Blogi

Ihminen on tietoturvan heikoin lenkki. Miksi?

Kirjoittanut Panu Palmu 8.7.2020 16:13

 

Etevä - Tietoturvakoulutus Final-1

Ihminen on tietoturvan heikoin lenkki

Miksi? Ihmiset eivät tiedä tarpeeksi eivätkä ole tarpeeksi valppaita.

Tietoturva aiheena on laaja ja vaikeaselkoinen. Ihmiset tuntuvat myös olevan aika ylimielisiä ja laiskoja asian suhteen. "Ei jaksa", "ei kiinnosta" ja "kyllä mä osaan, älä selitä". Tietoturva on myös yksi IT:n osa-alue, mikä ei suoranaisesti tuo kustannustehokkuutta toimintaan, joten siihen liittyvät investoinnit ovat huonommin perusteltuja.

 

Minkälaisille tietoturvariskeille ihmiset altistavat omat ja organisaation tiedot?

Tässä muutama esimerkki.

1. Huijausyritykset
2. Haittaohjelmat ja virukset
3. Salasanojen ja tunnusten vuotaminen isoista firmoista
4. Puhuminen ja ruudun näkyminen julkisilla paikoilla
5. Nettiliikenteen vuotaminen julkisen wifin kautta

Miten vahvistetaan ihmiskeskeistä tietoturvaa?

  • Pakottamalla tietoturva-asetuksia ja rajoituksia päätelaitteille ja ohjelmistoihin
  • Laatimalla tietosuojapolitiikka ja tietoturvaohjeet käyttäjille
  • Kouluttamalla käyttäjiä käytännön tietoturva-asioissa

Keskitymme tässä blogissa viimeiseen kohtaan.


Miksi koulutusta ei ole järjestetty pienissä ja keskisuurissa yrityksissä?

Hiharavistuksella statistiikkaa. Alle 200 henkeä työllistävissä organisaatioissa n. 1-5% on hoitanut koulutuksen riittävän hyvin tai ollenkaan. 95% yrityksistä ei ole järjestetty mitään koulutusta.

Tässä päästäänkin ongelman ytimeen. Kaikki päättäjät tietävät, että käyttäjiä tulisi kouluttaa tietoturvan suhteen. Tämän asian järjestäminen valitettavasti jää muiden kiireisten asioiden jalkoihin. Pienemmille yrityksille käyttäjäkohtainen kustannus saattaa myös nousta epämiellyttävälle tasolle. Tyypillisesti tämä nähdään kertaluontoisena tapahtumana, jossa kouluttaja pitää toimistolla koulutuksen kaikille paikalle päässeille.

Tällaisen koulutustapahtuman myyminen, toteuttaminen ja organisoiminen voi olla myyvälle taholle verrattain työlästä, varsinkin jos asiakaskunta koostuu pienistä yrityksistä. Korporaatioissa tämä asia on yleensä paremmin hoidettu.


Onko jotain muita syitä miksi organisaation tulisi kouluttaa käyttäjiä jatkuvasti?

Kyllä on!
Monet lakisääteiset compliance -säädökset vaativat jatkuvaa tietoturvakoulutusta. Monien yritysten asiakkaat saattavat myös vaatia toimittajilta muiden tietoturvatoimenpiteiden lisäksi myös käyttäjien jatkuvaa tietoturvakoulutusta.

Tyypillisesti jos myyt (tai toimit tällä alalla) palveluja seuraaville tahoille, tulee heidän vaatimuksien mukaan pitää koulutusta omassakin organisaatiossa

  • Julkiset organisaatiot (VAHTI ja muut vastaavat vaatimukset)
  • Isot korporaatiot ja pörssiyhtiöt
  • Lääketieteenalan organisaatiot
  • Pankit, vakuutusyhtiöt, Rahastonhoito, varainhoito ja muut sijoituspalvelu- sekä rahaliikenneyhtiöt (Finanssivalvonta, Mifid yms.)

 

Onko tietoturvarikkeet yleisiä?

On hyvä huomioida, että hakkeroinnit, tietovuodot ja rahan menetykset ovat noloja ja mainetta pilaavia asioita. Ei niistä yksikään yritys tai organisaatio kerro julkisesti jos ei ole pakko. Tämä siis tarkoittaa, että tällaiset tapahtumat ovat yleisempiä kuin mitä voisi kuvitella.

Meidän asiakaskunnassa tapahtui kaksi suurta digitaalista varkautta / huijausta viime vuonna. Toisessa tapauksessa rahaa hävisi 600 000 € ja toisessa 75 000 €. Kyseessä on n. 20 hengen yritykset. Myös Etevä sai tätäkin blogia kirjoittaessa huijausviestejä, missä minun nimissä koitettiin kalastella tilitietoja, sekä saada rahaa liikenteeseen HSBC:n tilille Hong Kongiin. Lue lisää blogista: "Digitaaliset ryöstöt".

Miten käyttäjien koulutus tulisi ratkaista?

Etevä on ratkaissut tämän yksinkertaisella ja edullisella palvelulla. Etevän tietoturvakoulutus jatkuvana palveluna!

Kiinteää (ja erittäin edullista) 96 euron vuosimaksua vastaan, käyttäjä saa neljä webinaari -muotoista koulutusta, osaamisen kartoittamisen sekä neljä tietoturvatiedotetta. Eli kymmennen hengen organisaatiolle kustannus on 960 € alv. 0. Palvelu on luonteeltaan jatkuva. Yksittäisen tietoturvakoulutuksen ostaminen netistä maksaa tyypillisesti 100-200 € per henkilö.

Palveluun kuuluu myös raportointi osallistumisesta koulutuksiin ja niihin liittyvien kokeiden suorittamisesta. Täten compliance ja auditoimisasiat hoituvat automaattisesti

Topics: tietoturva, tietosuoja, tietojen kalastelu, tietoturvauhka, haittaohjelmat, vahti, Fiva, määräykset, compliance



Haluatko kuulla lisää? Ota yhteyttä alla olevalla lomakkeella.



Tilaa uusimmat blogitekstit suoraan sähköpostiisi