Tietoturvasäännöt – ei pysty, ei ehdi, ei kiinnosta

Eräässä tutkimuksessa [1] selvitettiin työntekijöiden näkemyksiä organisaation hallinnollisesta tietoturvasta. Tutkimuksen kohteena olivat pankki ja IT-firma. Tietoturvalliset toimintatavat ovat organisaatioille olennaisia. Tietoturvasääntöjen osalta tulokset ovat harmillisia.

Molempien organisaatioiden intranetissä oli julkaistu tietoturvasäännöt henkilöstölle. Isolla osalla haastatteluihin osallistuneista pankin työntekijöistä ei ollut tietoa tietoturvasääntöjen sisällöstä. IT-firmassa ei kenelläkään. Huh!

Tutkimusaineiston perusteella työntekijöillä ei ole aikaa lukea sääntöjä. He eivät tiedä, missä tietoturvadokumentit sijaitsevat. Oikeastaan sääntöjä ei välttämättä edes ymmärretä eikä niiden lukemisesta koeta olevan hyötyä. Havaintoja ei voida yleistää, mutta jotenkin tuntuu siltä, että havainnot eivät rajoitu vain näihin kahteen organisaatioon.

Miten tilannetta voisi parantaa? Huomioita parista tutkimuksesta:

Asianmukaisesti toteutettu tietoturvaviestintä voi johtaa siihen, että työntekijät eivät koe tietoturvasääntöjä työtä rajoittavaksi tai haittaavaksi tekijäksi [2, s. 542].

Jos työntekijät kokevat, että heidän teoillaan on väliä ja ne auttavat tietoturvan kehittämisessä, niin he toiminevat silloin todennäköisimmin sääntöjen mukaisesti [3, s. 163].

Onko olemassa hyviä esimerkkejä niin mielenkiintoisesta ja kiinnostavasta tietoturvaviestinnästä, että lukija kokee positiivisen pakonomaisen tarpeen tutustua organisaation tietoturvasääntöihin ja muihin tietoturvadokumentteihin?

Lähteet:
[1] Albrechtsen, E. A qualitative study of users’ view on information security. Computers & Security, Vol. 26, 2007, s. 276-289.

[2] Bulgurcu, B., Cavusoglu H. & Benbasat, I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly Vol. 34 No. 3 s. 523-548. Syyskuu 2010.

[3] Herath, T. & Rao, H.R. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision Support Systems, Vol. 47, 2009, 154-165.

Vastaa

Sähköpostiosoitettasi ei julkaista.