Brother
  1. Etusivu Brother
  2. Yritysratkaisut
  3. Brotherin resurssikeskus
  4. Blogi
  5. Turvallisuus
  6. 2024
  7. Näin luot tehokkaan tietoturvakulttuurin
Kuvituskuva kertoo siitä, miten kollegat ovat ratkaisevassa asemassa yritysten kyberturvallisuuden onnistumisessa.

Inhimillinen tekijä: näin luot tehokkaan tietoturvakulttuurin

Tässä in[ctrl]-artikkelissa pohdimme IT-ammattilaisten tärkeää merkitystä siinä, miten he voivat auttaa muita työntekijöitä pienentämään inhimilliseen tekijään liittyviä riskejä. Lue vinkkimme, joilla teet työntekijöistä organisaation ensimmäisen puolustuslinjan taistelussa tietoturvauhkia vastaan.

World Economic Forum Global Risks Reportin mukaan vuonna 2022 tapahtuneista tietomurroista 95 prosentissa syynä oli inhimillinen virhe. 

Työtoverisi ovat siis organisaatiosi suurin uhkatekijä. Mutta voiko heitä syyttää asiasta, josta he eivät olleet tietoisia tai jota he eivät ymmärtäneet?

Inhimillinen virhe on tahaton teko, joka useimmiten johtuu tiedon puutteesta. Inhimillinen tekijä on tapa, jolla organisaatio, kulttuuri, työpaikka ja yksilö yhdessä huolehtivat siitä, että ihmisillä on tarvittavat tiedot ja toimintaohjeet. Tätä taustaa vasten on tärkeää keskittyä inhimilliseen tekijään – erityisesti tietoturva-asioissa.

 


Etätyön tietoturvariskit: inhimillinen tekijä

Monessa organisaatiossa on jouduttu sopeutumaan etä- ja hybridityöhön. Niillä on monia hyötyjä, kuten parempi joustavuus ja tuottavuus. Samalla ne kuitenkin ovat altistaneet työntekijät ennennäkemättömille tietoturvahaasteille.

Etätyön tekeminen kotona voi merkitä

  • rennompaa työympäristöä, jolloin työntekijät eivät muista olla yhtä valppaina kuin työpaikalla
  • enemmän häiriötekijöitä, jotka vaikuttavat työntekijöiden tarkkaavaisuuteen
  • henkilökohtaisten laitteiden käyttämistä työlaitteiden lisäksi, jolloin nämä laitteet voivat vaikuttaa toisiinsa
  • suojaamattomien verkkoyhteyksien käyttämistä.

Kun IT-ammattilaiset ymmärtävät inhimillisen tekijän vaikutuksen, he voivat tunnistaa tilaisuuksia auttaa muita organisaation työntekijöitä torjumaan uhkia ja luomaan hyvää tietoturvakulttuuria.

Mikä tietoturvakulttuuri on?

Hyvä tietoturvakulttuuri syntyy, kun kaikki työntekijät osaavat työskennellä mahdollisimman tietoturvallisesti.

Paras suoja tietoturvauhkia vastaan on inhimillinen tekijä. Samalla se on kuitenkin myös tietoturvan heikoin lenkki. Tehokas tietoturvakulttuuri syntyy ihmisistä, ei teknologiasta. Ihannetilanteessa ensimmäisen puolustuslinjan muodostavat työntekijät, joilla on tietoa ja ymmärrystä tietoturvaongelmien hoitamisesta. IT-osastojen tehtävänä on luoda tietoturvallinen kulttuuri, joka mahdollistaa yrityksen suojaamisen uhkilta.

6 askelta tehokkaaseen tietoturvakulttuuriin

Jos yrityskulttuuri ei ole vaaditulla tasolla, inhimillinen tekijä voi muodostaa merkittävän tietoturvariskin. Työntekijöille tulee tarjota tietoa, jotta he voivat luoda tehokkaan tietoturvakulttuurin. Siinä auttavat nämä kuusi askelta.

1. Vältä teknistä ammattikieltä

Ammattikieliset termit voivat etäännyttää, jos ne ovat vieraita. Yrityksen sisäisissä tietoturvakoulutuksissa onkin tärkeää käyttää yksinkertaista ja ymmärrettävää kieltä. 

IT-osaston ulkopuolisille työntekijöille viestittäessä tulee käyttää sanoja, jotka jokainen työntekijä ymmärtää. Kirjanpitäjät, suunnittelijat ja ruokapalvelun työntekijät eivät välttämättä tiedä, mitä kiristyshaittaohjelmat, troijalaiset, madot ja haittaohjelmat ovat. He kuitenkin ymmärtävät, että haitallisia ohjelmia lähetetään usein huijaussähköpostiviesteissä tarkoituksena saastuttaa tietokonejärjestelmät.

Pidä viesti yksinkertaisena. Lohkosalausalgoritmien tai lähtevän liikenteen suodatuksen yksityiskohtainen selittäminen ei auta työntekijöitä vaalimaan myönteistä tietoturvakulttuuria. Se vain hämmentää heitä ja voi saada heidät epäilemään omia tietoturvataitojaan. 

Tarjoa työntekijöille selkeää tietoa, jonka avulla he pystyvät työskentelemään tietoturvallisesti ja torjumaan kyberhyökkäyksiä.
 

avoid technical jargon - the first tip of Brother’s six steps to cybersecurity culture

2. Julkaise tietoturvan tarkistuslistaist

Tarkistuslista on selkeä asiakirja, jossa kerrotaan ymmärrettävästi, mitä ennakoivia toimia työntekijöiltä odotetaan sekä milloin ja miten he voivat niiden avulla pienentää tietoturvauhkien riskiä.

Tässä on esimerkki tietoturvan tarkistuslistan sisällöstä:

  • Asenna virustorjuntaohjelma ja tarkista sen päivitykset kahden viikon välein.
  • Varmuuskopioi tiedostot pilvipalveluun joka viikko.
  • Lukitse kannettavien tietokoneiden ja muiden laitteiden näyttö, kun työskentelet yhteisöllisessä työskentelytilassa.
  • Käytä aina VPN-yhteyttä.
  • Käytä jokaisessa palvelussa ja jokaisella laitteella yksilöllisiä ja vahvoja salasanoja.
  • Vaihda salasanat joka kuukausi.
  • Suhtaudu jokaiseen sähköpostiviestiin kuin se olisi mahdollinen uhka.
  • Käytä verkkoneuvotteluissa salasanasuojausta ja odotushuonetta.
  • Poista Bluetooth ja tiedostojen jako käytöstä, kun niitä ei tarvita.


Työntekijöiden tulee tuntea verkkoihin, laitteisiin ja sisältöihin liittyvät riskit. Tarkistuslista voi auttaa heitä ymmärtämään näitä tietoturvan kolmea tasoa ja pitämään sekä datan että laitteet suojattuina.

Tarkistuslistaan kannattaa lisätä havainnollistavia kuvakaappauksia, linkkejä ja ohjevideoita. Visuaaliset elementit toimivat vaiheittaisena ohjeena ja apuvälineenä. Jotkin ihmiset ymmärtävät niitä helpommin kuin pelkkää tekstiä.

 
Brother's second cybersecurity tip - creating and sharing an employee checklist

3. Paranna toimintaohjeiden tuntemusta

Tarkistuslista auttaa työntekijöitä noudattamaan tietoturvan parhaita käytäntöjä. Siitä huolimatta vastustuskykyisinkin organisaatio saattaa joutua tietomurron uhriksi. Jokaisen työntekijän on osattava toimia oikein tietomurtoepäilytilanteissa.

Tavallinen esimerkki tietoturvatoimenpiteitä edellyttävästä tietoturvauhasta on työntekijän sähköpostiin saapunut epäilyttävä sähköpostiviesti. Työntekijöiden tulee osata toimia oikein tällaisessa tilanteessa. Jos he eivät ole varmoja, heidän pitäisi aina kokea, että he voivat kääntyä tietoturvatiimin puoleen, ja tietää, ketkä tämän tiimin muodostavat. Tietoturvan tarkistuslistaan voidaan liittää myös toimintaohjeet, jolloin kaikki tarvittavat materiaalit ovat samassa paikassa.

Toimintaohjeiden tulisi sisältää seuraavat asiat:

  • Keneen otan yhteyttä tietoturvauhan sattuessa?
  • Miten otan yhteyttä?
  • Palveluajat
  • Miten toimitaan palveluaikojen ulkopuolella

Esimerkkejä toimintaohjeista:

  • Älä klikkaa epäilyttäviä linkkejä

  • Älä avaa epäilyttäviä liitteitä

  • Älä lähetä epäilyttäviä viestejä edelleen toisille.

  • Älä vastaa epäilyttäviin sähköpostiviesteihin.

  • Ota heti yhteyttä tietoturvatiimiin.

Brother’s third cybersecurity tip is to make emergency procedures clear to all

4. Toteuta tietoturvaharjoitus

Lyhyt, työpöydän ääressä tehtävä harjoitus voi tuntua pieneltä asialta, mutta se on tehokas tapa saada työntekijät pohtimaan inhimillisen tekijän vaikutusta tietoturvaan. Kun harjoitus toteutetaan koko organisaatiossa, se testaa työntekijöiden ymmärrystä erilaisista tietoturvaongelmista ja antaa heille tietoa turvallisella tavalla.

Huolellisesti laaditut kysymykset auttavat:

  • työntekijöitä arvioimaan omaa toimintaansa tietoturvan kannalta
  • motivoimaan työntekijöitä toimimaan tietoturvaohjeiden mukaisesti
  • palauttamaan mieleen tietoturvan tarkistuslistan sisällön
  • työntekijöitä toteuttamaan tietojaan käytännössä tietoturvauhan sattuessa kohdalle.

Harjoituksella voidaan myös testata tiettyjä yrityksen tietoturvan osa-alueita, kuten etätyön tietoturvaa.

Brother recommends cybersecurity desk training for all colleagues

5. Onnittele hyvästä tietoturvasta

Tehokkaan tietoturvakulttuurin tulee olla myönteisen yrityskulttuurin jatke. Työntekijöitä tulee onnitella onnistumisista tietoturvan saralla. Se on tehokas tapa luoda itseluottamusta, innostaa työntekijöitä ja saada heidät kokemaan, että heidän tietoturvatoimiaan arvostetaan.


Työntekijöitä voi motivoida julkaisemalla viikoittain tietoturvapisteet. Julkaisun yhteydessä kannattaa kertoa koulutuksista, tietovisoista ja mahdollisista havaituista tietoturvauhkista. Tällaiset kannustimet auttavat luomaan tietoturvatietoisen henkilöstön, jolle yrityksen tietoturvasta huolehtiminen on tärkeää.


Tiedottamiseen sopii esimerkiksi ilmoitustaululle kiinnitettävä juliste, viikoittainen uutiskirje tai koko henkilöstölle lähetettävä viesti yrityksen tietoturvasankareista, jotka ovat toiminnallaan estäneet mahdollisen uhan tai kalliin tietomurron. Se innostaa muitakin noudattamaan tietoturvaohjeita ja havaitsemaan mahdollisia tietoturvauhkia.


Celebrating cybersecurity culture to motivate colleagues

6. Viesti tietoturvasta säännöllisesti

Tietoturvan tulee olla työntekijöiden mielessä jatkuvasti. Siksi ei riitä, että siitä viestitään muutaman kuukauden välein. Sen tulee olla oleellinen osa jokaisen työntekijän ja osaston päivittäistä työarkea. Tämä tapahtuu pitämällä aihetta esillä ja kertomalla työntekijöille uusimmista tietojenkalasteluhuijauksista ja epäilyttävistä sähköpostiviesteistä.


Henkilöstölle voi lähettää esimerkiksi viikoittaisen uutiskirjeen, jossa on tietoa uusimmista huijaustyypeistä, jotta työntekijät osaavat olla tarkkana. Näin tietoturva-asiat pysyvät tuoreina mielessä, mikä auttaa työntekijöitä pysymään valppaina.


Paraskaan tietoturvakulttuuri ei kuitenkaan pysty pysäyttämään kaikkia uhkia. Parhaiten varautunutkin yritys voi joutua tietomurron uhriksi. Vuonna 2021 tavallisin tietomurtotyyppi Euroopassa olivat kiristyshaittaohjelmat. Tietomurrot ovat siis edelleen voimissaan.


Ihmiskeskeinen lähestymistapa tietoturvaan ja Brotherin kuuden askeleen ohjelma tehokkaan tietoturvakulttuurin luomiseen auttavat kuitenkin IT-ammattilaisia valjastamaan muut yrityksen työntekijät tietoturvauhkien torjuntaan.


Share regular updates on cybersecurity to keep teams informed and armed against scams

Usein kysyttyä

Mitä eroa on inhimillisellä virheellä ja inhimillisellä tekijällä?

Inhimillinen virhe on tahaton teko, jonka syynä on usein tiedon puute ja joka johtaa virheeseen. Inhimillinen tekijä on tapa, jolla organisaatio, kulttuuri, työpaikka ja yksilö yhdessä parantavat työntekijöiden kykyä toimia oikein.

Mikä merkitys inhimillisellä tekijällä on tietoturvan kannalta?

Inhimillinen tekijä on mukana tilanteissa, joissa ihmisen toiminta mahdollistaa luvattoman tunkeutumisen tai tietomurron.

Miksi inhimillinen tekijä on tietoturvan heikoin lenkki?

Ihmiset ovat erehtyväisiä ja tekevät virheitä. Jos työntekijä on ajatuksissaan, stressaantunut, kiireinen, tyytymätön tai liian itsevarma, hän saattaa tehdä virheitä. Tästä syystä inhimillinen tekijä on aina tietoturvan heikoin lenkki.

Lue lisää aiheesta Turvallisuus

Saatat pitää myös

Piirretty ihmishahmo etätöissä

Miksi IT-osasto on parhaiten varustautunut hybridityöskentelyyn?

Brother tutkii, miksi IT-osasto on parhaiten varustautunut hybridityöskentelyyn.

5 minuutin lukuaika
Työntekijät keskustelevat läppärin ääressä

Kyberhyökkäyksien uhka on kasvussa. Miksi tietoisuus niistä ei lisäänny samaan tahtiin?

Kyberhyökkäykset ovat kasvussa, mutta tietoisuus laahaa perässä. Blogimme in[ctrl]-sarjassa kerromme hyökkäyksien riskeistä sekä paremman koulutuksen ja vahvempien turvatoimien tarpeesta.
5 minuutin lukuaika
Viisi vinkkiä -banneri

Asiantuntijoiden viisi vinkkiä tietojenkalastelun hallintaan

Olemme nyt tutustuneet tietojenkalastelun trendeihin ja kustannuksiin, mutta mitä IT-johtajat voisivat tehdä riskien hallitsemiseksi?
5 minuutin lukuaika
Takaisin alkuun