Lue uutinen mobiilisivustolla

Mitä on tietoturvakoulutus, osa 2

- Eniten tietämättömyyttä on yritysjohdossa ja ruohonjuuritasolla, sanoo Tieturin osastopäällikkö Ismo Kantola.

20.1.2004 08:08 Tietoturvakoulutusta ja -ohjeistusta tarvitaan, varsinkin yrityksen hierarkian ääripäissä, johdossa ja ruohonjuuritasolla. Liian usein apua ja opastusta kuitenkin haetaan vasta sitten, kun vahinko on jo sattunut. Tietoturva pitäisi tuoda ajoissa osaksi yrityskulttuuria, jotta henkilöstö osaisi toimia tietoturvallisesti.

Ismo Kantola suosittelee yrityksille ensi hätään infotilaisuutta, jossa tietohallintopäällikkö kertoo miten menetellä, jos esimerkiksi joku sähköpostitse esittäytyy verkon ylläpitäjäksi ja pyytää käyttäjätunnusta ja salasanaa. Todellisuudessa ylläpitäjä ei missään tilanteessa tarvitse käyttäjien salasanoja, sillä hän pääsee ilmankin niitä ottamaan käyttäjän tunnuksen ja sen oikeudet haltuunsa tarvittaessa.

Niin sanotut heikot kohteet pitäisi kouluttaa tunnistamaan social engineering -hyökkäys. Heikkoja kohteita ovat sihteerit, assistentit ja vastaanottohenkilöt – siis sellaiset työntekijät, joiden tehtäviin kuuluu asiakkaiden palveleminen ja asioiden nopea eteenpäin vieminen. Tällainen henkilöstö olisi saatava miettimään, mitä tietoa voi kenellekin antaa ja kenet voi mihinkin paikkoihin päästää.

- On aikamoinen uhka, jos työntekijät eivät tiedosta sitä, millä tavoin tietoturva liittyy heidän päivittäiseen työhönsä ja minkälaisiin asioihin heidän pitäisi reagoida. Puhelimessa ei uteluihin pitäisi mennä vastailemaan eikä luovuttamaan tietoja yrityksestä. Koulutus ja ohjeistus on hyvin tärkeää juuri siksi, että tietoturva on niin pitkälti ihmisestä riippuvainen. Henkilöstön tietoisuutta on saatava lisätyksi ja asenteita muutetuksi, Kantola sanoo.

Johdolta puuttuu turvaymmärrys

Myös johtajat tarvitsevat tietoturvakoulutusta, jotta he näkisivät, miten tietoturva liittyy juuri siihen omaan liiketoimintaan. Johtajia kiinnostavat niinikään lainsäädännölliset asiat ja riskien hallinta. Riskien todennäköisyyden ja vaikutusten pienentämiseen voi upottaa hirveän paljon rahaa, mutta investointi voi todellisuudessa olla kannattamaton.

- Suomessa tietoturvaosaamista tuntuu olevan eniten tietoturvahenkilöstöllä ja yleensä tietohallinnolla; näiden alojen työntekijät ovat käyneet kursseja. Eniten tietämättömyyttä on yrityksen johdossa ja ruohonjuuritasolla ja nämä tarvitsisivat mielestäni eniten koulutusta ja tietoisuuden lisäämistä, Kantola sanoo.

Kantolan mukaan yrityksissä törmää edelleen toimitusjohtajiin, jotka kertovat auditoijalle, että virustorjunnasta ja palomuurista on huolehdittu, eli tietoturva on kunnossa. Tai sitten sanotaan vain, että "?meidän mikrotuki vastaa siitä"?.

Tietotekniset ratkaisut ovat kuitenkin vain pieni osa tietoturvan kokonaisuudesta, loppu on esimerkiksi henkilöstö- ja toimitilaturvallisuuteen liittyviä asioita. Suojattavaan tietoon päästään käsiksi muutakin kautta kuin tietoverkkoja pitkin tai ohjelmistojen aukkoja hyväksikäyttämällä.

Moni yritys on nyt alkanut miettiä alusta lähtien, miten tietoturva pitäisi hoitaa ja miten se pitäisi johtaa niin, että päästäisiin kouluttamaan ja ohjeistamaan henkilöstöä. Alkuun pääseminen edellyttää riskianalyysin tekemistä, mikä taas vaatii asioiden ymmärtämistä yrityksen päättävissä elimissä. Kun johto on saatu sitoutumaan tietoturvan kehittämiseen, saadaan laadittua tietoturvasuunnitelma.

- Kaikki lähtee johdosta. Johdon on ensiksi tiedostettava, miten tietoturva liittyy yrityksen toimintaan, laadittava sen jälkeen tietoturvapolitiikka ja ryhdyttävä sitten tekemään tietoturvan kehityssuunnitelmia sekä määritettävä se, kuka näistä asioista vastaa. Vähitellen siirrytään henkilökunnan koulutukseen ja ohjeistukseen, Kantola neuvoo.

Ohjeiden on oltava selkeitä

Toteutuva tietoturvariski tietää yritykselle aina rahan menetystä. Tietomurron tai yritysverkkoon päässeen madon aiheuttamien vahinkojen korjaaminen imee henkilötyöpäiviä, ennen kuin järjestelmä on saatu taas kuntoon.

Koulutuksessa täytyy ottaa monenlaisia asioita huomioon, jotta tietoturva saataisiin osaksi toimintaprosessia. Ennen kuin tietoturvasta tulee yrityskulttuuria ja henkilöstölle on selvää, miten yrityksessä toimitaan tietoturvallisesti, on koulutukseen uhrattu aikaa ja vaivaa. Aikaa saattaa kulua jopa kolme vuotta ennen kuin tietoturvasta on todella tullut yrityksen tapa toimia.

Jos työntekijöitä vain käsketään lukemaan tietoturvaohjeet yrityksen intranetistä tai laatukäsikirjasta, voi Kantolan mukaan olla varma, että suurin osa ei ohjeita lue. Erityisen varmasti ohjeet jäävät lukematta, jos ne on piilotettu satasivuisen opuksen uumeniin. Periaate on selvä: mitä enemmän sivuja, sitä vähemmän lukijoita.

- Ohjeiden on oltava lyhyet ja selkeät, pisimmillään yhden A4-arkin mittaiset, ja niiden pitää olla kirjoitettu selvällä suomen kielellä ilman teknistä jargonia. Erikseen on sitten olemassa ne ohjeet, joissa on paneuduttu seikkaperäisesti yksityiskohtiin ja neuvottu, mitä milloinkin pitää klikata, Kantola opastaa.

Parhaassa tapauksessa tietoturvasta voi tulla yritykselle kilpailutekijä, jos asiakkaat alkavat vaatia näyttöä siitä, että tietoturvasta huolehditaan ja että he uskaltavat luovuttaa luottamuksellisia tietojaan yrityksen haltuun. Kilpailutilanteessa tietoturva voi olla sopimusneuvottelujen ratkaiseva tekijä.

Tiukat ajat tietoturvakoulutuksessa

Vuosi 2003 oli jälleen vilkas tietoturvavuosi. Ovatko viime vuoden tapahtumat nostaneet tietoturvakoulutuksen kysyntää?

- Kysyntää on ollut kyllä tietoturvakoulutukselle, mutta ennen kaikkea sitä on ollut tietoturvakonsultoinnille. Moni on yritys on herännyt siihen, että tietoturvassa on markkinarako. Olemme muun muassa kouluttaneet yrityksiä, jotka ovat kevään aikana lanseeraamassa omia tietoturvapalveluitaan, Kantola kertoo.

Nyt eletään suhteellisen tiukkoja aikoja, eikä yrityksillä välttämättä ole rahaa tietoturvakouluttamiseen. Tyypilliseksi tavaksi onkin noussut se, että lähetetään kursseille tietoturvasta tai -hallinnosta vastaava henkilö, joka puolestaan kouluttaa oman organisaationsa väen. Myös johtoa kurssitetaan, mutta henkilöstö koulutetaan yleensä omin voimin.

- Markkinat ovat hieman pienentyneet ja samalla siirtyneet tietoturvakoulutuksesta enemmän kohti konsultointia. Tällaisessa markkinatilanteessa yritykset keskittävät koulutus- ja konsultointitilauksiaan, mikä suosii isoja koulutustaloja. Meillä suhdanne näkyy siinä, että kalenterit ovat aika täynnä. Pienille koulutusyrityksille tilanne on tällä hetkellä hankalampi, Kantola sanoo.

Toinen suosittu tapa henkilöstön tietoturvakoulutukseen on pitää seminaareja, joita vetävät ulkopuoliset ammattikouluttajat. Seminaarien etuna on Kantolan mukaan koulutuksen tiedollinen ja pedagoginen taso. Kustannustehokkuuden tavoittelu henkilöstön koulutuksessa näkyy myös sähköisen oppimisen järjestelmien suosiossa. E-learning on herättänyt erityisesti isojen, tuhansien työntekijöiden yritysten kiinnostuksen.

- E-learning on aiemmin saattanut kärsiä sopivien tuotteiden puutteesta. Nyt alkavat herätä sellaisetkin yritykset, jotka ovat aiemmin nukkuneet prinsessan unta. Yksi nukkuvista on ollut teollisuus, jonka toiminnanohjaus- ja automaatiojärjestelmät ovat jo niin kriittisiä, että niitä käsittelevälle tietoturvakoulutukselle on kysyntää, Kantola sanoo.

Tietoisuutta lisäämään – ajoissa

Tietoturvakoulutus lisääntynee tulevaisuudessa, käyttäjän kohdalla todennäköisesti yhä enemmän online-oppimisena, joka soveltuu isojen massojen opettamiseen. Toinen kehityssuunta on Kantolan mukaan nykyinen trendi, konsultoiva koulutus, jossa ohjaava osapuoli on alusta asti mukana johdon, tietoturvahenkilöstön ja käyttäjien opastamisessa.

Ensin täytyy tietää perusasiat. Vasta sitten ihmiset osaavat kysellä oikeita asioita niiltä, jotka hallitsevat tietoturva-asiat ja vasta sitten he osaavat miettiä, miten omaa tietoturvallisuutta voisi parantaa.

- Tietoturva on laaja kenttä. Pitää ymmärtää, ettei ovia voi jättää auki ja lukitsematta. Liian usein joutuu törmäämään tilanteeseen, jossa haetaan konsultointi- tai koulutuspalveluita vasta siinä vaiheessa kun joku murtautuu järjestelmään. Usein hyvin pienet yritykset ovat niitä, jotka heräävät vasta sitten kun on jo niin sanotusti puuro sylissä. Omaa tietoisuutta ei nosteta etukäteen, vaan vasta sitten, kun on jo kantapäähän kopahtanut, Kantola kummastelee.

Artikkelin ensimmäinen osa ilmestyi viime viikolla.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Tutkinta valmis: Aueria epäillään raskaista rikoksista

• Maailman parhaat lehtikuvat palkittiin – katso kuvakooste
• Kreikan pääministeri varoitti maksukyvyttömyyden johtavan kaaokseen
• Väyrysen matkakuluista ilmiriita keskustassa
• Jättikotilot piinaavat taas Floridaa