Tietoturva on yrityksessä IT:n vastuulla – vai onko? Yhä digitalisoituvassa ja teknologiaa vahvemmin hyödyntävässä toimintaympäristössämme tietoturva on noussut erittäin tärkeäksi teemaksi. Merkitys on korostunut myös maailmantilanteen vuoksi.
Samanaikaisesti toiminnalliset muutokset työtavoissa, työntekijäkokemus odotuksissa ja kulttuurien merkityksessä yrityksissä asettavat odotuksia ja vaateita myös tietoturvan toteuttamiselle. Kyse ei ole vain yrityksen turvallisuudesta. Kyse on myös yrityksessä työskentelevistä henkilöistä ja heidän turvallisuuden tunteestaan, kuinka he osaavat toimia oikein?
Teknologisen varautumisen lisäksi tietoturva ja sen operatiivinen toteutuminen ovat paljolti yrityksen henkilöstön varassa. Suurin osa tietoturvariskeistä ja niiden realisoitumisesta tapahtuu inhimillisen toiminnan kautta. Mikä on oman yrityksenne henkilöstön tietoturvatietämys? Miten sitä ylläpidetään ja johdetaan?
Tietoturva on isosti henkilöstön toimintaa
Alustan henkilöstön toiminnalle tietoturvallisesti luovat yrityksen infrastruktuuri ja sen päälle rakentuvat prosessit. Tietoturvan toteutuminen realisoituu ihmisten käyttäytymisetä ja tilanteiden tunnistamisesta. Kyberrikolliset pyrkivät vaikuttamaan sekä yritysten teknologisiin että henkilöperustaisiin tietoturvan heikkoihin kohtiin ja näin tunkeutumaan yrityksen tietoturvan läpi. Inhimilliset heikkoudet ovat yksi isoimmista tietoturvariskitekijöistä yrityksille. Kyberhyökkäysten ja tietojenkalastelun määrä on jatkuvasti kasvussa. Tietoturva työ onkin jatkuva prosessi, jossa ei voi levätä.
Varautuminen ja ennakointi on ennaltaehkäisevää
Henkilöstö on avainasemassa tietoturvan parantamisessa. Teknologia ei voi korvata henkilöstön tekemiä virheitä. Mahdolliset huolimattomuudet, vahingot, unohdukset ja jopa väärinkäytökset heikentävät yrityksen tietoturvaa. Tavoitteena yrityksissä tulee olla se, että työntekijällä on mahdollisuudet tunnistaa mahdolliset tietoturvauhat omassa toimintaympäristössään.
Lisäksi kulttuurin tulee tukea sitä, että uskalletaan tunnistaa ja tunnustaa mahdollisimman pian virheet tai sattumukset, jotka voivat johtaa tietoturvan rikkoutumiseen. Tämä vaatii sekä tietoa että luottamusta organisaatiossa.
Osaamisen jatkuva päivittäminen ja kehittäminen
Koulutus ja viestintä ovat tehokkaita keinoja osaamisen kehittämiseksi ja asian esillä pitämiseksi. Tietoturva elementit on hyvä liittää osaksi kaikkea yrityksen viestintää ja toimintaa. HR-osaston rooli tietoturvan toteuttamisessa ja ennaltaehkäisevässä roolissa onkin merkittävä. Asiaa tulee pitää esillä. Tietoturva on myös henkilöstön henkilökohtaiseen turvaan liittyvää.
Henkilöstön on tärkeää tiedostaa, että yksityiselämässä tehdyt valinnat tietojärjestelmien käytössä voivat vaikuttaa myös yrityksen toimintaan. Esimerkkinä vaikkapa eri palveluihin kirjautuminen yrityksen sähköpostitilillä. Tietoturva ei ole pelkkää osaamista, vaan osa yrityksen kulttuuria, eli millä tavoin toimitaan ja miten asiat toteutetaan systemaattisesti.
Yhtä tärkeää on se, mikä on asenne tietoturvatyötä kohtaan ja kuinka suhtaudutaan päivityksiin ja yrityksen sisäisiin ohjeisiin. Myös asenteella on merkittävä rooli, eli pidetäänkö tietoturvatyötä uhkana vai mahdollisuutena ja sitoutuvatko työntekijät noudattamaan ohjeistusta.
Tietoturvatyö on vastuullisuutta omaa organisaatiota ja muita kohtaan
Vastuullisuuden korostuessa tietoturva on osa jokaisen yrityksen vastuullisuusohjelmaa. Tavoitteena on estää haitallisten asioiden eteenpäin leviäminen jokaisen työntekijän oman toiminnan avulla. Yritykset ovat näinä aikoina osa suurempaa verkostokokonaisuutta ja digitaalinen alusta kuljettaa usein tietoa salamannopeasti eteenpäin.
Henkilöstön toteuttamat tietoturvaa vahvistat teot perustuvat yrityksessä olevaan tietoon, kulttuuriin ja asenteisiin. HR-vastuulliset ja heidän toimintansa ovatkin mitä isommissa määrin osa yrityksen tietoturvan vastuutahoja.
Teksti on julkaistu alunperin Henry ry:n sivuilla.
