Asiantuntija muuttaa asenteita

Asiantuntija osaa asiansa ja viestinnän salat. Suostuttelevalla viestinnällä voidaan pyrkiä vaikuttamaan ihmisten asenteisiin ja käyttäytymiseen (Helkama ym. 2015, 199). Suostuttelu-guru Robert Cialdini on tutkinut aihetta paljon. Cialdinin mukaan suostuttelevassa viestinnässä kannattaa hyödyntää vastavuoroisuuden, niukkuuden, auktoriteetin, johdonmukaisuuden, tykkäämisen ja yksimielisyyden periaatteita (ks. lisätiedot lähteistä).

Esimerkiksi viesti menee paremmin perille, kun kuulija tietää kertojan olevan asiantuntija. Lisäksi auttaa, kun tietolähde on viehättävä tai miellyttävä (Helkama ym. 2015, 199).

Suostuttelevan viestinnän vaikutus asenteisiin on kuitenkin tilannesidonnaista. Vaikutus riippuu siitä, miten vastaanottaja käsittelee viestejä (Helkama ym. 2015, 199). Esimerkiksi ELM-mallin mukaan:

Jos henkilöllä on motivaatiota/kykyä käsitellä viestiä ja hän kokee, että aihetta tukevat perustelut ovat vahvoja, niin tästä muodostuu todennäköisemmin myönteisiä ajatuksia ja asennemuutosta.

Jos henkilöllä ei ole motivaatiota/kykyä käsitellä viestiä, niin esimerkiksi aiheen esittelijän asiantuntijuudella on suurempi merkitys. Henkilö saattaa luottaa asiantuntijan ilmaisemaan viestiin, mutta tästä johtuva asennemuutos voi jäädä pinnallisemmaksi. (Helkama ym. 2015, 199-203.)

Kun yllä kuvattuun näkökulmaan lisätään ripaus maalaisjärkeä, saadaan seuraava lopputulos. Asennemuutokseen pyrkivässä tietoturvakoulutuksessa kannattaa käyttää kouluttajaa, joka:

  • tunnistetaan alansa asiantuntijaksi,
  • käyttää esimerkkejä ja osoittaa muidenkin toimivan samalla tavalla, ja
  • perustelee asian työntekijän näkökulmasta mielenkiintoisesti.
  • Ja on lisäksi viehättävä?

Tämä oli kolmas osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Neljännessä osassa kerron tietoturva-asenteisiin vaikuttamisesta pakon ja kannustinten avulla.

Lähteet
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Suostuttelun periaatteista löytyy lisätietoja Cialdinin kirjoista, nettisivuilta ja Wikipediasta: Robert Cialdini.

Viisi harvinaisempaa faktaa tietoturvasta

Ohessa on muutama harvinaisempi fakta tietoturvasta. Poimin ne Petteri Järvisen pitämästä koulutuksesta Tietoturvaa yrityskäyttäjille. Koulutuksen organisoi Turun kauppakamari. Koko päivän kestäneessä koulutuksessa nousi esiin monia olennaisia tietoturvaan liittyviä huomioita ja vinkkejä. Suosittelen!

Mukavuus kertaa turvallisuus on vakio

Petterin mukaan tietoturvallisuuden keskeinen periaate on: mukavuus x turvallisuus = vakio.

Käytännössä tarkoittaa sitä, että turvallisuutta lisättäessä joutuu tinkimään mukavuudesta. Asiasta on kerrottu käytännössä esimerkiksi Mikrobitissä julkaistussa älypuhelimen tietoturvaoppaassa sekä Petterin blogissa julkaistussa salasanat ovat psykologiaa -postauksessa.

Tietoturva on maalaisjärkeä

”Miten saadaan ihmiset olemaan hölmöilemättä?” Esimerkiksi ”varmuuskopioiden ottaminen on nykyään niin helppoa, että jos tiedostoja kadottaa, ei voi kuin itseään syyttää.”

Toinen hyvä esimerkki on virustorjunta. Siihen luotetaan aivan liikaa. Paraskaan virustorjunta ei pysty suojaamaan ihmistä itseltään. Petterin mukaan ”On pienempi riski jättää sähköpostin liite avaamatta, kuin avata se epävarmassa tilanteessa.” Pitää täysin paikkaansa. Vähän kuitenkin kiinnostaisi tietää, mitä siinä liitteessä on…jos näin on, niin ota yhteyttä lähettäjään, ja kysy.

Tietoturva on kansalaisvelvollisuus

Kansalaisten IoT-laitteita käytetään verkkohyökkäysten tukena. Tietoturvasta huolehtiminen on siis kansalaisvelvollisuus. Petteri tiivisti asian erittäin hyvin näin: ”90-luvulla tietoturva oli yritysasia, 2000-luvulla henkilökohtainen asia, 2010 luvulla kansallinen asia.”

Salasanasäännöt ovat hölmöjä

Tietoturva-asiantuntijat jaksavat horista samoja salasanavinkkejä jatkuvasti. Pitää olla tarpeeksi monimutkainen, pitkä, vaikeasti arvattava, useasti vaihdettava jne. ”Jos yritysten tietohallinto ei itse pysty noudattamaan salasanasääntöjä, miten sitä voi velvoittaa käyttäjiltä?” Nykyiset salasanasäännöt on hölmöjä. Riittäisikö se, että salasana on eri joka palvelussa? Salasanojen muistamista unohtamista voi helpottaa esimerkiksi KeePass-ohjelmalla.

Lukkoon ei voi luottaa

Kaikki tietävät, että nettiselailu on turvallista, kun selainrivillä on lukon kuva. Paitsi, että näin ei ole! ”Lukko ei takaa turvallisuutta, vain salauksen.” Mikä estää hämärähemmoja suojaamasta yhteyksiään? Lukon yhteyteen liitetty sertifikaatti kertoo, kenellä on lukon avaimet.

Vinkit perustuvat koulutuksen antiin. Olen pyrkinyt erottelemaan suorat lainaukset tekstin seasta.

Tietoturvasäännöt – ei pysty, ei ehdi, ei kiinnosta

Eräässä tutkimuksessa [1] selvitettiin työntekijöiden näkemyksiä organisaation hallinnollisesta tietoturvasta. Tutkimuksen kohteena olivat pankki ja IT-firma. Tietoturvalliset toimintatavat ovat organisaatioille olennaisia. Tietoturvasääntöjen osalta tulokset ovat harmillisia.

Molempien organisaatioiden intranetissä oli julkaistu tietoturvasäännöt henkilöstölle. Isolla osalla haastatteluihin osallistuneista pankin työntekijöistä ei ollut tietoa tietoturvasääntöjen sisällöstä. IT-firmassa ei kenelläkään. Huh!

Tutkimusaineiston perusteella työntekijöillä ei ole aikaa lukea sääntöjä. He eivät tiedä, missä tietoturvadokumentit sijaitsevat. Oikeastaan sääntöjä ei välttämättä edes ymmärretä eikä niiden lukemisesta koeta olevan hyötyä. Havaintoja ei voida yleistää, mutta jotenkin tuntuu siltä, että havainnot eivät rajoitu vain näihin kahteen organisaatioon.

Miten tilannetta voisi parantaa? Huomioita parista tutkimuksesta:

Asianmukaisesti toteutettu tietoturvaviestintä voi johtaa siihen, että työntekijät eivät koe tietoturvasääntöjä työtä rajoittavaksi tai haittaavaksi tekijäksi [2, s. 542].

Jos työntekijät kokevat, että heidän teoillaan on väliä ja ne auttavat tietoturvan kehittämisessä, niin he toiminevat silloin todennäköisimmin sääntöjen mukaisesti [3, s. 163].

Onko olemassa hyviä esimerkkejä niin mielenkiintoisesta ja kiinnostavasta tietoturvaviestinnästä, että lukija kokee positiivisen pakonomaisen tarpeen tutustua organisaation tietoturvasääntöihin ja muihin tietoturvadokumentteihin?

Lähteet:
[1] Albrechtsen, E. A qualitative study of users’ view on information security. Computers & Security, Vol. 26, 2007, s. 276-289.

[2] Bulgurcu, B., Cavusoglu H. & Benbasat, I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly Vol. 34 No. 3 s. 523-548. Syyskuu 2010.

[3] Herath, T. & Rao, H.R. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision Support Systems, Vol. 47, 2009, 154-165.

Kyberkaries iskee alle kahdessa kuukaudessa

Tietoturvafirma Kenna tutki tunnettujen tietoturvareikien paikkaamiseen liittyviä aikaikkunoita. Siinä missä hammaslääkäri paikkaa reiät 15 minuutissa,
kuluu yrityksillä keskimääräisesti 100-120 päivää tietoturvareikien tukkimiseen.

Samaisen tutkimuksen mukaan yrityksellä on arviolta 40-60 päivää aikaa tukkia aukot. Muuten kyberkaries iskee 90% todennäköisyydellä.

Tietoturvareikiin hyökätään automaattisten työkalujen avulla. Niitä hyödyntäviä tahoja ei ensisijaisesti kiinnosta mihin hyökätään, kunhan onnistutaan.
Sitten pöllitään kaikki, mikä irti lähtee. Lopuksi vasta katsotaan, mitä on saatu.

Tietoturva-aukoista johtuvia riskejä voidaan pienentää. Kenna suosittelee käyttämään samoja työkaluja kuin vastapuolikin. Toisin sanoen yritysten kannattaa kartoittaa omien järjestelmiensä aukkoja systemaattisesti ja automatisoidusti.

Ellei IT-palveluiden ammattimainen ylläpito ole ydinliiketoimintaasi, niin anna homma jollekin muulle. On hölmöläisen hommaa koittaa hallita tietoturvapäivityksiä muun toiminnan ohella.

Pokemon Go on melkoinen tietoturvashow

Ihmisen on sanottu olevan tietoturvan heikoin lenkki. Supersuosioon noussut Pokemon Go mobiilipeli näyttäisi taas tukevan tätä väitettä.

Peli ei ole ollut saatavilla kaikialla maailmassa, joten ihmiset ovat ladanneet sen epävirallisista lähteistä. Epäviralliset sovellusversiot ovat tietysti olleet hieman viritettyjä. Niistä löytyy haittaohjelmia, jotka ottavat haltuun koko mobiililaitteen. Hieman yllättäen myös virallisessa versiossa oli ollut tietoturvaongelmia. Pelifirmalla oli teoriassa pääsy pelaajan Googlen-tilin sisältöön. Siis sähköposteihin jne.

Pelin suosio on aiheuttanut myös muita haittailmiöitä. On tapahtunut onnettomuuksia ja ihmisiä on tullut ryöstetyksi. Jotkut paikat ovat jopa kieltäneet pelin pelaamisen alueillaan.

Jotta tämäkin blogipostaus ei päätyisi negatiivisuutta viljeleväksi valitusviestiksi, on todettava, että peli tekee myös paljon hyvää. Se näyttää, miten uutta teknologiaa voidaan soveltaa hienolla tavalla. Peli saa ihmiset kommunikoimaan livenä toistensa kanssa. Ihmiset saadaan myös ulos nauttimaan kauniista kesäpäivästä* sen sijaan, että he vain bloggaisivat henkilökohtaisissa datakeskuksissaan.

Tietoturvallisuuden osalta peli muistuttaa, että uhat on todellisia, mutta niiltä voi välttyä hyvin yksinkertaisilla ja helpoilla toimenpiteillä. Asenne ratkaisee paljon, tässäkin asiassa.

Lisätietoja Pokemon Go -pelin tietoturvariskeistä ja muita lähteitä:

* 15.7.2016, Varsinais-Suomi, +15C, kohtalaisen kovaa sadetta.