Väitös: Viranomaisten tulisi karsia tietoturvaohjeistuksia
Niina Kinnusen tietotekniikan alan väitöskirjatutkimuksen mukaan viranomaisten tulisi pyrkiä vähentämään tietoturvaohjeistuksia ja niistä ohjeistavia tahoja.
– Suomalaisia pk-yrityksiä ohjeistavia tahoja ja ohjeistuksia on paljon, ja niiden kaikkien huomioiminen ja toteuttaminen yrityksissä on vähintäänkin haastavaa, sanoo Kinnunen.
– Suomalaisia pk-yrityksiä ohjeistavia tahoja ja ohjeistuksia on paljon, ja niiden kaikkien huomioiminen ja toteuttaminen yrityksissä on vähintäänkin haastavaa, sanoo Kinnunen.
Lisäksi ohjeistuksissa käytettävä termistö on kirjava, mikä hankaloittaa kokonaiskuvan saamista. Kinnusen mukaan viranomaisten tulisikin ryhtyä selkiyttämään ja vakinaistamaan tietoturvaa koskevia termejä.
Kinnunen moittii etenkin internetissä julkaistavia ohjeistuksia työläiksi hahmottaa. Ne ovat useissa osissa ja osaksi myös erittäin pieninä paloina.
Hän neuvookin yrityksiä päättämään, mihin viranomaisten tietoturvaohjeistuksista ne keskittyvät ja mitä ohjeistuksia ne pyrkivät noudattamaan. Tästä pitää myös kertoa työntekijöille.
Tietoturvaohjeiden vastaisesti ei haluta sittenkään toimia
Vaasan yliopistossa väittelevä Kinnunen tutki väitöskirjassaan ” Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen” mitä suomalaisten viranomaisten tietoturvaohjeet sisältävät, pyrkivätkö yritysten työntekijät noudattamaan tietoturvaohjeita ja mitkä tekijät heitä siihen motivoivat.
Kinnunen kertoo, että työntekijät eivät ole tietoisesti valmiita toimimaan yritysten tietoturvaohjeiden vastaisesti, mikä poikkeaa aiemmista tieteellisistä tutkimustuloksista.
Tutkimuksessa työntekijät nimesivät kuitenkin muutamia yksittäisiä tilanteita, joissa he voisivat kuvitella toimivansa vastoin tietoturvaohjeita.
– Jos esimies tai ylempi johtaja määräisi toimimaan yrityksen tietoturvaohjeiden vastaisesti tai jos työntehtävien hoitaminen ehdottomasti sitä vaatisi.
Tietoturvatietoisuus on hyvää
Tutkimus kumoaa myös aiemmin todettuja väitöksiä siitä, että tietoturvaohjelmat innostavat työntekijöitä heikosti, eikä niillä ole parantavaa vaikutusta tietoturvakäyttäytymiseen.
– Syynä tähän on, että yrityksen työntekijät ymmärtävät tietoturvan merkityksen erityisesti tietojen suojaamisessa, Kinnunen toteaa.
Tutkimuksen mukaan työntekijöillä on hyvä tietoturvatietoisuus. Hyvään tietoturvakäyttäytymiseen motivoi etenkin oma usko ohjeiden noudattamisen tärkeyteen. Tärkeä motivoiva tekijä on myös toisen henkilön tai tilanteen vaatimus.
– Työntekijät huomioivat tietoturvan tällä hetkellä etenkin sähköpostin ja henkilötietojen käsittelyssä sekä tietopääoman suojaamisessa, sanoo Kinnunen.
Viimeisen kolmen vuoden aikana työntekijöiden halukkuuteen noudattaa tietoturvaohjeita on vaikuttanut tietoteknisten laitteiden muutos, esimerkiksi älypuhelinten käyttöönotto.
Motivaatiota ohjeiden noudattamiseen parantaa tieto tietoturvariskeistä ja erityisesti yritysten omat tiedotteet tietoturvauhkista.
– Tietoturvatiedotteiden määrä tulee kuitenkin pitää rajallisena, jotta tiedotteiden teho ei katoa määrän mukana, Kinnunen ohjeistaa yrityksiä.
Väitöstiedot
KTM Niina Kinnusen tietotekniikan alaan kuuluva väitöskirjatutkimus ” Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen” tarkastetaan lauantaina 19.9.2015 klo 12 Vaasan yliopistossa Tervahovin Kurtén-auditoriossa. Vastaväittäjänä tilaisuudessa toimii professori Mikko Siponen (Jyväskylän yliopisto) ja kustoksena professori (emerita) Merja Wanne (Vaasan yliopisto).
Lisätiedot: Niina Kinnunen, p. 040 7537099, sähköposti: etunimi.sukunimi@haaga-helia.fi
Mitä mieltä olit jutusta?