Kuinka vaikeaa on saada ihmiset kuuntelemaan ohjeistuksia ja vieläpä noudattamaan niitä?
Toimintaympäristömme äkillinen muutos pandemian alussa sen todisti – kyseessä on todella haastava tehtävä. Vaikka osa ihmisistä noudattaa kuuliaisesti ohjeita, osa viis veisaa niistä.
”Ihminen on tietoturvan heikoin lenkki”, on usein kuultu väite. On väitteelle toki perustelujakin. Useiden tutkimusten mukaan yli 90 % tieto- ja kyberturvallisuuteen liittyvistä ongelmista johtuu inhimillisestä virheestä. Inhimillisellä virheellä tarkoitetaan sitä, että ihminen tahallaan tai tahattomasti aiheuttaa omilla toimillaan tilanteen, joka johtaa tietoturvaan liittyvään ongelmaan.
Sosiaalipsykologian tarjoamat syyt sille, miksi osa ihmisistä ei esimerkiksi noudata suosituksia ja rajoituksia pätevät myös tietoturvatietoisuuden kehittämisen vaikeuteen organisaatioissa.
Tutkimusten mukaan yli 90 % tieto- ja kyberturvallisuuteen liittyvistä ongelmista johtuu inhimillisestä virheestä
Näin ihmiset tyypillisesti suhtautuvat tietoturva-asioihin
- ”Kyberuhat eivät koske minua.” – Mitä kauempana uhka on omasta arjesta, sitä vaikeampaa sitä on omaksua.
- ”Tietoturva ei ole minun vastuullani.” – Jos tietoturva on kaikkien vastuulla tai IT:n vastuulla, niin onko se lopulta kenenkään vastuulla?
- ”Jos se ei ole kielletty, on se sallittu." – Suomalaiset ovat tottuneita siihen, että kaikkeen on politiikka tai ohje.
- ”Minä päätän omista asioistani.” – Kiellot ärsyttävät etenkin, jos niitä ei perustella tai viestitä selkeästi.
- ”Ei muutkaan noudata ohjeita.” – Ihmiset ovat laumaeläimiä. Harva haluaa olla ainoa, joka noudattaa tai ei noudata ohjeita.
Miksi ihmiset ajattelevat näin? Juurisyy on se, että he harvoin ymmärtävät omaa rooliaan, vastuutaan tai toimiensa seurauksia tietoturvassa. Jos heille ei ole perusteltu riittävän hyvin, että miksi asia olisi tärkeä ymmärtää, tai tuotu esiin riskejä oman työn tai roolin näkökulmasta – miten tämä liittyy minuun ja minun tekemisiini – tai esitetty ohjeistuksia ymmärrettävällä tavalla, jää oppi suurella todennäköisyydellä saamatta ja ohjeet noudattamatta. Monesti työntekijät eivät ole kovinkaan motivoituneita oppimaan perinteisin keinoin. Tyypillisillä tietoturvaohjeistuksilla ja -koulutuksilla on vain pieni vaikutus tietoturvatietoisuuden lisäämiseen tai tietoturvakulttuurin kehittymiseen organisaatiossa.
Mikä sitten avuksi? Kuinka ihmiset saadaan ymmärtämään heidän roolinsa tietoturvassa ja ottamaan vastuu?
Tässä kaksi simppeliä ohjenuoraa:
1. Vaikuta yleiseen asenteeseen
- Tuo tietoturva positiiviseen valoon.
- Viesti aiheesta säännöllisesti ja muista viestinnän ajankohtaisuus.
- Innosta ja palkitse – älä rankaise.
- Oppikaa yhdessä virheistä.
2. Lisää työntekijöiden tietoa ja taitoja
- Perustele aina ensin, että miksi. Sitten vasta, että miten.
- Viesti selkeällä kielellä ja yksinkertaisilla ohjeilla.
- Sopeuta koulutukset omaan organisaatioosi ja eri rooleille sopiviksi – kaikille suunnatut yleiskoulutukset toimivat vain harvoin.
- Tarjoa tukea, apua ja ymmärrystä matalalla kynnyksellä.
Näiden ohjenuorien avulla johdatat henkilöstösi hyviin tietoturvatekoihin, riskien parempaan ymmärrykseen, omaan kiinnostukseen ja ohjeistusten noudattamiseen. Ennen kaikkea kannattaa tähdätä siihen, että kun äkillinen tilanne tulee eteen, osaavat ihmiset toimia oikein. Pitkällä tähtäimellä ohjenuorat auttavat sinua kehittämään aitoa tietoturvakulttuuria organisaatiossasi, jolloin tietoturva on osa arkea ja yrityskulttuuria.
Palataanpa vielä hetkeksi ajatukseen tietoturvan heikoimmista lenkeistä. Haluamme ajatella asian näin: yli 90 % tieto- ja kyberturvallisuuteen liittyvistä ongelmista voitaisiin välttää sillä, että ihminen osaisi toimia oikein. Eiköhän ole aika tehdä ihmisistä se tietoturvan vahvin lenkki. Sinä voit mahdollistaa sen omassa työpaikassasi.