Be aware! Mitä on tietoturvatietoisuus?
Tietoturvallisuus on tietojen turvaamista – sitä, että tiedot ovat oikein, saatavilla niille, joille ne kuuluvat ja käytettävissä silloin, kun niitä tarvitaan. Tietoturvatietoisuus (awareness) on tietojen turvaamiseen liittyvien riskien tunnistamista ja välttämistä ennakoiden.
Tietoturvatietoisuus on tietoisuutta tietoturvaan liittyvistä riskeistä ja niiden toimenpiteiden osaamista, jolla organisaatio pyrkii välttämään tietoturvan vaarantumisen. Jokaisen tulisi tuntea tietoturvan perusteet ja olla tietoisia omaan työhönsä liittyvistä tietoturvariskeistä.
Hyvä tietoturvatietoisuus sisältää ymmärryksen tietoturvauhkista ja niiden vaikutuksista, sekä käytännön taitoja ja hyviä käytäntöjä. Se auttaa ihmisiä tekemään turvallisia valintoja tietotekniikan käytössä ja vähentämään riskiä joutua tietoturvauhkien kohteeksi.
Henkilökohtaisessa elämässä
Yksilön on tärkeää ymmärtää, miten tietoturvallisuus liittyy hänen henkilökohtaiseen elämäänsä. Tämä koskee esimerkiksi henkilökohtaisten tietojen suojaamista, kuten pankkitietoja, henkilökohtaisia tunnisteita ja muita arkaluonteisia tietoja.
Tietoturvatietoisuus on välttämätöntä henkilökohtaisen turvallisuuden kannalta. Yksilöiden tietoturva on alttiina monille riskeille, kuten identiteettivarkauksille, huijauksille ja tietojenkalasteluun perustuville hyökkäyksille. Jokaisen tulee olla tietoinen siitä, miten suojata itseään tällaisilta riskeiltä, kuten vahvojen salasanojen käytöstä, tietojen jakamisen rajoittamisesta ja haittaohjelmien torjunnasta.
Lisäksi yksilön tulisi ymmärtää, että tietoturvallisuus ei koske pelkästään tietokoneita ja verkkosivustoja, vaan myös muita laitteita, kuten matkapuhelimia ja älykelloja.
Ammatillisessa elämässä
Miten voidaan osoittaa yrityksille, että tietoturvaan kannattaa sijoittaa? Tietoturvasta on vaikea nähdä liiketominnallisia hyötyjä silloin, kun konkretia puuttuu. Tietoturvaan panostaminen harvoin tuottaa organisaatiolle suoraa voittoa, mutta voi parhaimmillaan olla liiketoimintaetu ja kilpailuvaltti. Tietoturvatietoisuuden suunnittelu ja toteuttaminen on edullisempaa, kuin ongelmien korjaaminen, eikä ongelmien korjaaminen aina ole edes mahdollista.
Tietoturva on tärkeä osa modernia liiketoimintaa ja sen merkitys korostuu entisestään yritysten siirtyessä digitaalisiin ympäristöihin. Yrityksissä käsitellään usein arkaluonteista tietoa, kuten asiakasrekistereitä, henkilöstötietoja ja liikesalaisuuksia. Tällaisen tiedon suojaaminen on merkityksellistä, jotta ulkopuoliset eivät pääse siihen käsiksi. Jos yrityksen tietoturva pettää, se voi pahimmillaan johtaa vakaviinkin liiketoiminnallisiin seurauksiin. Tietomurrot, tietovuodot ja muut tietoturvaloukkaukset voivat johtaa asiakkaiden luottamuksen menettämiseen ja tätä kautta maineen vaurioitumiseen. Mainehaitan korjaaminen taloudellisten tappioiden lisäksi voi olla ylivoimaista.
Tietoisuus on yksi tärkeimmistä tekijöistä tietoturvan saavuttamisessa
”Jos työntekijä ei edes tiedä, mitä ei tiedä, ei hänen silloin voida olettaa ymmärtävän, millaiset seuraukset hänen ymmärtämättömyydellään ja tietämättömyydellä on tai voi olla.” (Vestman 2020, 143).
Keskeistä on varmistaa, että organisaation henkilöstöllä on mahdollisuus ymmärtää tietoturvan merkitys ja kyky tunnistaa tietoturvauhkia. Vaikka organisaatiolla olisi käytössään maailman parhaat teknologiset tietoturvaratkaisut, vain yksi väärä klikkaus tai huolimaton toiminta voi johtaa tietomurtoon.
Osaaminen ja ymmärrys voidaan saavuttaa erilaisilla tietoturvakoulutuksilla tai tietoturvan tietoisuuskampanjoilla. Parhaimmillaan koulutus antaa tietoturvallisuuden perusosaamisen lisäksi käytännön vinkkejä tietoturvan parantamiseksi. Lisäksi tietoturvakoulutus voi auttaa henkilöstöä ymmärtämään roolinsa organisaation tietoturvastrategian, -politiikan ja -prosessien toteutumisessa.
Hyvä tietoturvakoulutus muokkaa asennetta ja rakentaa toimintakulttuuria. Ytimekäs ja ajatuksia herättävä voi sisältää täsmätietoa esimerkiksi salasanojen luomisesta ja säilyttämisestä, haittaohjelmien välttämisestä ja tietoturvapäivityksistä. Salasanojen jakaminen, tietokoneiden jättäminen lukitsematta tai epäilyttävien sähköpostien avaaminen voivat tunnetusti johtaa erilaisiin tietoturvaongelmiin.
Osana Turun ammattikorkeakoulun kyberturvallisuuden YAMK -opintoja, kyberturvallisuuden perusteet -kurssin tehtävänä oli laatia koulutusmateriaalia opiskelijoiden valitsemalle organisaatiolle. Ryhmämme teki koulutuksen Turun ammattikorkeakoulun henkilöstölle. Kuvaamamme video oli laatimaamme koulutuspakettia ja yksi tapa antaa henkilöstölle vinkkejä, jotka auttavat parantamaan tietoturvatietoisuutta koti- ja etäkonttorilla.
Muista: Ihminen on tietoturvan heikoin, ja joskus ainoa lenkki.
Katso video aiheeseen liittyen
Blogikirjoitus on kirjoitettu osana Kyberturvallisuuden osaajakoulutusta (30 op), joka on rahoitettu Euroopan unionin elpymis- ja palautumistukivälineellä (RRF), joka on EU:n elpymisvälineen (Next Generation EU) suurin ohjelma. Rahoituksen on myöntänyt Jatkuvan oppimisen ja työllisyyden palvelukeskus. Palvelukeskuksen tehtävänä on edistää työikäisten osaamisen kehittämistä ja osaavan työvoiman saatavuutta sekä vastata nopealla toiminnalla työmarkkinoiden äkillisiin rakennemuutoksiin. Palvelukeskuksen toimintaa ohjaavat opetus- ja kulttuuriministeriö sekä työ- ja elinkeinoministeriö.
Katso lisää: Kyberturvallisuuden osaajakoulutus
Lähteet
Tiina Vestman. Kriittinen analyysi neutralisoimisteorian soveltamisesta tietojärjestelmätieteessä.
