Tietoturvatietoisuuden kehittäminen finanssialan organisaatiossa

Abstract

Verkkorikollisuus kasvaa ja kehittyy jatkuvasti, mikä on lisännyt finanssialan paineita suojautua verkkohyökkäyksiltä entisestään. Tähän eivät kuitenkaan riitä kehittyneet suojausteknologiat tai finanssialan tarkat tietoturvavaatimukset, vaan keskeisessä roolissa ovat ihmiset. Tutkimusten mukaan jopa 88 % tietovuodoista johtuu ihmisten tekemästä virheestä, kuten liian helpoista salasanoista, päivittämättömistä laitteista tai tietoturvaosaamisen puutteesta. On siis tärkeää, että suojausteknologioiden lisäksi organisaatioissa kehitetään työntekijöiden tietoturvatietoisuutta. Tämän tutkielman tavoitteena on selvittää, miten tietoturvatietoisuutta voidaan kehittää finanssialan organisaatiossa.

Tämän tutkielman empiirinen tutkimus suoritettiin hyödyntäen laadullista tutkimusmenetelmää. Tutkimusaineisto kerättiin puolistrukturoitujen teemahaastatteluiden avulla ja haastateltaviksi valittiin kuusi tietoturva-asiantuntijaa neljästi eri suomalaisesta pankista. Haastatteluiden teemat perustuivat teoriassa keskeiseksi määriteltyihin aiheisiin, jotka olivat tietoturvatietoisuus finanssialalla ja tutkittavissa organisaatiossa, tietoturvatietoisuuteen vaikuttavat tekijät, tietoturvatietoisuuden kehittämisen menetelmät sekä tietoturvatietoisuuden mittaaminen ja arviointi. Tutkimusten tulosten analysointi toteutettiin teoriaohjaavalla analyysillä, jossa aikaisempi tutkimus ohjasi aineiston analysointia, mutta tutkimus ei testannut valmiiksi olemassa olevaa teoriaa tai teoreettista viitekehystä.

Tutkielman tulosten pohjalta muodostettiin uusi teoreettinen viitekehys tietoturvatietoisuuden systemaattiseen kehittämiseen, joka perustuu PDCA-mallin mukaiseen jatkuvaan kehittämiseen. Mallin tarkoituksena on toimia apuna finanssialan organisaatioille ja sen takia siinä hyödynnettiin haastatteluissa hyväksi todettuja malleja muodostaen niistä mahdollisimman kattava kokonaisuus. Viitekehys asettaa vaatimukset tietoturvatietoisuuden kehittämiselle, sekä prosessin tietoturvatietoisuuden eri osa-alueiden kehittämiselle. Tutkielmassa on esitetty myös käytännön esimerkki viitekehyksen hyödyntämiseen.

Tutkimuksen tulokset olivat pitkälti linjassa aiemman tutkimuksen kanssa. Tietoturvatietoisuuden kehittämisessä tärkeinä nähtiin jatkuva kehitys ja koko organisaation sitoutuminen kehittämiseen. Organisatoriset tekijät nähtiin hyvin tärkeinä, mutta haastatteluissa todettiin, että isoissa organisaatioissa yksilöllisten tekijöiden huomioiminen ei ole mahdollista vaan ajattelun tulisi olla enemmän roolipohjaista. Tietoturvatietoisuuden kehittämisen menetelmissä keskeisenä pidettiin saavutettavuutta, käytännönläheisyyttä ja positiivista lähestymistapaa. Empiriassa nousi esille myös organisaation koon, rakenteen ja organisaatiokulttuurin vaikutus tietoturvatietoisuuden kehittämiseen.

Tärkeä huomio oli, että työntekijöitä ei nähdä enää tietoturvauhkana vaan tietoturvan vahvimpana lenkkinä tai tietoturvan puolustajina, joiden tekemät virheet johtuvat tietämättömyydestä ja riittämättömästä opastuksesta. Kaikissa organisaatioissa haluttiin luoda positiivista tietoturvakulttuuria, jonka edellä mainittu ajattelutapa mahdollistaa. Empiriassa nousi esille uutena havaintona ADKAR-malli, jota voidaan hyödyntää tietoturvatietoisuuden kehittämiseen niin kulttuurin näkökulmasta kuin tehokkaiden menetelmien kehittämiseen. ADKAR-malli on myös osa tutkielmassa kehitettyä viitekehystä.