Pelkät teknologiset menetelmät ja työkalut eivät riitä suojaamaan organisaatiota kybermaailmassa, sillä usein tietoturvaloukkauksen mahdollistajana toimii ihminen. Onkin tärkeää ymmärtää yksilö- ja organisaatiotasolla työntekijöiden tietoturvakäyttäytymistä, jotta kyberuhkia voidaan ehkäistä. Kuva: Austin Distel / unsplash.com
Digitalisaation myötä muuttuneet uhkakuvat Kyberrikollisuudesta on tullut merkittävä uhkatekijä niin yksityisten kuin julkisten organisaatioiden toiminnassa. Organisaatioita uhkaavat esimerkiksi lukuisat erilaiset huijaustavat, kuten huijausviestit ja tietojenkalastelu, joiden avulla tietomurtoja yritetään tehdä ja päästä siten käsiksi organisaation tietovarantoihin. On tunnistettu, että jopa 75 % organisaatioiden tietoturvahaavoittuvuuksista kumpuaa organisaation sisältä, esimerkiksi työntekijän vastatessa tietojenkalastelusähköpostiin. Työntekijöillä ja heidän toimintapäätöksillään onkin merkittävä rooli tietoturvan toteutumisessa, oikeanlaisen käyttäytymisen estäessä tietomurtojen toteutumista. Työntekijöiden kautta aiheutuviin tietoturvauhkiin voidaan vaikuttaa kyberturvallisuuskulttuuria analysoimalla ja kehittämällä. Mikä ihmeen kyberturvallisuuskulttuuri? Pro gradu -tutkielmassani tutkin kuntaorganisaatiossa vallitsevien tekijöiden ja käsitysten vaikutusta organisaation kyberturvallisuuskulttuuriin. Kyberturvallisuuskulttuurin käsitteellä viitataan ihmisten tietoon, uskomuksiin, käsityksiin, asenteisiin, oletuksiin, normeihin ja arvoihin kyberturvallisuudesta ja siihen, miten ne ilmenevät ihmisten käyttäytymisessä tieto- ja informaatioteknologian kontekstissa. Vaikuttamalla henkilöstön turvallisuuteen liittyviin asenteisiin ja normeihin on mahdollista vaikuttaa henkilöstön turvallisiin käyttäytymistapoihin. Tutkielmani toteutettiin laadullisena narratiivisena tutkimuksena. Tutkielman aineisto koostui kahdeksasta haastattelusta ja se analysoitiin narratiivisen temaattisen analyysin keinoin. Analyysissa muodostettiin kolme narratiivia, jotka olivat 1) henkilökohtainen kyberturvallisuuskulttuuri, 2) organisaatiokulttuurin ja toimintaympäristön narratiivi, sekä 3) kyberturvallisuuskulttuurin narratiivi. Narratiivit rakentuivat niitä kuvaavista tyyppitarinoista, joiden tarkoituksena oli toimia oikeaan elämään sijoittuvina suppeina kuvauksina tutkielman kohteena olevasta ilmiöstä. Lopuksi Tutkielmani tuotti tietoa kuntaorganisaation erityispiirteistä kyberturvallisuuskulttuurin muodostumisessa. Kuntaorganisaation julkishallinnolliset piirteet, kuten hallintolähtöisyys, byrokraattisuus ja laaja organisaatiorakenne vaikuttivat osaltaan kyberturvallisuuskulttuurin olemukseen pääosin negatiivisesti. Ihmiset antavat kyberturvallisuudelle erilaisia merkityksiä ja heidän asenteensa kyberturvallisuutta kohtaan on yksilökohtaista. Merkityksiin ja asenteisiin ja siten käyttäytymiseen vaikuttavat esimerkiksi aiempien kokemuksien, työtehtävien tai koulutuksien kautta saatu tieto ja osaaminen. Merkityksien ja asenteiden todettiin vaikuttavan käyttäytymiseen niin henkilökohtaisessa elämässä kuin myös työelämässä. Siviilielämässä kyberturvallisuutta koskettaviin kysymyksiin kiinnitettiin sitä enemmän huomioita, mitä enemmän tietoa aihepiiristä oli. Näennäisesti oikeanlainen asenne ja tieto ei aina kuitenkaan takaa turvallista toimintaa. Toimintatavat voivat olla kompromisseja turvallisuuden sekä käytettävyyden kanssa, jolloin turvallisuutta parantavia asioita ei koettu niin hyödyllisiksi että niitä käytettäisiin, vaikka ne haittaisivat käyttäjäkokemusta. Markus Savolainen Lapin Yliopisto, Yhteiskuntatieteiden tiedekunta. Kirjoitus perustuu hallintotieteiden pro gradu – tutkielmaan: ”Kaikki tietää että se on semmoinen villi länsi tuo netti vielä”. Narratiivinen tutkimus kyberturvallisuuskulttuurista kaupungin hallinto-organisaatiossa. Tutkielman ohjaajana toimi Marjo Suhonen. Kirjallisuutta: Bulgurcu, B., Cavusoglu, H. & Benbasat, I. (2010). Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly 34(3), 523–548. Da Veiga, A. (2016). A cybersecurity culture research philosophy and approach to develop a valid and reliable measuring instrument. 2016 SAI Computing Conference (SAI), 1006–1015. Reiman, T. Pietikäinen, E. Oedewald P. (2008). Turvallisuuskulttuuri. von Solms, R., & van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97–102. https://doi.org/10.1016/j.cose.2013.04.004. Comments are closed.
|
Yhteisillä tulillaLapin yliopiston yhteiskuntatieteellisen tiedekunnan tutkimusyhteisön blogi. Categories |
Yhteisillä tulilla | Yhteisillä tulilla |