Asennemuutos tietosuoja-asetuksen avulla?

Tietoturvan asennemuutos voidaan koittaa saavuttaa pakon ja kannustinten avulla. Jos laki pakottaa tiettyyn toimintaan tai rajoittaa käyttäytymistä, niin se voi johtaa myös käyttäytymistä koskevien asenteiden muutokseen. (Helkama ym. 2015, 203.)

Asennemuutos voi tapahtua myös ihmisen toiminnan kautta. Väitteessä on taustalla ns. kognitiivisen dissonanssin teoria. Teoriaan liittyy seuraava ajatusmalli:

Jos ihmisen tiedot ja teot ovat ristiriidassa, niin ihminen pyrkii pois tästä tilasta muuttamalla tietojaan, asenteitaan tai käyttäytymistään (Helkama ym. 2015, 360). Esimerkiksi työntekijä tietää, että pitäisi käyttää suojattuja tiedonsiirtomenetelmiä, mutta ei käytä. Tästä aiheutuu tunne väärästä toiminnasta. Työntekijä pyrkii korjaamaan tilanteen tai muulla tavalla oikeuttamaan toimintansa.

Aronson ja Mills (1959) tutkivat ajatusmallia käytännössä. Tutkimuksessa selvitettiin keskusteluryhmään liittyviä asenteita. Tulosten perusteella asenne ryhmää kohtaan muuttuu sitä myönteisemmäksi, mitä enemmän koettelemuksia ihminen joutuu läpikäymään päästäkseen ryhmän jäseneksi (Aronson & Mills 1959; Helkama ym. 2015, 204-205).

Tehdäänpä edellisistä tuloksista epätieteellinen maalaisjärkiyleistys: asenne asiaa kohtaan muuttuu myönteisemmäksi, jos henkilö joutuu tekemään paljon työtä asian saavuttamiseksi. Voisikohan tätä soveltaa esimerkiksi yrityksen sisäisissä tietoturvakoulutuksissa, joiden päätteeksi pidetään vaikea testi. Vaikean kokeen läpäiseminen nostaa myönteistä asennetta tietoturvaa kohtaan?

Tai jos työntekijä ymmärtää, että tietoturvallisilla toimintatavoilla voi olla suora yhteys yrityksen menestykseen, hän ei koe tietoturvallista toimintaa ongelmana tai taakkana*. Vaativat asiakkaat edellyttävät hyvää tietoturvan tasoa. Yritys saa enemmän tilauksia, koska asiakkaat arvostavat yrityksen tietoturvan tasoa. Tehdään siis tietoturvallista työtä, jolloin yrityksemme menestyy!

*Toisaalta, jos tietoturvallinen tapa tehdä töitä koetaan ongelmana tai taakkana, niin jossain muualla on isoja ongelmia.

Tietosuoja-asetus on mahdollisuus yrityksille ja asenteille

Mitenköhän ihmisten asenteet tietosuojaa ja tietoturvaa kohtaan tulevat muuttumaan EU:n tietosuoja-asetuksen (GDPR) myötä? Asetus kannustaa (asetuksen hyödyt) ja pakottaa (asetuksen sanktiot) yritykset huomioimaan tietosuojan päivittäisessä toiminnassaan. Mitä enemmän yrityksen työntekijät joutuvat näkemään vaivaa asetuksen vaatimusten täyttämiseksi, sitä myönteisemmäksi asenne tietosuojaa kohtaan muuttuu? Uskon, että asetus kokonaisuutena tulee vaikuttamaan positiivisesti yritysten työntekijöiden asenteisiin tietosuojaa ja tietoturvaa kohtaan, kunhan vaatimusten täyttämisen työtaakka ja koetut hyödyt ovat vähintään tasapainossa. Ensin pitäisi kuitenkin päästä ulos GDPR:n kauhun kehästä!


Tämä oli neljäs osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Viidennessä osassa kokoan yhteen oppimisprosessin aikana muodostuneita ajatuksia.

Lähteet
Aronson, E., Mills, J. 1959. The effect of severity of initiation on liking for a group. Journal of Abnormal and Social Psychology, 59(2), 177-181.
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Ajatusapua, lisää materiaalia ja lähteitä löytyy esimerkiksi Wikipediasta: https://en.wikipedia.org/wiki/Attitude_change#Cognitive_dissonance_theory https://en.wikipedia.org/wiki/Cognitive_dissonance

Vuoden tietoturvaopinnäytetyö 2017 -palkinnot jaettu

Tietoturva ry on jälleen tehnyt ison työn ja arvioinut vuoden tietoturvaopinnäytetyö 2017 -kilpailun ehdokkaat. Palkinnot jaettiin seuraavasti:

Ylemmät korkeakoulut -sarja:  Improving Web Security with Trusted Hardware, master’s thesis, Klaudia Krawiecka

Alemmat korkeakoulut -sarja:  Penetraatiotestauksen menetelmiä käsittelevä kandidaattityö, Tuomas Tyrväinen

Lisätietoja Tietoturva ry nettisivuilla.

Onnea voittajille!

Asiantuntija muuttaa asenteita

Asiantuntija osaa asiansa ja viestinnän salat. Suostuttelevalla viestinnällä voidaan pyrkiä vaikuttamaan ihmisten asenteisiin ja käyttäytymiseen (Helkama ym. 2015, 199). Suostuttelu-guru Robert Cialdini on tutkinut aihetta paljon. Cialdinin mukaan suostuttelevassa viestinnässä kannattaa hyödyntää vastavuoroisuuden, niukkuuden, auktoriteetin, johdonmukaisuuden, tykkäämisen ja yksimielisyyden periaatteita (ks. lisätiedot lähteistä).

Esimerkiksi viesti menee paremmin perille, kun kuulija tietää kertojan olevan asiantuntija. Lisäksi auttaa, kun tietolähde on viehättävä tai miellyttävä (Helkama ym. 2015, 199).

Suostuttelevan viestinnän vaikutus asenteisiin on kuitenkin tilannesidonnaista. Vaikutus riippuu siitä, miten vastaanottaja käsittelee viestejä (Helkama ym. 2015, 199). Esimerkiksi ELM-mallin mukaan:

Jos henkilöllä on motivaatiota/kykyä käsitellä viestiä ja hän kokee, että aihetta tukevat perustelut ovat vahvoja, niin tästä muodostuu todennäköisemmin myönteisiä ajatuksia ja asennemuutosta.

Jos henkilöllä ei ole motivaatiota/kykyä käsitellä viestiä, niin esimerkiksi aiheen esittelijän asiantuntijuudella on suurempi merkitys. Henkilö saattaa luottaa asiantuntijan ilmaisemaan viestiin, mutta tästä johtuva asennemuutos voi jäädä pinnallisemmaksi. (Helkama ym. 2015, 199-203.)

Kun yllä kuvattuun näkökulmaan lisätään ripaus maalaisjärkeä, saadaan seuraava lopputulos. Asennemuutokseen pyrkivässä tietoturvakoulutuksessa kannattaa käyttää kouluttajaa, joka:

  • tunnistetaan alansa asiantuntijaksi,
  • käyttää esimerkkejä ja osoittaa muidenkin toimivan samalla tavalla, ja
  • perustelee asian työntekijän näkökulmasta mielenkiintoisesti.
  • Ja on lisäksi viehättävä?

Tämä oli kolmas osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Neljännessä osassa kerron tietoturva-asenteisiin vaikuttamisesta pakon ja kannustinten avulla.

Lähteet
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Suostuttelun periaatteista löytyy lisätietoja Cialdinin kirjoista, nettisivuilta ja Wikipediasta: Robert Cialdini.

Tietoturva-asenteisiin vaikuttaminen

Tietoturva-asenteet muodostuvat tunteista, tiedosta ja toiminnasta. Omaksuin tämän ajatuksen aikaisemmin, kun selvitin, mitä on asenne tietoturvassa. Erittäin lyhyiden sosiaalipsykologian opintojen perusteella arvelin, että tietoturva-asenteisiin vaikuttaminen tapahtuu vaikuttamalla tietoturvaan liittyviin tunteisiin, tietoturvatietoisuuteen sekä tietoturvalliseen toimintaan.

Tietoturvaan liittyviin tunteisiin vaikuttamisesta ensimmäinen ajatus on tietysti pelottelu. Kaikki me osaamme pelotella tietomurroilla, palvelunestohyökkäyksillä ja muilla möröillä. Uskon, että pelottelu johtaa lopulta ”ei kiinnosta, ihan sama” mielentilaan tai lamauttaa työnteon kokonaan. Mielestäni kannattaisi kertoa, kuinka hyvin onnistuimme suojautumaan haittaohjelmaepidemialta, ja minkä takia. Sitten, kun on oikeasti tarvetta varoittaa, niin varoituksetkin menevät paremmin perille?

Hyödyntämällä ns. tilannevihjeitä ja kertomalla työntekijälle, mitä muut tekevät, voidaan koittaa vaikuttaa työntekijän toimintaan (Helkama ym. 2015, 198). Käytännössä tätä voisi soveltaa esimerkiksi asettamalla työhuoneen ovelle kyltin ”Kollegasi muisti painaa Win+L poistuessaan koneeltaan.” Työhuoneen seinälle voisi laittaa myös tietoturvan tai tietosuojan huoneentaulun tms. infograafin, joka kertoo olennaiset asiat esimerkiksi työntekijän päivittäisten työtehtävien näkökulmasta.

Tietoturvallisia toimintamalleja voi levittää esimerkkien avulla. Näytä muille, että lukitset koneesi, käytät salasanojen hallintatyökaluja, luokittelet tiedostojasi, ”deebannaat” kovalevysi jne. Pyri esimerkin voimalla luomaan työympäristö, jossa tietoturvallisista toimintatavoista muodostuu rutiini ja odotettava toimintamalli. Näin muutkin työntekijät pyrkivät toimimaan vastaavalla tavalla? (ks. Helkama ym. 2015, 193: Sosiaalisen ympäristön balanssipyrkimys).


Tämä oli toinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Kolmannessa osassa kerron, miten tietoturva-asenteisiin voi vaikuttaa suostuttelevalla viestinnällä.

Kirjalähteen tiedot
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.

Mitä on asenne tietoturvassa?

Paasaan paljon tietoturva-asenteista. Tarkoituksenani on muuttaa suomalaisten tietoturva-asenteita positiivisempaan suuntaan. Aloin kuitenkin pohtimaan, mitä asenne oikeastaan edes tarkoittaa?

Kaikkihan me sen toisaalta tiedämme. Maalaisjärjellä kuvailtuna se on sitä jotain, miten ihmiset suhtautuvat eri asioihin. ”Kaikki alkaa oikeasta asenteesta” tai ”sinulla on ihan väärä asenne.”

Eli siis mikä? Mitä tai mikä minulla on oikein tai väärin?

Päätin selvittää, mitä asenteella tarkoitetaan. Ja olipahan urakka. Ei ole nimittäin ihan se helpoin kokonaisuus, kun aihetta purkaa osiin. Kirjoitin oppimispäiväkirjatyyppisesti viisi erillistä blogipostausta asiasta. Tämä on ensimmäinen.

Asenne käsitteenä

Selvitin ensimmäiseksi asenteen käsitettä. Nettiä selaamalla selvisi, että lienee järkevämpää poimia kirjastosta sosiaalipsykologiaa käsittelevää kirjallisuutta. Hyvää materiaalia löytyi mm. kirjasta ”Johdatus sosiaalipsykologiaan” (Helkama ym. 2015).

Kirjan sanaston (Helkama ym. 2015, 356) mukaan asenne on ”Johonkin sosiaalisesti merkitykselliseen kohteeseen liittyvä myönteinen tai kielteinen suhtautumistapa”. Tekstiosassa (s. 190) käsite kytketään saksan kielen sanaan Einstellung, jolla tarkoitetaan ”…paitsi asennetta myös valmiutta ja usein kokonaisvaltaista suhtautumista johonkin kohteeseen”.

Käsite voidaan myös purkaa osiin, kuten tietoturvakin. Tietoturvan sanotaan muodostuvan tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta. Vastaavasti asenne muodostuu tunteesta, ajatuksesta ja toiminnasta (Helkama ym. 2015, 190). Psykologinen pääoma -blogissa käsite kiteytetään vielä paremmin: asenne on tunnetta, tietoa ja toimintaa. Hyvä kiteytys. Pidän tästä!

Asennebloggausta?

Minulla oli tässä blogissa aikoinaan erillinen Asenne-kategoria. Päädyin poistamaan sen. Huomasin, että lähes jokainen blogipostaus meni siihen kategoriaan. Kyseessä oli kokonaisuus, johon kuului vähän kaikki. Ymmärrän nyt paremmin, miksi kategorian koko kasvoi jatkuvasti.

Jaan blogissani tietoturvaan liittyviä vinkkejä, faktoja ja mielipiteitä. Nämä mahdollistavat sen, että lukijan tiedot karttuvat ja toiminta muuttuu. Ehkä tässä on tunteisiinkin vedottu. Toivottavasti positiivisella tavalla!


Tämä oli ensimmäinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Seuraavassa osassa kerron alustavia ajatuksiani tietoturva-asenteisiin vaikuttamisesta.

Kirjalähteen tiedot
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.