Tietoturva-asenteisiin vaikuttaminen

Tietoturva-asenteet muodostuvat tunteista, tiedosta ja toiminnasta. Omaksuin tämän ajatuksen aikaisemmin, kun selvitin, mitä on asenne tietoturvassa. Erittäin lyhyiden sosiaalipsykologian opintojen perusteella arvelin, että tietoturva-asenteisiin vaikuttaminen tapahtuu vaikuttamalla tietoturvaan liittyviin tunteisiin, tietoturvatietoisuuteen sekä tietoturvalliseen toimintaan.

Tietoturvaan liittyviin tunteisiin vaikuttamisesta ensimmäinen ajatus on tietysti pelottelu. Kaikki me osaamme pelotella tietomurroilla, palvelunestohyökkäyksillä ja muilla möröillä. Uskon, että pelottelu johtaa lopulta ”ei kiinnosta, ihan sama” mielentilaan tai lamauttaa työnteon kokonaan. Mielestäni kannattaisi kertoa, kuinka hyvin onnistuimme suojautumaan haittaohjelmaepidemialta, ja minkä takia. Sitten, kun on oikeasti tarvetta varoittaa, niin varoituksetkin menevät paremmin perille?

Hyödyntämällä ns. tilannevihjeitä ja kertomalla työntekijälle, mitä muut tekevät, voidaan koittaa vaikuttaa työntekijän toimintaan (Helkama ym. 2015, 198). Käytännössä tätä voisi soveltaa esimerkiksi asettamalla työhuoneen ovelle kyltin ”Kollegasi muisti painaa Win+L poistuessaan koneeltaan.” Työhuoneen seinälle voisi laittaa myös tietoturvan tai tietosuojan huoneentaulun tms. infograafin, joka kertoo olennaiset asiat esimerkiksi työntekijän päivittäisten työtehtävien näkökulmasta.

Tietoturvallisia toimintamalleja voi levittää esimerkkien avulla. Näytä muille, että lukitset koneesi, käytät salasanojen hallintatyökaluja, luokittelet tiedostojasi, ”deebannaat” kovalevysi jne. Pyri esimerkin voimalla luomaan työympäristö, jossa tietoturvallisista toimintatavoista muodostuu rutiini ja odotettava toimintamalli. Näin muutkin työntekijät pyrkivät toimimaan vastaavalla tavalla? (ks. Helkama ym. 2015, 193: Sosiaalisen ympäristön balanssipyrkimys).


Tämä oli toinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Kolmannessa osassa kerron, miten tietoturva-asenteisiin voi vaikuttaa suostuttelevalla viestinnällä.

Kirjalähteen tiedot
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.

Mitä on asenne tietoturvassa?

Paasaan paljon tietoturva-asenteista. Tarkoituksenani on muuttaa suomalaisten tietoturva-asenteita positiivisempaan suuntaan. Aloin kuitenkin pohtimaan, mitä asenne oikeastaan edes tarkoittaa?

Kaikkihan me sen toisaalta tiedämme. Maalaisjärjellä kuvailtuna se on sitä jotain, miten ihmiset suhtautuvat eri asioihin. ”Kaikki alkaa oikeasta asenteesta” tai ”sinulla on ihan väärä asenne.”

Eli siis mikä? Mitä tai mikä minulla on oikein tai väärin?

Päätin selvittää, mitä asenteella tarkoitetaan. Ja olipahan urakka. Ei ole nimittäin ihan se helpoin kokonaisuus, kun aihetta purkaa osiin. Kirjoitin oppimispäiväkirjatyyppisesti viisi erillistä blogipostausta asiasta. Tämä on ensimmäinen.

Asenne käsitteenä

Selvitin ensimmäiseksi asenteen käsitettä. Nettiä selaamalla selvisi, että lienee järkevämpää poimia kirjastosta sosiaalipsykologiaa käsittelevää kirjallisuutta. Hyvää materiaalia löytyi mm. kirjasta ”Johdatus sosiaalipsykologiaan” (Helkama ym. 2015).

Kirjan sanaston (Helkama ym. 2015, 356) mukaan asenne on ”Johonkin sosiaalisesti merkitykselliseen kohteeseen liittyvä myönteinen tai kielteinen suhtautumistapa”. Tekstiosassa (s. 190) käsite kytketään saksan kielen sanaan Einstellung, jolla tarkoitetaan ”…paitsi asennetta myös valmiutta ja usein kokonaisvaltaista suhtautumista johonkin kohteeseen”.

Käsite voidaan myös purkaa osiin, kuten tietoturvakin. Tietoturvan sanotaan muodostuvan tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta. Vastaavasti asenne muodostuu tunteesta, ajatuksesta ja toiminnasta (Helkama ym. 2015, 190). Psykologinen pääoma -blogissa käsite kiteytetään vielä paremmin: asenne on tunnetta, tietoa ja toimintaa. Hyvä kiteytys. Pidän tästä!

Asennebloggausta?

Minulla oli tässä blogissa aikoinaan erillinen Asenne-kategoria. Päädyin poistamaan sen. Huomasin, että lähes jokainen blogipostaus meni siihen kategoriaan. Kyseessä oli kokonaisuus, johon kuului vähän kaikki. Ymmärrän nyt paremmin, miksi kategorian koko kasvoi jatkuvasti.

Jaan blogissani tietoturvaan liittyviä vinkkejä, faktoja ja mielipiteitä. Nämä mahdollistavat sen, että lukijan tiedot karttuvat ja toiminta muuttuu. Ehkä tässä on tunteisiinkin vedottu. Toivottavasti positiivisella tavalla!


Tämä oli ensimmäinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Toisessa osassa kerron alustavia ajatuksiani tietoturva-asenteisiin vaikuttamisesta.

Kirjalähteen tiedot
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.

GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.

EU:n tietosuoja-asetus: aloita tästä

EU:n tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan toukokuussa 2016 ja sitä sovelletaan 25.5.2018 lähtien. Kiinnostus aiheen ympärillä kasvaa tasaiseen tahtiin ja syytä olisikin. Ns. siirtymäajasta on enää alle puolet jäljellä, joten yritysten kannattaa edistää asiaa myös kesällä.

Internetissä on luettavissa paljon hyviä blogipostauksia ja muita lähteitä usealla eri kielellä. Aloita tietosuoja-asetukseen tutustuminen lukemalla nämä:

Suosittelen lisäksi seuraamaan aktiivisesti tietosuojavaltuutetun sekä WP29-tietosuojaryhmän sivustoja, joihin päivitetään olennaisia asioita tietosuoja-asetukseen liittyen. Kannattaa tutustua myös ICO:n sivustoon ja sieltä erityisesti kohtaan GDPR: 12 steps to take now.