Etevän tietoturva-asiantuntija: Ihminen on tietoturvan heikoin lenkki!

Miksi? Ihmiset eivät tiedä tarpeeksi eivätkä ole tarpeeksi valppaita. Tietoturva aiheena on laaja ja vaikeaselkoinen. Ihmiset tuntuvat myös olevan aika ylimielisiä ja laiskoja asian suhteen. "Ei jaksa", "ei kiinnosta" ja "kyllä mä osaan, älä selitä". Tietoturva on myös yksi IT:n osa-alue, mikä ei suoranaisesti tuo kustannustehokkuutta toimintaan, joten siihen liittyvät investoinnit ovat vaikeammin perusteltuja.

Minkälaisille tietoturvariskeille ihmiset altistavat omat ja organisaation tiedot?

• • • • Huijausyritykset
      • Haittaohjelmat ja virukset
      • Salasanojen ja tunnusten vuotaminen isoista firmoista
      • Puhuminen ja ruudun näkyminen julkisilla paikoilla
      • Verkkoliikenteen vuotaminen julkisen wifin kautta

Miten vahvistetaan ihmiskeskeistä tietoturvaa?

• • • • Pakottamalla tietoturva-asetuksia ja rajoituksia päätelaitteille ja ohjelmistoihin
      • Laatimalla tietosuojapolitiikka ja tietoturvaohjeet käyttäjille
      • Kouluttamalla käyttäjiä käytännön tietoturva-asioissa

Miksi tietoturvakoulutusta ei ole järjestetty pienissä ja keskisuurissa yrityksissä?

Etevän tietoturva-asiantuntijan hiharavistuksella statistiikkaa. Alle 200 henkeä työllistävissä organisaatioissa n. 1-5% on hoitanut koulutuksen riittävän hyvin tai ollenkaan. 95% yrityksistä ei ole järjestetty mitään koulutusta.

Tässä päästäänkin ongelman ytimeen. Kaikki päättäjät tietävät, että käyttäjiä tulisi kouluttaa tietoturvan suhteen. Tämän asian järjestäminen valitettavasti jää muiden kiireisten asioiden jalkoihin. Pienemmille yrityksille käyttäjäkohtainen kustannus saattaa myös nousta epämiellyttävälle tasolle. Tyypillisesti tämä nähdään kertaluontoisena tapahtumana, jossa kouluttaja pitää toimistolla koulutuksen kaikille paikalle päässeille.

Tällaisen koulutustapahtuman myyminen, toteuttaminen ja organisoiminen voi olla myyvälle taholle verrattain työlästä, varsinkin jos asiakaskunta koostuu pienistä yrityksistä. Korporaatioissa tämä asia on yleensä paremmin hoidettu.

Onko jotain muita syitä miksi organisaation tulisi kouluttaa käyttäjiä jatkuvasti tietoturva-asioissa?

Kyllä on! Monet lakisääteiset compliance -säädökset vaativat jatkuvaa tietoturvakoulutusta. Monien yritysten asiakkaat saattavat myös vaatia toimittajilta muiden tietoturvatoimenpiteiden lisäksi myös käyttäjien jatkuvaa tietoturvakoulutusta.

Tyypillisesti jos myyt (tai toimit tällä alalla) palveluja seuraaville tahoille, tulee heidän vaatimuksien mukaan pitää koulutusta omassakin organisaatiossa

• • • • Julkiset organisaatiot (VAHTI ja muut vastaavat vaatimukset)
      • Isot korporaatiot ja pörssiyhtiöt
      • Lääketieteenalan organisaatiot
      • Pankit, vakuutusyhtiöt, rahastonhoito, varainhoito ja muut sijoituspalvelu- sekä rahaliikenneyhtiöt (Finanssivalvonta, Mifid yms.)

Onko tietoturvarikkeet yleisiä?

On hyvä huomioida, että hakkeroinnit, tietovuodot ja rahan menetykset ovat noloja ja mainetta pilaavia asioita. Ei niistä yksikään yritys tai organisaatio kerro julkisesti jos ei ole pakko. Tämä siis tarkoittaa, että tällaiset tapahtumat ovat yleisempiä kuin mitä voisi kuvitella.

Meidän asiakaskunnassa on tapahtunut kaksi suurta digitaalista varkautta / huijausta viime vuonna. Toisessa tapauksessa rahaa hävisi 600 000€ ja toisessa 75 000€. Kyseessä on n. 20-30 hengen yritykset. Myös Etevä sai tätäkin blogia kirjoittaessa huijausviestejä, missä minun nimissä koitettiin kalastella tilitietoja, sekä saada rahaa liikenteeseen HSBC:n tilille Hong Kongiin. Lue lisää blogista: "Digitaaliset ryöstöt".

Miten käyttäjien tietoturvakoulutus tulisi ratkaista?

Etevä on ratkaissut tämän yksinkertaisella ja edullisella palvelulla. Etevän tietoturvakoulutus jatkuvana palveluna!

Kiinteää (ja erittäin edullista) 96 euron vuosimaksua vastaan, käyttäjä saa neljä webinaari -muotoista koulutusta, osaamisen kartoittamisen sekä neljä tietoturvatiedotetta. Eli kymmennen hengen organisaatiolle kustannus on 960 € alv. 0. Palvelu on luonteeltaan jatkuva. Yksittäisen tietoturvakoulutuksen ostaminen netistä maksaa tyypillisesti 100-200 € per henkilö. Palveluumme kuuluu myös raportointi osallistumisesta koulutuksiin ja niihin liittyvien kokeiden suorittamisesta. Täten compliance ja auditoimisasiat hoituvat automaattisesti.

Jos haluat lisätä tietoturvaa organisaatiossasi, lue blogistamme keskeisimmät asiat mitä tulee ottaa huomioon kun lähdetään parantamaan yrityksen tietoturvaa!