Tietoturvan käytettävyys : Ihmisvirheolettaman kyseenalaistaminen

Abstract

Ihmisten tekemät virheet ovat osallisina suurimmassa osassa organisaatioiden tietoturvarikkomuksista. Tavallisimpia virheitä ovat esimerkiksi salasanojen esilläpito ja epäilyttävien sähköpostien avaaminen. Tästä olisi syytä olla huolissaan, sillä nykypäivänä suuri osa organisaatioiden toiminnasta ja informaatiosta sijoittuu elektroniseen muotoon. Tietojen joutuminen vääriin käsiin on nykyään helpompaa ja huomaamattomampaa kuin ennen, jolloin tietoa säilytettiin konkreettisessa muodossa ja sen katoaminen oli helppo havaita. Toimintatapojen muuttuessa myös henkilöstön ohjeistusta ja koulutusta tulee päivittää ja varmistaa, että organisaatioiden sisäistä tietoa käsitellään sen arkaluontoisuuden edellyttämällä varovaisuudella. Organisaatioiden tietoturvapolitiikkojen tarkoitus on ohjeistaa henkilöstöä toimimaan tietoturvallisesti ja havaitsemaan riskit. Tämän tutkimuksen tarkoitus on selvittää, miten tietoturvallisuus voisi olla käytettävämpää, etteivät ihmiset tekisi niin paljon virheitä sekä ottaa selvää, miten olettamus ihmisvirheistä koetaan organisaatioissa.

Tutkimuksen alussa käydään läpi kirjallisuuskatsauksen avulla aiempien tutkimusten tuloksia aiheesta. Kirjallisuuskatsauksen lopussa aihetta pohditaan myös pelottelu- ja neutralisaatioteorioiden avulla sekä TOE-viitekehyksen teknologisesta, organisatorisesta ja toimintaympäristön näkökulmista. Tähän laadulliseen tutkimukseen valittiin kirjallisuuskatsauksen pohjalta haastattelukysymykset ja toteutettiin puolistrukturoidut teemahaastattelut haastattelemalla seitsemää tietoturva-asiantuntijaa. TOE-viitekehystä käytettiin myös aineiston analysointiin, jonka avulla tuloksia oli helpompi muodostaa. Tutkimuksen tulokset osoittavat, että henkilöstön tietoturvatietoisuuden kasvattaminen entisestään on tärkeää, ja sen vuoksi henkilöstöä tulisi kouluttaa sekä osallistaa tietoturvan ja sen käytettävyyden suunnitteluun ja implementointiin sekä ohjeiden muodostamiseen. Ohjeiden tulisi olla konkreettisia ja sisältää oikeita selkeitä esimerkkejä. Ihmisen roolia organisaatiossa pidettiin tärkeänä tietoturvakulttuurin luojana ja riskien havaitsijana.

Johtopäätöksissä korostetaan empirian tuloksissa esiin tulleet henkilöstön kiire ja työnteon keskeytykset. Kaikilla tuntuu olevan jatkuvasti kiire ja keskeytyksiä tulee liikaa, joten niiden syyt pitäisi selvittää ja ratkaisuja kehitellä, jotta keskittyminen paranee ja ihmisvirheet vähenevät. Tiedon luottamuksellisuuden, eheyden ja saatavuuden takaaminen ovat organisaatioissa avaintekijöitä ja niiden toteutumisen eteen tehdään töitä muun muassa käyttöoikeuksien hallinnan avulla. Lisäksi avoin ilmapiiri ja virheistä oppiminen henkilön syyllistämisen sijaan ovat organisaatioiden tietoturvan kannalta tärkeitä asioita.