Alan ammattilaiset eivät ole ainoa ryhmä, joka tiedostaa ihmisten roolin tietoturvallisuudessa. Myös kyberrikolliset ajattelevat sitä. On aika tehdä ihmisistä lopullinen vahvistus puolustuslinjaamme.
Teknologia on muuttanut yhteiskuntaamme ja talouttamme lopullisesti. Kyberturvallisuuden ammattilaisina meidän on varmistettava, että ihmiset osaavat käyttää olemassa olevaa ja uutta teknologiaa turvallisesti. Gartnerin vuonna 2023 tekemän tutkimuksen mukaan jopa 90% työntekijöistä, jotka myönsivät tehneensä useita epäsuotuisia toimia työskentelynsä aikana, tiesivät toimintansa lisäävän riskiä organisaatiolle. Ennuste onkin, että vuoteen 2027 mennessä noin 50% tietoturvapäälliköistä maailmanlaajuisesti ottavat ihmiskeskeisen näkökulman organisaatioiden tietoturvatoimenpiteisiin ja koulutuksiin.
Heikoimman lenkin titteli
Meitä ihmisiä on jo pitkään pidetty suurelta osin tietoturvallisuuden ”haavoittuvuuksina” ja heikoimpana lenkkinä. Tämä ajatus on ohjannut ja muokannut myös suurinta osaa nykyisistä tietoturvastrategioista. Nämä strategiat antavat hyvin harvoin kovinkaan paljon krediittiä ihmiselle – useimmiten niissä luetellaan lista rajoittavia toimenpiteitä, joiden tavoitteena on minimoida ihmisen aiheuttama ”uhka” ja mahdolliset vahingot.
Kuitenkin kun mietimme tietoturvaa, yksi tärkeimmistä näkökulmista on ihminen itse. Ihmislähtöinen tietoturvakoulutus on lähestymistapa, joka tunnistaa, että käyttäjät ovat avainasemassa tietoturvan kokonaisvaltaisessa ylläpidossa.
Elottomasta esineestä eläväksi ja osallistuvaksi olennoksi
Mainitsemani strategiat puhuvat ihmisistä ikään kuin he olisivat elottomia esineitä, sivustaseuraajia. Niissä otetaan harvoin huomioon ihmisten käyttäytymiseen vaikuttavat tekijät ja mahdolliset rajoitteet.
Ihmislähtöinen tietoturvallisuus kääntää perinteisen ajattelun päälaelleen: sen sijaan, että ihmiset luokitellaan automaattisesti heikkoudeksi, ajatellaankin, että ihmisellä on aktiivinen toimijan rooli järjestelmien turvallisuudessa ja niiden turvallisuuden kehittämisessä.
Tällä pienellä mutta merkittävällä muutoksella ajatusmaailmassamme on suuri vaikutus siihen, miltä tietoturvastrategiat ja -koulutukset näyttävät. Rajoittavien toimenpiteiden sijaan keskitytäänkin ihmisen ja yksilön oman roolin tunnistamiseen ja vastuuseen. Ihmislähtöinen tietoturva korostaa ihmisten älykkyyttä, vastuuta ja luottamusta.
Turvallisuus alkaa ymmärtämisestä
Tietoturvakoulutuksia suunnitellessa on tärkeää ymmärtää, miksi ihmiset käyttäytyvät niin kuin he käyttäytyvät. Syvemmän ymmärryksen avulla voimme valita työkaluja ja keinoja, mitkä toimivat ihmisten luontaisessa tietoturvallisuuskäyttäytymisessä ja tukevat positiivisesti uusien käyttäytymismallien oppimisessa.
Esimerkiksi tiedämme, että ihmiset ovat luonnostaan sosiaalisia olentoja. Jos pystymme siis kuvailemaan ja kertomaan, mitä useimmat ihmiset tekevät tietyssä tilanteessa, pystymme rohkaisemaan muita tekemään samoin – tärkeä oivallus, jolla on valtava vaikutus ihmislähtöiseen tietoturvaan.
Ihmislähtöinen tietoturvakoulutus
Ihmislähtöinen tietoturvakoulutus ei ole vain yksi koulutustilaisuus kerran vuodessa, vaan se on osa organisaation laajempaa yrityskulttuuria. Hyvin toteutettu ja tehokas koulutus ei ainoastaan keskity teknisiin näkökohtiin, vaan tunnistaa ihmisen roolin tietoturvallisuuden ylläpitämisessä.
Ihmislähtöinen tietoturvakoulutus voi ilmetä monin eri tavoin, mutta tärkeintä on, että koulutus olisi jatkuvaa ja kattaa kaikki organisaation työntekijät. Voisi ajatella, että koulutus ei olekaan vain tietoa jakavaa toimintaa, vaan se on myös osallistavaa: kannustetaan työntekijöitä osallistumaan keskusteluihin, jakamaan kokemuksiaan ja oppimaan toisiltaan.
Tämän tyylinen vuorovaikutteinen ja osallistava koulutus vahvistaa yrityksen tietoturvakulttuuria ja lisää työntekijöiden sitoutumista tietoturvatoimenpiteisiin. Loppujen lopuksi vahva tietoturvakulttuuri syntyy juurikin tietoisista ja osallistuvista työntekijöistä.
Tietoturvatietoisuuden terveystarkastus
Kuten me ihmisetkin käymme aika ajoin lääkärin vastaanotolla sanomassa ”aaaa”, voidaan tietoturvatietoisuudenkin ”terveydentilaa” arvioida ja kehittää. Secure Cloudin Security Awareness Health Checkin tavoitteena on arvioida ja parantaa yrityksen tietoturvan tasoa ihmislähtöisestä näkökulmasta.
Keskittymällä henkilöstön tietoturvatietoisuuteen, nykytilan kartoituksen lisäksi luomme valmiin perustan tietoturvakoulutusten suunnittelulle ja jalkautukselle. Health Check voi toimia pohjana pitkäaikaiselle tietoturvakulttuurin parantamisprosessille, sillä kuten tiedämme, useimmat tietoturvaloukkaukset liittyvät ihmisten tietämättömyyteen tai huolimattomuuteen (lue myös Tietojen kalastelu -blogi ja Tietoturvakoulutus vahvistaa organisaatiota -blogi). Ihmislähtöinen tietoturvakoulutus pyrkii tilkitsemään tämän aukon lisäämällä ihmisten ymmärrystä ja opettamalla turvallisuutta vahvistavaa käyttäytymistä.
Jos tekstin luettuasi sinusta tuntuu, että nyt voisi olla otollinen hetki tarkastella tietoturvakoulutuksia yrityksellenne, niin laita viestiä ja vaihdetaan ajatuksia aiheesta. Toivottavasti pääsen mukaanne rakentamaan työntekijöistänne vahvaa puolustusta tietoturvauhkien kasvavaa joukkuetta vastaan.
