Esimies tai -nainen, esihenkilö, omaa olennaisen roolin organisaation tietoturvan toteuttamisessa. Esihenkilöt mahdollistavat tietoturvalliset työskentelytavat. He ohjeistavat työntekijöitä, valvovat toimintaa ja näyttävät esimerkkiä yhdessä yritysjohdon kanssa.
Esihenkilö on esimerkki
Esihenkilö näyttää esimerkkiä päivittäisessä toiminnassa. Hyvää tai huonoa! Esimerkillä on vaikutusta työtekijöiden tietoturva-asenteisiin ja tätä kautta koko organisaation tietoturvaan.
Esimerkki
Esihenkilö pyytää työntekijöitä kommentoimaan palaverimuistiota ja uuden tuotteen teknistä suunnitelmaa. Muistio sijaitsee ulkoistetussa pilvipalvelussa, johon pääsee helposti käsiksi ja tarvittavat muokkaukset onnistuvat nettiselaimella. Tekninen suunnitelma löytyy puolestaan erilliseltä verkkolevyltä, jonne pääsee vain organisaation laitteilla ja käyttäjätunnuksilla. Esihenkilö muistuttaa, että suunnitelma on luottamuksellinen ja siksi sitä käsitellään vain tässä ympäristössä. Työntekijät omaksuvat vastaavat turvalliset toimintatavat.
Esihenkilö ohjeistaa
Esihenkilön tehtävänä on varmistaa, että hänen työntekijät saavat tarvittavan tietoturvakoulutuksen. Työntekijöille on kerrottava, miten eri tehtävissä toimitaan ja mitä oikeuksia ja velvollisuuksia työntekijöillä on.
Esimerkki
Esihenkilö on havainnut, että yksikön työntekijät käsittelevät luottamuksellisia tietoja eri tavoin. Työntekijöille koulutetaan käytännön esimerkein, miten tietoturvallisuus huomioidaan työtehtävissä. Lisäksi toteutetaan tarvittavat toimintaohjeet, jotka ovat linjassa yrityksen muiden tietoturvaperiaatteiden kanssa. Kaikki toimivat samalla turvallisella tavalla eikä turhia vahinkoja pääse tapahtumaan.
Toiminnan valvonta: tehdään, kuten on sovittu!
Esihenkilön yhtenä tehtävänä on valvoa, että organisaatiossa määritettyjä tietoturvaperiaatteita ja toimintaohjeita noudatetaan. Tämä on tärkeää, jotta tietoturvallisuutta toteutetaan joka puolella samalla tavalla. Valvomatta jättäminen johtaa turhiin riskeihin.
Esimerkki
Esihenkilö huomaa työntekijän lähettäneen sähköpostitse tietoja, joita ei sähköpostilla saisi lähettää. Esihenkilö mainitsee asiasta työntekijälle ja ohjeistaa oikean tavan toimia. Hän myös perustelee, miksi toimintamalli ei ole suotavaa. Pelkkä tietoturvasääntöihin viittaaminen aiheuttaisi vastareaktion.
Esihenkilö kysyy työntekijältä, miksi hän toimi vastoin ohjeita. Vastauksesta ilmenee puutteita perehdyttämisessä ja käytännön työn ohjeistuksessa. Muut työntekijät ovat myös kertoneet, että tietoturvalliseksi määritelty työskentelytapa on liian hankalasti toteutettava. Yksinkertaisella kysymyksellä saatiin listattua useita kehittämiskohteita! Ilman valvontaa vanha toimintamalli jatkuisi ja johtaisi turhiin riskeihin.
Esimies tai esinainen – kysy, kuuntele ja näytä mallia!
Vastaa