Tietoturvakoulutus - SecMeter

Sisältöön

Tietoturvakoulutus

Yritysturvallisuus > Tietoturvallisuus
Yrityksen eri toiminnoissa työskentelevien henkilöiden turvakäytänteiden tuntemus saattaa vaihdella ja on usein riippuvainen henkilön omasta tai esimiehen aktiivisuudesta turvallisuusasioita kohtaan.

Yrityksen velvollisuutta perehdyttää ja kouluttaa henkilökunta toiminnoissa noudatettaviin turvakäytänteisiin pidetään oikeusperiaatteena. Tietoturvakoulutuksen osalta tavoitteena on edistää yrityksen yhtenäisen tietoturvakulttuurin muodostumista.

Yrityksen toimintoja koskevat säädökset ja määräykset edellyttävät usein, että koko henkilöstö tuntee asiakirjaturvallisuuskäytänteet, tietojärjestelmien käyttöperiaatteet, etätyön tietoturvakäytänteet, yksityisyyden suojan merkityksen, kulunvalvonta- ja vierailijakäytänteet sekä riskienhallinnan ohjausasiakirjojen sisällön.

Asianmukainen tietoturvakoulutus tarjoaa koko henkilöstölle ajantasaiset ja yhdenmukaiset tiedot yrityksen tietoturvakäytänteistä. Koulutuksen jälkeen henkilöstö

  • tuntee tietoturvallisuuden ohjausasiakirjat
  • on omaksunut keskeiset tietoturvakäytänteet
  • osaa epäselvissä tilanteissa hankkia lisätietoja
  • ilmoittaa potentiaalisista uhkista ja turvatapahtumista vastuuhenkilöille.

Toteutus
Koulutustilaisuudet on suositeltavaa toteuttaa, jos vain mahdollista, yhdistämällä koulutus yrityksen eri toimintojen tai henkilöstöryhmien ajankohtaisiin asia- tai palveluteemoihin. Ajankohtaisen asia- tai palveluteeman ympärille rakentuva tietoturvallisuuskoulutus on henkilöstön kannalta mielekästä sulautuen luontevasti muun tavanomaisen koulutuksen yhteyteen.

Tilanteesta riippuen koulutustilaisuudessa voidaan käsitellä yhtä tai useampaa tietoturvallisuusaihetta. Koulutustilaisuudet on koordinoitava yhdessä yrityksen sisäisestä koulutuksesta vastaavien henkilöiden kanssa.

Yrityksen koosta riippuen koulutustilaisuuksia joudutaan yleensä järjestämään useampia. Jokaisen tiettyyn asia- tai palveluteemaan liittyvän koulutustilaisuuden tulisi olla pääpiirteissään samansisältöinen, jotta voidaan varmistua koko henkilöstön tietojen yhdenmukaisuudesta. Pitkiä koko päivän kestäviä tilaisuuksia tulisi mahdollisuuksien mukaan välttää.

Koulutuksen suunnittelu
Laaja, koko yrityksen kattava ja usealle vuodelle ajoittuva tietoturvakoulutussuunnitelma on useimmiten turha. Yrityksen henkilöstö ja tarpeet muuttuvat nopeassa tahdissa. Yrityksen todellisia tarpeita ajatellen vuosi on sopiva suunnittelujakso. Vuosisuunnittelussa on mahdollista huomioida myös edellisinä vuosina toteutettu koulutus.

Vastuuhenkilön tehtävänä on selvittää myös palvelu- ja liiketoimintayksiköiden muut koulutustarpeet sekä laatia ehdotus koulutuksen toteuttamiseksi. Ehdotus tulee kytkeä myös toimintojen tulevan vuoden strategisiin tavoitteisiin ja kriittisiin menestystekijöihin (osastojen tuloskortit). Tietojen pohjalta vastuuhenkilö laatii koulutussuunnitelman aikataulun, johon on sisällytetty tietoturvapolitiikan linjaukset ja eri toimintojen kannalta tärkeät painopistealueet.

Aikataulutus
Koulutustilaisuudet aikataulutetaan ja julkaistaan esimerkiksi sisäisen koulutuksen kalenterissa niin, että toimintojen on mahdollista ottaa tilaisuudet huomioon omissa suunnitelmissaan mahdollisimman aikaisessa vaiheessa. Aikataulutuksessa on huomioitava päällekkäiset koulutustilaisuudet, suunnitteluseminaarit, kesälomat ja muut hankkeet, jotka voivat hankaloittaa koulutukseen osallistumista.

Osallistumisvelvollisuus
Esimiesten tehtävänä on huolehtia, että koko henkilöstölle varataan tilaisuus osallistua koulutukseen.

Koulutusmateriaali
Tilaisuutta varten kouluttajat tuottavat yleensä itse materiaalinsa, mutta koulutusmateriaalia voidaan työstää ja tuotteistaa myös yrityksen koulutuksesta vastaavien henkilöiden kanssa yhteistyössä.

Uusien henkilöiden perehdyttäminen
Tietoturvakoulutuksen lähtökohta on erityisesti tulokkaiden perehdyttäminen. Perehdytyksen aikana on tulokkaille jaettava oleellinen informaatio hyvin lyhyessä ajassa. Tilannetta auttaa merkittävästi, jos yrityksen intranetissä on saatavana tietoturvallisuuden ohjausasiakirjat (politiikat ja linjaukset) sekä yksityiskohtaisemmat tietoturvaohjeet, jolloin näihin ei perehdyttämisen yhteydessä tarvitse käyttää aikaa. Perehdyttämisen onnistuminen edellyttää, että

  • johdon hyväksymät tietoturvallisuuden ohjausasiakirjat on laadittu ja julkaistu
  • perehdyttämisestä vastaavat henkilöt ovat saaneet asianmukaisen koulutuksen
  • on sovittu mitä tietoturvallisuuteen liittyviä asioita tulokkaille kerrotaan perehdytyksen yhteydessä.

Perehdyttämisohjelma
Tulokkaan perehdytyksestä vastaa vastaanottavan toiminnon esimies. Tulokkaan perehdyttämisohjelman laatii ja perehdyttämisen suorittaa toiminnon esimiehen nimeämä henkilö.

SUOSITUKSET
Suositus 1
On suositeltavaa listata asiat, jotka ovat perehdyttäjän vastuulla. Näin voidaan varmistua, että kaikille tulokkaille on kerrottu olennaiset asiat. Listauksesta voi myös ilmetä mistä yksittäisissä ongelmatilanteissa saa lisäohjeita.

Suositus 2
Kiinteistö- ja toimitilaturvallisuuden osalta uudelle henkilölle tulee kertoa mm.

  • vierailijakäytänteet
  • kulunvalvontaan liittyvät asiat
  • vieraiden vastaanottaminen ja kokoustilojen käyttö
  • työntekijän tekninen valvonta työpaikalla.

Suositus 3
On suositeltavaa, että tietoturva-asioita perehdytetään ja käydään läpi tulokkaiden kanssa pidemmän ajan kuluessa. Ensivaiheessa on tärkeätä huomioida vain olennaiset tietoturva-asiat siten, että tulokkaalla on mahdollisuus omaksua ja jäsentää ne omiin työtehtäviinsä liittyvinä. Tämän johdosta perehdyttäjän tulee pitää muistilistaa niistä asioita, jotka tulokkaalle on jo kerrottu.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön