Tietoturva on tänä päivänä kaikkea muuta kuin pelkkiä palomuureja ja ohjelmistoja. Organisaation turva nojaa yhtä paljon ihmisiin kuin teknologiaan ja todellinen vahvuus syntyy vasta, kun nämä kaksi kulkevat käsi kädessä.
Lokakuun Kybertutkassa pohdittiin kysymystä, joka jakaa monia: vannotko henkilöstön koulutuksen vai teknologiaratkaisujen nimeen?
Keskustelemassa olivat kyberturvallisuusasiantuntija Venla Luhtanen ja tekninen kyberturvallisuusasiantuntija Santeri Siirilä ja keskustelua johti CGI:n tietoturva- ja kyberturvallisuusyksikön liiketoimintajohtaja Matti Vesterinen.
🎧 Katso tai kuuntele jakso:
Kumpi on tärkeämpää – koulutus vai teknologia?
Kysymys on tuttu lähes jokaisessa organisaatiossa. Mutta kuten Santeri Siirilä tiivistää, vastaus ei ole yksinkertainen:
“Ei ole olemassa yhtä hopealuotia. Koulutus on hyvä lähtökohta, mutta yksin se ei riitä. Tarvitaan myös teknisiä kontrollikeinoja, jotka estävät uhkia silloin, kun inhimillinen virhe tapahtuu.”
Siirilä näkee koulutuksen ennen kaikkea perustana: sen avulla ihmiset ymmärtävät riskit ja osaavat toimia oikein. Teknologia tarjoaa suojakerroksen myös ennen kuin jotain menee pieleen. Tekniset ratkaisut ovat suuressa roolissa kokonaisturvallisuuden kannalta.
“Teknologiset ratkaisut suojaavat ihmisiä, mutta ihmiset ovat ne, jotka rakentavat ja käyttävät järjestelmiä. Siksi molempia tarvitaan sillä toinen ei toimi ilman toista. Tarvitsemme ihmisiä rakentamaan IT-järjestelmiä, jotka ovat turvallisia,” muistuttaa Venla Luhtanen.
Koulutus kantaa pienessä, teknologia tukee suuressa
Keskustelussa nousi esiin, että budjetit ja resurssit vaikuttavat ratkaisevasti siihen, mihin kannattaa panostaa. Pienissä yrityksissä koulutus voi olla tehokkain tapa nostaa tietoturvatasoa: perustietojen ja -taitojen varmistaminen on usein kustannustehokkaampaa kuin raskaat teknologiahankinnat.
“Pienemmissä organisaatioissa koulutuksella pääsee pitkälle. Kun perusasiat ovat kunnossa ja ihmiset tietävät, mitä tehdä, on jo saavutettu iso harppaus tietoturvassa,” Siirilä kuvaa. “Silti pienienkin organisaatioiden kannattaa investoida perustyöasemavalvontaan edes jonkin sortin antivirusratkaisu. Pienelläkin vaivalla voi saada jo hyviä tuloksia aikaan.”
Suurissa organisaatioissa tilanne on monimutkaisempi. Kun työntekijöitä on tuhansia ja tehtäviä lukuisia, koulutuksen pitää olla roolikohtaista ja jatkuvaa, ja teknologian tehtävä on varmistaa, että järjestelmät suojaavat myös inhimillisiä virheitä vastaan.
Koulutus on muutakin kuin ohjeiden lukemista
Luhtanen nosti esiin, että hyvä tietoturvakoulutus ei ole vain luentoa tai verkkokurssia, se on jatkuvaa tietoisuuden vahvistamista ja käytännön harjoittelua.
“Hyvä koulutus lähtee siitä, että tunnetaan henkilöstön osaamistaso ja tiedetään, mihin halutaan kehittyä. Mitä enemmän meillä on henkilöstöä, sitä paremmin pitäisi pystyä tarjoamaan eritasoista koulutusta eri rooleissa oleville ihmisille.”
Käytännönläheisyys tekee koulutuksesta myös mitattavaa. Yksi tehokas tapa on esimerkiksi kalasteluharjoitukset, joissa testataan henkilöstön reagointia huijausviesteihin ennen ja jälkeen koulutuksen. Tulokset osoittavat suoraan, miten tietoisuus on parantunut.
Keskustelussa sivuttiin myös tekoälyä, sen hyödyntämistä koulutuksessa ja sen mukanaan tuomia haasteita.
“Tekoälyllä tuotetaan yhä enemmän oppimateriaalia, mutta yhtä lailla koulutamme organisaatioita sen turvalliseen käyttöön. On tärkeää, että ihmiset ymmärtävät, miten tekoälyä käytetään vastuullisesti ja mitä ei pidä jakaa sille,” Luhtanen kertoo.
Avoimuuden ja virheistä oppimisen kulttuuri korostui keskustelussa. Kun henkilöstö uskaltaa raportoida virheistä ja epäilyistä, organisaation tietoturva vahvistuu aidosti.
Molempi parempi ja kulttuuri kaiken ytimessä
Keskustelun lopuksi Vesterinen kiteytti olennaisen:
“Kestävä tietoturva ei synny vain koulutuksella tai teknologialla, vaan niiden yhteispelillä. Ja kaiken ytimessä on organisaation kulttuuri. Tärkeää on se, että uskalletaan puhua virheistä ja oppia niistä.”
Tavoitteena ei ole löytää voittajaa ihmisen ja teknologian välillä, vaan rakentaa kokonaisuus, jossa ne tukevat toisiaan.
“Kun koulutus ja teknologia kulkevat käsi kädessä, organisaatio ei vain suojaudu uhkilta, se rakentaa kulttuuria, jossa tietoturva on osa jokaisen arkea,” Vesterinen muistuttaa.
Näin CGI voi tukea organisaatiosi tietoturvaa
CGI:n asiantuntijat auttavat organisaatioita kehittämään sekä teknistä suojaa että henkilöstön kybertietoisuutta. Käytännön tukimuotoja ovat esimerkiksi:
- Tietoturvatietoisuuden kehitysohjelmat ja koulutukset eri rooleille - tutustu tietoturvakoulutuksiin!
- Kalastelusimulaatiot ja harjoitukset, joilla mitataan ja kehitetään reagointikykyä
- Tietoturvan hallintajärjestelmät ja valvontaratkaisut, jotka suojaavat ja tukevat henkilöstöä
- Tekoälyn turvallisen käytön koulutukset
Kybetutkassa 27.11.2025 johdetaan kyberturvallisuutta rohkeammin, mutta miten?
Miten johdon, IT:n ja riskienhallinnan yhteistyö viedään käytäntöön niin, että turvallisuudesta tulee yhteinen asia, ei erillinen funktio?
Keskustelussa tarkastelemme, millaisia päätöksiä, prioriteetteja ja toimintatapoja vaaditaan, jotta kyberturvallisuutta johdetaan vaikuttavasti ja miten johtaminen voi samalla vahvistaa organisaation resilienssiä ja luottamusta.
