenne ratkaisevat enemmän kuin kirjoitetut ohjeet.

Tietoturvatietoisuuden merkitys on tunnistettu

Tietoturvatietoisuus on pitkään ollut organisaatioissa varautumisen aliarvostettu osa-alue, joka on jäänyt usein teknologisten ratkaisujen varjoon. Henkilöstön osaamisen parantamista on kyllä tehty, mutta usein se on voinut jäädä satunnaisten koulutusten tai ohjeistusten varaan, ilman pitkäjänteistä suunnitelmaa tai strategista painoarvoa.

Tilanne on kuitenkin muuttumassa. Viime vuosien yleistyneet kyberuhat, huijausviestit ja inhimillisten virheiden osuus tietoturvaloukkauksissa ovat nostaneet esiin tarpeen kehittää myös ihmisten tietoturvaosaamista ja -asenteita. Monissa organisaatioissa ymmärretään nyt, että tekniset ratkaisut eivät yksin riitä, ja että käyttäjien rooli on kriittinen osa kokonaisresilienssiä.

Taloudellisten panostusten lisäksi, muutos näkyy myös siinä, että tietoisuuteen liittyviä ilmiöitä mitataan ja kehitetään entistä systemaattisemmin. Yksi tällainen kehys on KAB-malli (knowledge, attitude, behaviour), joka jakaa tietoturvatietoisuuden kolmeen keskeiseen ulottuvuuteen.

Tieto, asenne ja käyttäytyminen – tietoturvatietoisuuden kolme ulottuvuutta

Tietoturvatietoisuutta ei tulisi tarkastella vain osaamisen tai ohjeiden noudattamisen näkökulmasta. Opinnäytetyössäni lähestyin aihetta KAB-mallin avulla, jossa tietoisuus jaetaan kolmeen toisiinsa liittyvään osa-alueeseen:

  1. Mitä työntekijät tietävät
  2. Miten he suhtautuvat tietoturvaan
  3. Miten he toimivat käytännössä.

Näiden kolmen ulottuvuuden hyvä tasapaino on opinnäytetyöni ja aiemman tutkimustiedon mukaan edellytys kestävälle ja vaikuttavalle tietoturvatietoisuudelle. Pelkkä tieto ei riitä, jos asenteet eivät tue turvallista toimintaa – ja pelkät asenteet jäävät vajaiksi, jos käytännön toiminta ei heijastu niistä. Siksi tietoturvatietoisuuden kehittämisen tuleekin olla osa kokonaisvaltaista organisaation kehittämistä, jossa koulutus, viestintä, johtaminen ja kulttuuri tukevat kaikki toisiaan.

Tietoturvallinen organisaatio ei synny sattumalta, vaan se rakennetaan pitkäjänteisesti ja määrätietoisesti.

Artikkelikuva: Cyber Swaard

Lähteet

Parsons, K; McCormac, A; Butavicius, M; Pattinson, M; Jerram, C. 2014.  Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Viitattu 2.4.2025. http://dx.doi.org/10.1016/j.cose.2013.12.003.

Tähtinen, P. 2025. Organisaation tietoturvatietoisuuden kehittäminen. Turku: Turun ammattikorkeakoulu. Turku YAMK opinnäytetyö. Viitattu 5.4.2025.

Tekijät

  • Petri Tähtinen, Turun ammattikorkeakoulu
  • Pia Satopää, Turun ammattikorkeakoulu

Opettaja

Pia Satopää
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2025040223573

Viittausohje

Tähtinen, P., Satopää, P. 2025. Tietoturvatietoisuus vaatii muutakin kuin koulutusta. Talk by Students. Turku: Turun ammattikorkeakoulu. Viitattu 08.04.2025. https://urn.fi/URN:NBN:fi-fe2025040223573

Teemat | Themes

Tekniikka ja liiketoiminta

Ajoneuvo- ja kuljetustekniikka (21) Energia- ja ympäristötekniikka (84) ICT (96) Kemiantekniikka (84) Konetekniikka (53) Liiketalous (73) Logistiikka (33) Master School Engineering and Business (269) Master School Health and Well-being (171) Myynti (22) Rakennustekniikka (66) Teknologiateollisuus (26) Tuotantotalous (77) Yrittäjyys (12)

Taideakatemia

Elokuva ja media (4) Master School Arts Academy (12) Nykytaide (3)

Terveys ja hyvinvointi

Bioanalytiikka (2) Ensihoito (37) Fysioterapia (10) Hammastekniikka (11) Kätilötyö (9) Master School Engineering and Business (269) Master School Health and Well-being (171) Radiografia (7) Sairaanhoito (60) Sosiaali- ja kasvatusala (55) Terveydenhoito (19) Toimintaterapia (22)