Viranomaisten tulisi karsia tietoturvaohjeistuksia
Väitös
Niina Kinnusen tietotekniikan alan väitöskirjatutkimuksen mukaan viranomaisten tulisi pyrkiä vähentämään tietoturvaohjeistuksia ja niistä ohjeistavia tahoja.
– Suomalaisia pk-yrityksiä ohjeistavia tahoja ja ohjeistuksia on paljon, ja niiden kaikkien huomioiminen ja toteuttaminen yrityksissä on vähintäänkin haastavaa, sanoo Kinnunen.
Lisäksi ohjeistuksissa käytettävä termistö on kirjava, mikä hankaloittaa kokonaiskuvan saamista. Kinnusen mukaan viranomaisten tulisikin ryhtyä selkiyttämään ja vakinaistamaan tietoturvaa koskevia termejä.
Kinnunen moittii etenkin internetissä julkaistavia ohjeistuksia työläiksi hahmottaa. Ne ovat useissa osissa ja osaksi myös erittäin pieninä paloina.
Hän neuvookin yrityksiä päättämään, mihin viranomaisten tietoturvaohjeistuksista ne keskittyvät ja mitä ohjeistuksia ne pyrkivät noudattamaan. Tästä pitää myös kertoa työntekijöille.
Tietoturvaohjeiden vastaisesti ei haluta sittenkään toimia
Vaasan yliopistossa väittelevä Kinnunen tutki väitöskirjassaan ” Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen” mitä suomalaisten viranomaisten tietoturvaohjeet sisältävät, pyrkivätkö yritysten työntekijät noudattamaan tietoturvaohjeita ja mitkä tekijät heitä siihen motivoivat.
Kinnunen kertoo, että työntekijät eivät ole tietoisesti valmiita toimimaan yritysten tietoturvaohjeiden vastaisesti, mikä poikkeaa aiemmista tieteellisistä tutkimustuloksista.
Tutkimuksessa työntekijät nimesivät kuitenkin muutamia yksittäisiä tilanteita, joissa he voisivat kuvitella toimivansa vastoin tietoturvaohjeita.
– Jos esimies tai ylempi johtaja määräisi toimimaan yrityksen tietoturvaohjeiden vastaisesti tai jos työntehtävien hoitaminen ehdottomasti sitä vaatisi.
Tutkimus kumoaa myös aiemmin todettuja väitöksiä siitä, että tietoturvaohjelmat innostavat työntekijöitä heikosti, eikä niillä ole parantavaa vaikutusta tietoturvakäyttäytymiseen.
– Syynä tähän on, että yrityksen työntekijät ymmärtävät tietoturvan merkityksen erityisesti tietojen suojaamisessa, Kinnunen toteaa.
Tietoturva huomioidaan etenkin sähköpostin käsittelyssä
Tutkimuksen mukaan työntekijöillä on hyvä tietoturvatietoisuus. Hyvään tietoturvakäyttäytymiseen motivoi etenkin oma usko ohjeiden noudattamisen tärkeyteen. Tärkeä motivoiva tekijä on myös toisen henkilön tai tilanteen vaatimus.
– Työntekijät huomioivat tietoturvan tällä hetkellä etenkin sähköpostin ja henkilötietojen käsittelyssä sekä tietopääoman suojaamisessa, sanoo Kinnunen.
Viimeisen kolmen vuoden aikana työntekijöiden halukkuuteen noudattaa tietoturvaohjeita on vaikuttanut tietoteknisten laitteiden muutos, esimerkiksi älypuhelinten käyttöönotto.
Motivaatiota ohjeiden noudattamiseen parantaa tieto tietoturvariskeistä ja erityisesti yritysten omat tiedotteet tietoturvauhkista.
– Tietoturvatiedotteiden määrä tulee kuitenkin pitää rajallisena, jotta tiedotteiden teho ei katoa määrän mukana, Kinnunen ohjeistaa yrityksiä.
Lisätiedot
Niina Kinnunen, 040 753 7099, sähköposti: etunimi.sukunimi@haaga-helia.fi
Kinnunen, Niina (2015). Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen. Acta Wasaensia 331.
Väitöskirjan tilaukset ja pdf: http://www.uva.fi/fi/research/publications/orders/database/?julkaisu=808
Väittelijän tiedot
Niina Kinnunen on syntynyt vuonna 1976 Vöyrillä. Hän kirjoitti ylioppilaaksi Alahärmän lukiosta vuonna 1995. Hän valmistui vuonna 2002 kauppatieteen maisteriksi Vaasan yliopistosta.
Kinnunen asuu nykyään Mäntsälässä. Hän on toiminut vuodesta 2005 lähtien tietojenkäsittelyn lehtorina Haaga-Helia ammattikorkeakoulussa.V äitöstiedot
Väitöstiedot
KTM Niina Kinnusen tietotekniikan alaan kuuluva väitöskirjatutkimus ” Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen” tarkastetaan lauantaina 19.9.2015 klo 12 Vaasan yliopistossa Tervahovin Kurtén-auditoriossa. Vastaväittäjänä tilaisuudessa toimii professori Mikko Siponen (Jyväskylän yliopisto) ja kustoksena professori (emerita) Merja Wanne (Vaasan yliopisto).
Vaasan yliopisto kouluttaa vastuullisia johtajia ja asiantuntijoita tulevaisuuden tehtäviin. Tutkimuksen strategiset painoalat ovat energia, johtaminen, monikielisyys ja rahoitus. www.uva.fi