Mitä on asenne tietoturvassa?

Paasaan paljon tietoturva-asenteista. Tarkoituksenani on muuttaa suomalaisten tietoturva-asenteita positiivisempaan suuntaan. Aloin kuitenkin pohtimaan, mitä asenne oikeastaan edes tarkoittaa?

Kaikkihan me sen toisaalta tiedämme. Maalaisjärjellä kuvailtuna se on sitä jotain, miten ihmiset suhtautuvat eri asioihin. ”Kaikki alkaa oikeasta asenteesta” tai ”sinulla on ihan väärä asenne.”

Eli siis mikä? Mitä tai mikä minulla on oikein tai väärin?

Päätin selvittää, mitä asenteella tarkoitetaan. Ja olipahan urakka. Ei ole nimittäin ihan se helpoin kokonaisuus, kun aihetta purkaa osiin. Kirjoitin oppimispäiväkirjatyyppisesti viisi erillistä blogipostausta asiasta. Tämä on ensimmäinen.

Asenne käsitteenä

Selvitin ensimmäiseksi asenteen käsitettä. Nettiä selaamalla selvisi, että lienee järkevämpää poimia kirjastosta sosiaalipsykologiaa käsittelevää kirjallisuutta. Hyvää materiaalia löytyi mm. kirjasta ”Johdatus sosiaalipsykologiaan” (Helkama ym. 2015).

Kirjan sanaston (Helkama ym. 2015, 356) mukaan asenne on ”Johonkin sosiaalisesti merkitykselliseen kohteeseen liittyvä myönteinen tai kielteinen suhtautumistapa”. Tekstiosassa (s. 190) käsite kytketään saksan kielen sanaan Einstellung, jolla tarkoitetaan ”…paitsi asennetta myös valmiutta ja usein kokonaisvaltaista suhtautumista johonkin kohteeseen”.

Käsite voidaan myös purkaa osiin, kuten tietoturvakin. Tietoturvan sanotaan muodostuvan tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta. Vastaavasti asenne muodostuu tunteesta, ajatuksesta ja toiminnasta (Helkama ym. 2015, 190). Psykologinen pääoma -blogissa käsite kiteytetään vielä paremmin: asenne on tunnetta, tietoa ja toimintaa. Hyvä kiteytys. Pidän tästä!

Asennebloggausta?

Minulla oli tässä blogissa aikoinaan erillinen Asenne-kategoria. Päädyin poistamaan sen. Huomasin, että lähes jokainen blogipostaus meni siihen kategoriaan. Kyseessä oli kokonaisuus, johon kuului vähän kaikki. Ymmärrän nyt paremmin, miksi kategorian koko kasvoi jatkuvasti.

Jaan blogissani tietoturvaan liittyviä vinkkejä, faktoja ja mielipiteitä. Nämä mahdollistavat sen, että lukijan tiedot karttuvat ja toiminta muuttuu. Ehkä tässä on tunteisiinkin vedottu. Toivottavasti positiivisella tavalla!


Tämä oli ensimmäinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Toisessa osassa kerron alustavia ajatuksiani tietoturva-asenteisiin vaikuttamisesta.

Kirjalähteen tiedot
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.

GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.

EU:n tietosuoja-asetus: aloita tästä

EU:n tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan toukokuussa 2016 ja sitä sovelletaan 25.5.2018 lähtien. Kiinnostus aiheen ympärillä kasvaa tasaiseen tahtiin ja syytä olisikin. Ns. siirtymäajasta on enää alle puolet jäljellä, joten yritysten kannattaa edistää asiaa myös kesällä.

Internetissä on luettavissa paljon hyviä blogipostauksia ja muita lähteitä usealla eri kielellä. Aloita tietosuoja-asetukseen tutustuminen lukemalla nämä:

Suosittelen lisäksi seuraamaan aktiivisesti tietosuojavaltuutetun sekä WP29-tietosuojaryhmän sivustoja, joihin päivitetään olennaisia asioita tietosuoja-asetukseen liittyen. Kannattaa tutustua myös ICO:n sivustoon ja sieltä erityisesti kohtaan GDPR: 12 steps to take now.

Viisi harvinaisempaa faktaa tietoturvasta

Ohessa on muutama harvinaisempi fakta tietoturvasta. Poimin ne Petteri Järvisen pitämästä koulutuksesta Tietoturvaa yrityskäyttäjille. Koulutuksen organisoi Turun kauppakamari. Koko päivän kestäneessä koulutuksessa nousi esiin monia olennaisia tietoturvaan liittyviä huomioita ja vinkkejä. Suosittelen!

Mukavuus kertaa turvallisuus on vakio

Petterin mukaan tietoturvallisuuden keskeinen periaate on: mukavuus x turvallisuus = vakio.

Käytännössä tarkoittaa sitä, että turvallisuutta lisättäessä joutuu tinkimään mukavuudesta. Asiasta on kerrottu käytännössä esimerkiksi Mikrobitissä julkaistussa älypuhelimen tietoturvaoppaassa sekä Petterin blogissa julkaistussa salasanat ovat psykologiaa -postauksessa.

Tietoturva on maalaisjärkeä

”Miten saadaan ihmiset olemaan hölmöilemättä?” Esimerkiksi ”varmuuskopioiden ottaminen on nykyään niin helppoa, että jos tiedostoja kadottaa, ei voi kuin itseään syyttää.”

Toinen hyvä esimerkki on virustorjunta. Siihen luotetaan aivan liikaa. Paraskaan virustorjunta ei pysty suojaamaan ihmistä itseltään. Petterin mukaan ”On pienempi riski jättää sähköpostin liite avaamatta, kuin avata se epävarmassa tilanteessa.” Pitää täysin paikkaansa. Vähän kuitenkin kiinnostaisi tietää, mitä siinä liitteessä on…jos näin on, niin ota yhteyttä lähettäjään, ja kysy.

Tietoturva on kansalaisvelvollisuus

Kansalaisten IoT-laitteita käytetään verkkohyökkäysten tukena. Tietoturvasta huolehtiminen on siis kansalaisvelvollisuus. Petteri tiivisti asian erittäin hyvin näin: ”90-luvulla tietoturva oli yritysasia, 2000-luvulla henkilökohtainen asia, 2010 luvulla kansallinen asia.”

Salasanasäännöt ovat hölmöjä

Tietoturva-asiantuntijat jaksavat horista samoja salasanavinkkejä jatkuvasti. Pitää olla tarpeeksi monimutkainen, pitkä, vaikeasti arvattava, useasti vaihdettava jne. ”Jos yritysten tietohallinto ei itse pysty noudattamaan salasanasääntöjä, miten sitä voi velvoittaa käyttäjiltä?” Nykyiset salasanasäännöt on hölmöjä. Riittäisikö se, että salasana on eri joka palvelussa? Salasanojen muistamista unohtamista voi helpottaa esimerkiksi KeePass-ohjelmalla.

Lukkoon ei voi luottaa

Kaikki tietävät, että nettiselailu on turvallista, kun selainrivillä on lukon kuva. Paitsi, että näin ei ole! ”Lukko ei takaa turvallisuutta, vain salauksen.” Mikä estää hämärähemmoja suojaamasta yhteyksiään? Lukon yhteyteen liitetty sertifikaatti kertoo, kenellä on lukon avaimet.

Vinkit perustuvat koulutuksen antiin. Olen pyrkinyt erottelemaan suorat lainaukset tekstin seasta.