Kuinka vaikeaa on saada ihmisiä ymmärtämään ohjeistuksia ja saada heidät lisäksi noudattamaan niitä?

 Toimintaympäristömme äkillinen muutos sen todisti – kyseessä on todella haastava tehtävä. Vaikka osa ihmisistä noudattaa kuuliaisesti ohjeita, osa viis veisaa niistä. 

”Ihminen on tietoturvan heikoin lenkki”, on usein kuultu väite. On väitteelle toki perustelujakin. Useiden tutkimusten mukaan yli 90 % tieto- ja kyberturvallisuuteen liittyvistä ongelmista johtuu inhimillisestä virheestä. Siitä, että ihminen tahallaan tai tahattomasti aiheuttaa omilla toimillaan tilanteen, joka johtaa tietoturvaan liittyvään ongelmaan.

Helsingin Sanomien 5.4. julkaistussa artikkelissa käsiteltiin sosiaalipsykologian perusteluja syille, , miksi jotkut ihmiset eivät noudata suosituksia ja rajoituksia. Nämä samat ihmismielen harhat pätevät myös tietoturvatietoisuuden kehittämisen vaikeuteen organisaatioissa. 

Yli 90 % tieto- ja kyberturvallisuuteen liittyvistä ongelmista johtuu inhimillisestä virheestä

Näin ihmiset tyypillisesti suhtautuvat tietoturva-asioihin: 

  • ”Kyberuhat eivät koske minua.” – Mitä kauempana uhka on omasta arjesta, sitä vaikeampaa sitä on omaksua.
  • ”Tietoturva ei ole minun vastuullani.” – Jos tietoturva on kaikkien vastuulla tai IT:n vastuulla, niin onko se lopulta kenenkään vastuulla?
  • ”Jos se ei ole kielletty, on se sallittu. – Suomalaiset ovat tottuneita siihen, että kaikkeen on politiikka tai ohje. 
  • ”Minä päätän omista asioistani.” – Kiellot ärsyttävät etenkin, jos niitä ei perustella tai viestitä selkeästi.
  • ”Ei muutkaan noudata ohjeita.” – Ihmiset ovat laumaeläimiä. Harva haluaa olla ainoa joka noudattaa tai ei noudata ohjeita.

Miksi ihmiset ajattelevat näin? Juurisyy on se, että he harvoin ymmärtävät omaa rooliaan, vastuutaan tai toimiensa seurauksia tietoturvassa. Jos heille ei ole perusteltu riittävän hyvin, että miksi asia olisi tärkeä ymmärtää, tai tuotu esiin riskejä oman työn tai roolin näkökulmasta (miten tämä liittyy minuun ja minun tekemisiin), tai esitetty ohjeistuksia ymmärrettävällä tavalla, jää oppi suurella todennäköisyydellä saamatta ja ohjeet noudattamatta. Fakta on se, että työntekijät eivät ole kovinkaan motivoituneita oppimaan perinteisin keinoin. Tyypillisillä tietoturvaohjeistuksilla ja koulutuksilla on vain pieni vaikutus tietoturvatietoisuuden lisäämiseen tai tietoturvakulttuurin kehittymiseen organisaatiossa.

Mikä sitten avuksi? Kuinka ihmiset saadaan ymmärtämään heidän roolinsa tietoturvassa ja ottamaan vastuu? Tässä kaksi simppeliä ohjenuoraa:

1.    Vaikuta ihmisten asenteeseen 

  • Tuo tietoturva positiiviseen valoon
  • Viesti säännöllisesti ja muista ajankohtaisuus
  • Innosta ja palkitse – älä rankaise 
  • Oppikaa yhdessä virheistä.

2.   Lisää ihmisten tietoa ja taitoja 

  • Perustele aina ensin, että miksi. Sitten vasta, että miten.
  • Viesti selkeällä kielellä ja yksinkertaisilla ohjeilla
  • Sopeuta koulutukset omaan organisaatioosi ja eri rooleille sopiviksi – yleiskoulutukset harvoin toimivat
  • Tarjoa tukea, apua ja ymmärrystä matalalla kynnyksellä.

Näiden ohjenuorien avulla johdatat henkilöstösi hyviin tietoturvatekoihin. Riskien parempaan ymmärrykseen, kiinnostukseen asiaa kohtaan ja ohjeistusten noudattamiseen. Ennen kaikkea siihen, että kun tulee äkillinen tilanne eteen, niin ihmiset osaavat toimia oikein. Pitkällä tähtäimellä ohjenuorat auttavat sinua kehittämään aitoa tietoturvakulttuuria organisaatiossasi. Sitä, että tietoturva on osa arkea ja yrityskulttuuria.

Palataanpa vielä hetkeksi ajatukseen tietoturvan heikoimmista lenkeistä. Itse haluan ajatella asian näin: yli 90 % tieto- ja kyberturvallisuuteen liittyvistä ongelmista voitaisiin välttää sillä, että ihminen osaisi toimia oikein. Eiköhän ole aika tehdä ihmisistä se tietoturvan vahvin lenkki. Sinä voit mahdollistaa sen omassa työpaikassasi!

Kuuntele lisää vinkkejä tietoturvatietoisuuden kehittämisestä 8.4.2020 pidetystä webinaaritallenteesta.

Mikäli haluat keskustella aiheesta tai kaipaat sparrailuapua teidän organisaation tietoturvatietoisuuden ja -kulttuurin kehittämiseen innostavalla tavalla, tai muissa kyberturvallisuuden tarpeissa, ota yhteyttä!

Respond. Rebound. Reinvent.
Tarjoamme käytännön ratkaisuja pandemiatilanteen aiheuttamiin haasteisiin. Asiantuntijamme yli 400 paikkakunnalla ympäri maailman auttavat organisaatioita vastaamaan kriisin eri vaiheisiin aina välittömien tarpeiden huomioonottamisesta toimintamallien uudelleensuunnitteluun. Tehtävämme on auttaa sinua varmistamaan, että voit vastata asiakkaittesi, työntekijöidesi ja paikallisten yhteisöjensä tarpeisiin mahdollisimman hyvin. Lue lisää osoitteessa cgi.fi/fi/respond-rebound-reinvent.

Kirjoittajasta

Picture of Pauliina Nikko-Takala

Pauliina Nikko-Takala

johtaja, tietoturvahankkeet ja -tietoisuuden palvelut

Olen Pauliina Nikko-Takala ja toimin CGI:n kyberturvallisuusyksikössä tietoturvahankkeista ja tietoturvatietoisuuden palveluista vastaavana johtajana. Vastaan myös kyberturvallisuusvakuutuksiin liittyvistä ensivastepalveluista.

Kirjoita kommentti

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Blogi-kommentoinnin ohjeet ja käyttöehdot