Tulostusversio

4/2013

Tietoturva: Kohdennettu viesti menee paremmin perille

Teksti: Päivi Männikkö

Tietoturvaohjeet menevät perille paremmin, jos työntekijöiden erot voidaan ottaa huomioon.

Tietoturvan tärkeydestä ei ole epäselvyyttä varsinkaan kriittistä infrastruktuuria edustavilla aloilla. Silti tietoturvaohjeita ei välttämättä aina osata tai muisteta noudattaa. Tietoturvajohtajan haasteena on osata viestiä tietoturvasta oikein ja eri muodoissa.

Pankeille maksujärjestelmäpalveluja tarjoavassa Samlinkissä tietoturvasta viestitään kaikille työntekijöille, mutta tavoissa on eroja.

Turvallisuusjohtaja Jari Pirhonen raportoi toimitusjohtajalle säännöllisesti. Lisäksi hän käy kertomassa turvallisuusasioista konsernin ja yksiköiden johtoryhmien kokouksissa.

”Olisi katastrofi joutua johtoryhmän eteen ainoastaan silloin, kun on tapahtunut jotain ikävää. Parempi on, että he näkevät minut säännöllisesti”, Pirhonen sanoo.

Tietoturvallisuuden ohjausryhmässä johtoporras keskustelee tietoturva-asioista ja valmistelee konsernin johtoryhmän päätettäviksi meneviä asioita.

Talossa kokoontuu myös turvallisuuden virtuaalitiimi, johon kuuluu turvallisuuden asiantuntijoiden lisäksi muiden muassa sovellusasiantuntijoita, sovelluskehittäjiä, teknisiä asiantuntijoita ja yritysarkkitehteja.

Tietoturva-asiaa suoraan toimitusjohtajalta

Henkilökunnalle järjestetään säännöllisiä tietoturvan tietoiskuja. Pirhonen pitää tärkeänä myös sitä, että henkilöstö kuulee turvallisuusasioiden kuulumisia suoraan toimitusjohtajalta tämän pitämissä ajankohtaiskatsauksissa.

Palautetta tietoturvasta saadaan suoraan asiakkailta, sillä asiakastyytyväisyyskyselyissä pankkien toimitusjohtajilta kysytään mielipidettä tietoturvan toteutumisesta palveluissa. Sen sijaan henkilöstöltä palautetta saisi tulla enemmänkin. 

”Korostamme työntekijöille joka käänteessä sitä, että kertokaa, jos ohjetta ei voida noudattaa tai työlle on rajoitteita.”

Riskinottajat vaativat perusteluita

Tutkimuksissa ihmiset on jaettu neljään persoonallisuuskategoriaan muun muassa riskinottohalukkuuden perusteella. Pirhosen mukaan nelikenttä näyttäisi toteutuvan käytännössä. Useat karttavat riskejä joko oma-aloitteisesti tai ohjeistukseen tukeutuen. On myös henkilöitä, jotka eivät noudata perusteltujakaan ohjeita, vaan heitä täytyy suoranaisesti käskeä.

”Sitten on riskinottajia. He tarvitsevat perusteluja; miksi asioita pitää tehdä tietyllä tavalla tai investointeja tehdä. Heitä on ehkä korostetusti johtoryhmissä.”

Tietoturvatietoisuuden lisääminen kannattaisi kohdentaa perusteluja kaipaaviin riskinottajiin ja heihin, jotka toimivat oikein vain käskemällä.

”Se olisi ihanne. Eri asia sitten on, pystyykö heidät tunnistamaan.”

Erityisryhmiin kannattaa panostaa

Pirhosen mukaan ihannetilanteessa tietoturvakoulutus muokattaisiin vastaamaan työntekijän toimenkuvaa ja persoonallisuutta

”Tässä tulee voimavaraongelma vastaan. Kaikkia erityisominaisuuksia ja -tehtäviä ei vain pysty huomioimaan.”

Käytännössä kaikille annettava tietoturvakoulutus onkin usein yleisluontoista, ja vain toiminnan kannalta kriittisimmille työntekijöille voidaan antaa yksilöllisempää koulutusta. Samlinkissä on panostettu etenkin sovelluskehittäjien tietoturvaopastukseen.

”Sovelluskehitys on niin olennainen osa meidän työtämme.”

Lue myös

Tietoturvan opastaja »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.