Rakkaudesta lajiin

Perustin tämän tietojesiturvaksi.fi blogin 10 vuotta sitten. Käsittelen tässä 10v postauksessa nyt sellaisia aiheita, jotka ovat puhutelleet minua jollain tavalla viimeisten vuosien aikana. Aiheet ei liity suoraan tietoturvaan, vaan bloggaamiseen.

Tämä postaus ei ole vuodatus. Tämä on oman toiminnan ja ajattelun tarkastelua. Oppimista. Ehkä näistä huomioista ja pohdinnoista on hyötyä tulevaisuudessa – sinullekin?

Tämä ei ole blogi! Eikä varsinkaan henkilöbrändäystä!

Muistaakseni blogit oli 2010 aikoihin kova juttu. Kieltäydyin kuitenkin kutsumasta sivustoani blogiksi. Sen sijaan se oli vain sivusto tai tietoturva-aiheinen nettisivu.

En halunnut puhua blogista, koska se olisi tehnyt minusta bloggaajan. Ja bloggaajia pidettiin turhanpäiväisinä huutelijoina, jotka esittävät ”asiantuntijaa”. Mokomatkin itsensä jalustalle nostajat! Nykyäänhän samat manaukset kohdistetaan henkilöbrändäykseen.

Parin vuoden ”sivuston” pitämisen jälkeen minulle tylytettiin päin naamaa, että onhan se blogi. No prkl, niinhän se on! Olisi myös tietämättömyyttä tai suoranaista valehtelua todeta, että tässä ei samalla rakennettaisi henkilöbrändiä.

Täydellisen tekstin tavoittelu

Blogipostausten kirjoittamisessa minulla on yksi törkeän iso ongelma: yksittäisen postauksen tekeminen vie aivan liikaa aikaa ja energiaa. Taustalla piinaa jonkinlainen täydellisen tekstin tavoittelu.

Ongelma muodostuu tällaisen ajatusprosessin läpikäymisestä:

  1. Olenhan huomioinut kaiken olennaisen?
  2. Saisikohan tästä sittenkin useamman postauksen?
  3. Onhan teksti ymmärrettävää, selkeää ja sujuvaa?
  4. Mitäköhän tästä nyt ajatellaan, enhän tee itsestäni täysin pelleä?
  5. Muistinhan kaikki olennaiset hakukonekikkailut?

Voitte vain kuvitella, miten asiat konkretisoitui tässä pitkässä 10v postauksessa. Meni aikaa ja energiaa. Hävettää jo valmiiksi, vaikka en ole julkaissut vielä mitään.

Sinun blogi – sinun juttusi!

Tietoturvasta ja tietosuojasta julkaistaan nykyään valtavasti erilaista materiaalia. On blogeja, videoita, podcasteja, kirjallisuutta, viranomaisohjeita ja laadukasta uutisointia. Minun on ihan turha lähteä uutisoimaan tai analysoimaan jotain tietoturvatapausta, koska monet muut tahot (asiantuntijat, mediatalot, ammattibloggaajat jne) ovat sen jo tehneet – nopeammin ja laadukkaammin.

Unohda yllä oleva – keskity omaan juttuusi.

Vanhat sisällöt on historian taakkaa?

Blogin pitämiseen kuuluu se, että vanhatkin postaukset jäävät muiden luettavaksi. Tästä on toki merkittävää hyötyäkin, mutta itse koen tämän jonkinlaisena taakkana: voiko asiantuntijan blogissa olla vastavalmistuneen opiskelijan tuottamaa materiaalia?

Välissä on toki vierähtänyt 10 vuotta, mutta huomioihan lukija sen?

Onhan tavoitteet, toiminta ja tunteet linjassa?

Blogi voi olla harrastus tai asiantuntijuuden markkinointikanava. Jos tavoitteenasi on tuoda asiantuntemusta esille, myydä asiantuntijapalveluita tms. niin toimi sitten tavoitteiden edellyttämällä tavalla. Toiminta! Luo aiheeseen liittyvää laadukasta sisältöä tarpeeksi usein.

En kirjoita blogia työkseni enkä saa tekemisestä rahaa, mutta koen silti pienimuotoista syyllisyyttä siitä, että en julkaise tarpeeksi usein. Ehkä omat tavoitteet, toiminta ja tunteet eivät ole linjassa.

Blogisi pakottaa sinua toimimaan esimerkillisesti?

Jos pidät asiantuntijablogia valokuvauksesta, muodista, ruuanlaitosta tms. niin lukija varmasti olettaa, että sivustollasi on hienoja valokuvia, muodikkaita vaatteita ja hyviä reseptejä jne.

Koska puhun tietosuojasta, onko kaksinaamaista, jos minulla ei ole lisäksi viimeisen päälle hyvä tietosuojaseloste, tietosuojaa kunnioittava analytiikkasovellus ja somenapit sekä hienot evästehärpäkkeet?

Analytiikkaohjelmisto heiluttaa koiraa

Seurasin aikoinaan hyvinkin aktiivisesti blogin lukijamääriä ja muita tilastotietoja erilaisilla analytiikkaohjelmistoilla (Google Analytics, Piwik/Matomo).

Analytiikka on tärkeää, mutta sen kanssa on oltava varovainen. Huomasin jossain vaiheessa, että minua kiinnosti enemmän numerot kuin uusien postausten kirjoittaminen.

Tuntui jotenkin vapauttavalta, kun poistin koko analytiikkasovelluksen käytöstä. Pakottaa keskittymään olennaiseen.

Jätä ylläpitohommat ammattilaisille

Jätä blogialustan tekninen ylläpito ammattilaiselle, jolla on osaamista ja aikaa. Siis molempia: osaamista ja aikaa.

Ylläpidin itse blogialustaani teknisesti useita vuosia. Tämä kahlitsee melkoisesti. Kun blogialustasta löytyy tietoturvareikä, verkkorikolliset hyökkäävät siihen automaattisesti. Siinä on sitten kiva miettiä arkena, viikonloppuna ja ennen kesälomamatkaa, että kukas sitä palvelua päivittelee poissaolosi aikana.

Tosin, ylläpitämällä itse oppii paljon erilaisia asioita. Opit myös arvostamaan sitä, kun joku muu tekee työn puolestasi.

Miten saan blogiini kommentteja?

Hanki ensin lukijoita. Saat lukijoilta kommentteja kolmella tavalla:

  1. Tuota hyvää sisältöä.
  2. Ärsytä ihmisiä.
  3. Jätä kommenttitoiminnon tietoturva huomioimatta.

Oli aika, kun en ollut huomioinut kommenttikentän tietoturvaa. Sitten tuli botti ja roskapostitti kommenttikentät täyteen pornoa ja pillereitä.

Miten saan blogiini lukijoita?

Lukijoiden määrä on suoraan verrannollinen siihen työmäärään, jonka blogiisi eteen teet. Googleta ”markkinointi”.

Ehkä tästä on jollekin hyötyä?

Perustin tietojesiturvaksi.fi alunperin nettisivuksi, jossa tarjotaan yleistä tietoturvatietoa. Pääsisältö muodostui juuri valmistuneen AMK-opinnäytetyöni teksteistä ja teknisistä ohjeista. Uskoin tuolloin, että näistä olisi hyötyä ja apua muillekin.

Uskon edelleen, että suomenkieliselle digiturvatiedolle on käyttöä.

Huomaan kuitenkin yhä useammin pohtivani: miksi teen tätä? Miksi käytän tähän aikaa, rahaa ja energiaa? Kysymykset ovat ihan aiheellisia.

Toistaiseksi, vastaus löytyy otsikosta – rakkaudesta lajiin!

Asenneopintojen koonti: olen ollut asennejankuttaja!

Minulla oli pitkään aikomuksena tutkia ja opiskella tietoturvaan liittyviä asennekysymyksiä. Lopulta otin haasteen vastaan. Nopeasti tajusin, että kyseessä on hieman monipuolisempi ja syvällisempi kokonaisuus kuin osasin ajatellakaan.

Kokosin lyhyet ja epäviralliset asenneopintoni viiteen blogipostaukseen:

Ensimmäiseksi selvitin asenteen käsitettä. Halusin tietää mitä asenteen taustalla on. Laaja aihealue josta löytyy paljon mielenkiintoisia tutkimuksia. Asenne on tietoa, tunnetta ja toimintaa.

Toisessa osassa kokosin yhteen alustavia ajatuksiani tietoturva-asenteisiin vaikuttamisesta. Ymmärsin, että asiaa pitää selvittää lisää. Selvisi, että asenteisiin voidaan vaikuttaa suostuttelevalla viestinnällä sekä pakon ja kannustinten avulla.

Kolmanneksi selvitin lisää suostuttelevasta viestinnästä. Selvisi mm. se, että asennemuutokseen tähtäävässä tietoturvakoulutuksessa kouluttajalla on merkittävä rooli.

Neljännessä osiossa selvittelin asennemuutosta pakon ja kannustinten avulla. Esimerkiksi lainsäädäntö, kuten EU:n tietosuoja-asetus, voi johtaa positiiviseen asennemuutokseen.

Tämän viidennen osan piti koota asenneopintojen aikana muodostuneita ajatuksia yhteen ja tarjota vielä lisää järkevää faktatietoa aiheesta. Sen sijaan tästä muodostuikin henkilökohtainen ahaa-elämys: olen ollut asennejankuttaja!

Asenteeni asenteita kohtaan muuttui

Päädyin lopulta pohtimaan, korostaako huonoista asenteista puhuminen henkilön omaa asennetta? Totesin aikaisemmin blogini esittelytekstissä, että tavoitteenani on muuttaa suomalaisten vääristyneet tietoturva-asenteet. Nyt hieman hävettää ja nolottaa, koska onhan se nyt *** ylimielistä todeta tuollaista! Hyvä tarkoitusperä muuttui helposti haitalliseksi ajatusmalliksi:

Halu auttaa + oma väärä asenne = Asennejankuttaja

Hyvän asenteen tunnistaa kaikki. Huonoja asenteita ei ole tarvetta korostaa. Jos asenne on tunnetta, tietoa ja toimintaa, niin asenne ei muutu asenteista jankuttamalla. Sen sijaan on tarjottava tietoa, mahdollistettava oppiminen ja oikea toiminta. Asenteet kyllä muuttuvat itsekseen, kun olosuhteet sen sallivat. Näin kävi nytkin!

Huh. Tulipahan opittua asiaa asenteista.


Tämä oli – tällä erää – viimeinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Muut osat:

  1. Mitä on asenne tietoturvassa?
  2. Tietoturva-asenteisiin vaikuttaminen
  3. Asiantuntija muuttaa asenteita
  4. Asennemuutos tietosuoja-asetuksen avulla?
  5. Asennejankuttajalla on väärä asenne

Asennemuutos tietosuoja-asetuksen avulla?

Tietoturvan asennemuutos voidaan koittaa saavuttaa pakon ja kannustinten avulla. Jos laki pakottaa tiettyyn toimintaan tai rajoittaa käyttäytymistä, niin se voi johtaa myös käyttäytymistä koskevien asenteiden muutokseen. (Helkama ym. 2015, 203.)

Asennemuutos voi tapahtua myös ihmisen toiminnan kautta. Väitteessä on taustalla ns. kognitiivisen dissonanssin teoria. Teoriaan liittyy seuraava ajatusmalli:

Jos ihmisen tiedot ja teot ovat ristiriidassa, niin ihminen pyrkii pois tästä tilasta muuttamalla tietojaan, asenteitaan tai käyttäytymistään (Helkama ym. 2015, 360). Esimerkiksi työntekijä tietää, että pitäisi käyttää suojattuja tiedonsiirtomenetelmiä, mutta ei käytä. Tästä aiheutuu tunne väärästä toiminnasta. Työntekijä pyrkii korjaamaan tilanteen tai muulla tavalla oikeuttamaan toimintansa.

Aronson ja Mills (1959) tutkivat ajatusmallia käytännössä. Tutkimuksessa selvitettiin keskusteluryhmään liittyviä asenteita. Tulosten perusteella asenne ryhmää kohtaan muuttuu sitä myönteisemmäksi, mitä enemmän koettelemuksia ihminen joutuu läpikäymään päästäkseen ryhmän jäseneksi (Aronson & Mills 1959; Helkama ym. 2015, 204-205).

Tehdäänpä edellisistä tuloksista epätieteellinen maalaisjärkiyleistys: asenne asiaa kohtaan muuttuu myönteisemmäksi, jos henkilö joutuu tekemään paljon työtä asian saavuttamiseksi. Voisikohan tätä soveltaa esimerkiksi yrityksen sisäisissä tietoturvakoulutuksissa, joiden päätteeksi pidetään vaikea testi. Vaikean kokeen läpäiseminen nostaa myönteistä asennetta tietoturvaa kohtaan?

Tai jos työntekijä ymmärtää, että tietoturvallisilla toimintatavoilla voi olla suora yhteys yrityksen menestykseen, hän ei koe tietoturvallista toimintaa ongelmana tai taakkana*. Vaativat asiakkaat edellyttävät hyvää tietoturvan tasoa. Yritys saa enemmän tilauksia, koska asiakkaat arvostavat yrityksen tietoturvan tasoa. Tehdään siis tietoturvallista työtä, jolloin yrityksemme menestyy!

*Toisaalta, jos tietoturvallinen tapa tehdä töitä koetaan ongelmana tai taakkana, niin jossain muualla on isoja ongelmia.

Tietosuoja-asetus on mahdollisuus yrityksille ja asenteille

Mitenköhän ihmisten asenteet tietosuojaa ja tietoturvaa kohtaan tulevat muuttumaan EU:n tietosuoja-asetuksen (GDPR) myötä? Asetus kannustaa (asetuksen hyödyt) ja pakottaa (asetuksen sanktiot) yritykset huomioimaan tietosuojan päivittäisessä toiminnassaan. Mitä enemmän yrityksen työntekijät joutuvat näkemään vaivaa asetuksen vaatimusten täyttämiseksi, sitä myönteisemmäksi asenne tietosuojaa kohtaan muuttuu? Uskon, että asetus kokonaisuutena tulee vaikuttamaan positiivisesti yritysten työntekijöiden asenteisiin tietosuojaa ja tietoturvaa kohtaan, kunhan vaatimusten täyttämisen työtaakka ja koetut hyödyt ovat vähintään tasapainossa. Ensin pitäisi kuitenkin päästä ulos GDPR:n kauhun kehästä!


Tämä oli neljäs osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Viidennessä osassa kokoan yhteen oppimisprosessin aikana muodostuneita ajatuksia.

Lähteet
Aronson, E., Mills, J. 1959. The effect of severity of initiation on liking for a group. Journal of Abnormal and Social Psychology, 59(2), 177-181.
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Ajatusapua, lisää materiaalia ja lähteitä löytyy esimerkiksi Wikipediasta: https://en.wikipedia.org/wiki/Attitude_change#Cognitive_dissonance_theory https://en.wikipedia.org/wiki/Cognitive_dissonance

Asiantuntija muuttaa asenteita

Asiantuntija osaa asiansa ja viestinnän salat. Suostuttelevalla viestinnällä voidaan pyrkiä vaikuttamaan ihmisten asenteisiin ja käyttäytymiseen (Helkama ym. 2015, 199). Suostuttelu-guru Robert Cialdini on tutkinut aihetta paljon. Cialdinin mukaan suostuttelevassa viestinnässä kannattaa hyödyntää vastavuoroisuuden, niukkuuden, auktoriteetin, johdonmukaisuuden, tykkäämisen ja yksimielisyyden periaatteita (ks. lisätiedot lähteistä).

Esimerkiksi viesti menee paremmin perille, kun kuulija tietää kertojan olevan asiantuntija. Lisäksi auttaa, kun tietolähde on viehättävä tai miellyttävä (Helkama ym. 2015, 199).

Suostuttelevan viestinnän vaikutus asenteisiin on kuitenkin tilannesidonnaista. Vaikutus riippuu siitä, miten vastaanottaja käsittelee viestejä (Helkama ym. 2015, 199). Esimerkiksi ELM-mallin mukaan:

Jos henkilöllä on motivaatiota/kykyä käsitellä viestiä ja hän kokee, että aihetta tukevat perustelut ovat vahvoja, niin tästä muodostuu todennäköisemmin myönteisiä ajatuksia ja asennemuutosta.

Jos henkilöllä ei ole motivaatiota/kykyä käsitellä viestiä, niin esimerkiksi aiheen esittelijän asiantuntijuudella on suurempi merkitys. Henkilö saattaa luottaa asiantuntijan ilmaisemaan viestiin, mutta tästä johtuva asennemuutos voi jäädä pinnallisemmaksi. (Helkama ym. 2015, 199-203.)

Kun yllä kuvattuun näkökulmaan lisätään ripaus maalaisjärkeä, saadaan seuraava lopputulos. Asennemuutokseen pyrkivässä tietoturvakoulutuksessa kannattaa käyttää kouluttajaa, joka:

  • tunnistetaan alansa asiantuntijaksi,
  • käyttää esimerkkejä ja osoittaa muidenkin toimivan samalla tavalla, ja
  • perustelee asian työntekijän näkökulmasta mielenkiintoisesti.
  • Ja on lisäksi viehättävä?

Tämä oli kolmas osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Neljännessä osassa kerron tietoturva-asenteisiin vaikuttamisesta pakon ja kannustinten avulla.

Lähteet
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Suostuttelun periaatteista löytyy lisätietoja Cialdinin kirjoista, nettisivuilta ja Wikipediasta: Robert Cialdini.

Tietoturva-asenteisiin vaikuttaminen

Tietoturva-asenteet muodostuvat tunteista, tiedosta ja toiminnasta. Omaksuin tämän ajatuksen aikaisemmin, kun selvitin, mitä on asenne tietoturvassa. Erittäin lyhyiden sosiaalipsykologian opintojen perusteella arvelin, että tietoturva-asenteisiin vaikuttaminen tapahtuu vaikuttamalla tietoturvaan liittyviin tunteisiin, tietoturvatietoisuuteen sekä tietoturvalliseen toimintaan.

Tietoturvaan liittyviin tunteisiin vaikuttamisesta ensimmäinen ajatus on tietysti pelottelu. Kaikki me osaamme pelotella tietomurroilla, palvelunestohyökkäyksillä ja muilla möröillä. Uskon, että pelottelu johtaa lopulta ”ei kiinnosta, ihan sama” mielentilaan tai lamauttaa työnteon kokonaan. Mielestäni kannattaisi kertoa, kuinka hyvin onnistuimme suojautumaan haittaohjelmaepidemialta, ja minkä takia. Sitten, kun on oikeasti tarvetta varoittaa, niin varoituksetkin menevät paremmin perille?

Hyödyntämällä ns. tilannevihjeitä ja kertomalla työntekijälle, mitä muut tekevät, voidaan koittaa vaikuttaa työntekijän toimintaan (Helkama ym. 2015, 198). Käytännössä tätä voisi soveltaa esimerkiksi asettamalla työhuoneen ovelle kyltin ”Kollegasi muisti painaa Win+L poistuessaan koneeltaan.” Työhuoneen seinälle voisi laittaa myös tietoturvan tai tietosuojan huoneentaulun tms. infograafin, joka kertoo olennaiset asiat esimerkiksi työntekijän päivittäisten työtehtävien näkökulmasta.

Tietoturvallisia toimintamalleja voi levittää esimerkkien avulla. Näytä muille, että lukitset koneesi, käytät salasanojen hallintatyökaluja, luokittelet tiedostojasi, ”deebannaat” kovalevysi jne. Pyri esimerkin voimalla luomaan työympäristö, jossa tietoturvallisista toimintatavoista muodostuu rutiini ja odotettava toimintamalli. Näin muutkin työntekijät pyrkivät toimimaan vastaavalla tavalla? (ks. Helkama ym. 2015, 193: Sosiaalisen ympäristön balanssipyrkimys).


Tämä oli toinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Kolmannessa osassa kerron, miten tietoturva-asenteisiin voi vaikuttaa suostuttelevalla viestinnällä.

Kirjalähteen tiedot
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.