Suomalaisessa työelämässä on edelleen merkittäviä aukkoja tietoturvan saralla, vaikka digitaalinen uhkakenttä kehittyy jatkuvasti ja asettaa uusia vaatimuksia niin yksilöille kuin organisaatioillekin. Vain alle puolet suomalaisista työssäkäyvistä kokee saavansa riittävän perehdytyksen tietoturva-asioihin, ja vain kolmannes on saanut koulutusta aiheeseen viimeisen vuoden aikana. Nämä huolestuttavat luvut, jotka nousevat esiin LähiTapiolan tuoreesta kyselystä, viittaavat siihen, että monilla työpaikoilla tietoturvasta ei puhuta riittävästi, eikä sen merkitystä ymmärretä arjen kannalta olennaisena osana työkulttuuria. Kyberturvallisuuden kehityspäällikkö Eero Järvenpään mukaan tietoturvasta tulisi keskustella säännöllisesti aina johtoportaasta tekijätasolle saakka, jotta siitä muodostuisi luonteva ja vakiintunut osa yrityksen toimintatapoja. Tämä edellyttää proaktiivista lähestymistä, jossa tietoturvasta ei viestitä ainoastaan uhkakuvien tai syyllistämisen kautta, vaan luodaan avoin ja kannustava ilmapiiri, jossa jokainen työntekijä ymmärtää oman roolinsa ja vastuunsa kyberturvallisuuden ylläpitämisessä.
Tietoturva ja kyberriskit
Monissa suomalaisissa yrityksissä tietoturva-asiat ovat jo erinomaisella tasolla, ja kyberriskit on tunnistettu sekä niiden torjumiseksi on tehty tehokkaita toimenpiteitä. Tästä huolimatta työntekijöillä voi yhä olla turvaton olo, mikä johtuu usein siitä, ettei varautumisen taso näy tai tunnu heidän jokapäiväisessä työssään. Järvenpää korostaa, että on ensiarvoisen tärkeää selvittää työntekijöiden kokemaa tietoturvallisuuden tunnetta ja lisätä sitä aktiivisesti. Jos asioista ei puhuta ja niistä ei tehdä rutiinia, ne eivät voi iskostua osaksi yrityksen kulttuuria. Tähän voidaan hakea mallia henkilöturvallisuuden puolelta, missä vuosikymmenien ajan on tehty määrätietoista työtä sen eteen, että työntekijät kokevat olonsa turvalliseksi ja että työpaikka on aidosti turvallinen. Pelkkä teknisten työkalujen ja kontrollien tarjoaminen ei myöskään riitä, jos työntekijöitä vastuuntetaan jatkuvasti ja pelottelu jää pääasialliseksi viestintätavaksi. On siis luotava kokonaisvaltainen tietoturvakulttuuri, jossa panostetaan sekä teknisiin ratkaisuihin että ihmisten tietoisuuteen ja osallistumiseen.
Jatkuvan oppimisen merkitys ja uhkien tunnistaminen
Kybermaailma kehittyy hurjaa vauhtia, ja sen sykli on huomattavasti nopeampi kuin perinteisen koulutuksen tarjoamat yhden kerran vuodessa järjestettävät tietoturvakoulutukset voivat pysyä mukana. Vain alle kolmannes suomalaisista on saanut työssään tietoturvakoulutusta viimeisen vuoden aikana, mikä on hälyttävän alhainen luku ottaen huomioon kyberuhkien jatkuvan kehittymisen ja monimuotoisuuden. On paljon työtehtäviä, joissa on ehdottoman tärkeää pysyä jatkuvasti kartalla ajankohtaisista asioista. Esimerkiksi asiakaspalvelutyössä on olennaista tunnistaa kulloinkin liikkeellä olevat huijauskampanjat, kun taas sovelluskehityksessä työskentelevien on tiedettävä, miten kyberrikolliset etsivät ja hyödyntävät erilaisia puutteita ohjelmistokehityksessä. Jatkuva oppiminen ja tiedon jakaminen ovat avainasemassa, jotta työntekijät voivat tunnistaa uudet uhat ja toimia niiden edellyttämällä tavalla. Tämä edellyttää, että työnantajat tarjoavat monipuolisia ja ajantasaisia koulutusmahdollisuuksia, jotka ovat räätälöityjä eri työtehtävien tarpeisiin. Koulutuksen tulee olla myös interaktiivista ja käytännönläheistä, jotta opittu tieto siirtyy tehokkaasti arjen käytäntöihin.
LähiTapiolan kyselyn mukaan vain reilu kolmannes (36 %) suomalaisista työssäkäyvistä on tietoisia siitä, mitkä kyberuhat voivat vaikuttaa heidän omaan työhönsä, ja alle kolmannes (32 %) tietää, kuinka toimia, jos omaan työpaikkaan kohdistuisi kyberhyökkäys. Nämä luvut osoittavat, että monilla työpaikoilla tietoturvasta viestitään edelleen liian suppeasti, ja keskitytään ehkä liikaa pelkkiin uhkakuviin sen sijaan, että valistettaisiin ja vahvistettaisiin työntekijöiden kykyä tunnistaa ja torjua uhkia. Vaikka kaikkia kyberpuolustuksen yksityiskohtia ei olekaan tarkoituksenmukaista kertoa edes omalle henkilöstölle, Järvenpää haastaa yrityksiä miettimään, voisiko tietoturvasta viestiä muutakin kuin vain uhkakuvaa ja sitä, mistä työntekijöiden tulisi olla huolissaan. Onnistumisista kertominen ja positiivisten esimerkkien jakaminen voivat rakentaa luottamusta ja kannustaa työntekijöitä aktiivisemmin osallistumaan tietoturvatyöhön. Tähän voitaisiin ottaa mallia esimerkiksi henkilöturvallisuuden puolelta, jossa voidaan esittää laskuri siitä, kuinka monta päivää on selvitty ilman tapaturmia. Erityisen tärkeää tietoturva-asioista puhuminen on lomakauden kynnyksellä, jolloin kyberrikolliset hyödyntävät usein alimiehitystä ja kesätyöntekijöiden kokemattomuutta erilaisilla kalastelun ja sosiaalisen manipuloinnin keinoilla. Siksi lomittajat, kesätyöläiset ja muut väliaikaiset työntekijät on perehdytettävä huolellisesti yrityksen toimintatapoihin ja autettava heitä tunnistamaan poikkeavat tapahtumat.
Kolme ohjenuoraa tietoturvallisen toimintakulttuurin rakentamiseen
Jotta yritykset voivat rakentaa kestävän ja tehokkaan tietoturvallisen toimintakulttuurin, on tärkeää panostaa kolmeen keskeiseen ohjenuoraan. Ensinnäkin, ota tietoturva puheeksi ja keskustele siitä avoimesti ja säännöllisesti kaikilla organisaation tasoilla, aina johdosta työntekijöihin saakka. Kysy ja keskustele siitä, miksi yrityksen suojaaminen on tärkeää ja miten sitä tulee suojata. Muista hyödyntää ja palkita oman henkilöstön näkemykset toiminnan suojaamisesta. He näkevät päivittäisen arjen ja siellä mahdollisesti ammottavat aukot toisesta näkökulmasta, tarjoten arvokkaita oivalluksia. Kannusta työntekijöitä jakamaan kokemuksiaan ja ehdottamaan parannuksia. Kun jokainen työntekijä ymmärtää oman roolinsa merkityksen tietoturvan ylläpitämisessä, sitoutuminen ja motivaatio lisääntyvät luonnollisesti.
Toiseksi, järjestä ja mahdollista oppiminen niin, että jokainen työntekijä kokee saavansa riittävästi perehdytystä tietoturva-asioihin. Tämä voi tapahtua työnantajan järjestämänä koulutuksena, kumppanin tarjoamana valmennuksena tai jopa antamalla työntekijöille mahdollisuus käyttää pieni osa viikoittaisesta työajastaan oman työn kannalta oleellisen tietoturvan opiskeluun. Tärkeintä on varmistaa, että koulutus on jatkuvaa, ajantasaista ja relevanttia työntekijän työtehtävien kannalta. Erityisesti uudet työntekijät ja kesätyöläiset vaativat perusteellisen perehdytyksen, sillä he eivät välttämättä tunne yrityksen toimintatapoja yhtä hyvin.
Kolmanneksi, käy ajoissa läpi ja perehdytä, mikä on normaalia ja odotettua, sekä auta tunnistamaan tästä poikkeavat tapahtumat. On ensiarvoisen tärkeää, että jokainen työntekijä tietää, millä ehdoilla asiakkaaksi tai kumppaniksi esittäytyvä voi muuttaa esimerkiksi yhteys- tai maksutietojaan tai tehdä muita oleellisia muutoksia. Selkeät ohjeet ja prosessit auttavat työntekijöitä tunnistamaan epäilyttävät tilanteet ja reagoimaan niihin oikein. Näiden kolmen ohjenuoran avulla yritykset voivat rakentaa vahvan ja resilientin tietoturvakulttuurin, joka suojaa organisaatiota tehokkaasti yhä monimuotoisemmilta kyberuhkilta.