Väitös 17.2.2022: Tietoturvaloukkauksista ei voi aina syyttää käyttäjää – väitöstutkimus listaa keinoja yritysten tietoturvasääntöjen parantamiseen

Työntekijät käsittelevät yritysten toiminnalle keskeistä tietoa päivittäin ja ovat siksi keskeisessä roolissa myös tietoturvan ja yrityksien toiminnalle tärkeän tiedon suojelussa. Yritysten tietoturvallisuutta pyritään ohjamaan tietoturvapolitiikalla, jotta toiminta olisi yhtenäistä ja hallittavaa. Teknisillä suojauskeinoilla voidaan tehdä paljon tiedon suojaamiseksi, mutta usein juuri ihminen on tietoturvan heikoin lenkki.

– Ihmiset voivat vesittää suojauskeinot esimerkiksi käyttämällä heikkoja salasanoja tai jakamalla tietoa ulos tulosteina järjestelmistä. Perinteisesti tätä ongelmaa on lähestytty pyrkimällä kontrolloimaan työntekijöitä entistä tiukemmin esimerkiksi sanktioilla. Voisiko kuitenkin olla, että sääntöjä rikotaan, koska niiden noudattaminen on ongelmallista, Hanna Paananen kysyy.

Paananen esittää väitöskirjassaan, että yritysten tietoturvapolitiikan luomisessa tulisi ottaa paremmin huomioon se, että työntekijät tekevät haastaviakin moraalisia valintoja sääntöjä noudattaessaan.

– Tämä voi ilmetä esimerkiksi niin, että työntekijä priorisoi työtehtävien suorittamisen tietoturvan edelle, mikäli niiden vaatimukset ovat ristiriidassa. Tällaisten tilanteiden välttämiseksi huomio on suunnattava tietoturvasääntöihin sekä siihen, miten niitä luodaan. Tietoturvapolitiikat on luotava sellaisiksi, että ne tukevat organisaation ja sen jäsenten toimintaa ja ovat linjassa heidän tavoitteidensa kanssa, Paananen kertoo.

Väitöskirjassa listataan 11 näkökulmaa paremman tietoturvapolitiikan rakentamiseen

Yrityksen tietoturvapolitiikan laatimisen tueksi on olemassa monenlaisia yleisiä ohjeita ja standardeja. Paanasen mukaan tietoturvapolitiikan laatimisessa on kuitenkin hyvä käyttää kriittistä ajattelua, jotta yritysten yksilölliset tarpeet voidaan ohjeistuksessa ottaa paremmin huomioon.

– Jos yrityksen tietoturvapolitiikan laadinnassa nojaudutaan liikaa valmiisiin ohjeisiin tai standardeihin, ne eivät välttämättä vastaa juuri niihin riskeihin, jotka toteutuessaan vaikuttaisivat pahimmin yrityksen toimintaan, Paananen sanoo.

Paanasen väitöskirjassa on esitelty kaikkiaan 11 kriittistä näkökulmaa, joiden on tarkoitus ohjata tietoturvapolitiikan tekijän ajattelua kohti organisaation tarpeisiin sopivien sääntöjen luomista.

– Tärkeitä näkökulmia ovat esimerkiksi se, onko tietoturvan vaatimukset määritelty yrityksen omista lähtökohdista vai kopioitu yleisistä ohjeista, onko tunnistettu henkilöt, joiden työhön tietoturvapolitiikka vaikuttaa ja miten tietoturvapolitiikka kytkeytyy yrityksen prosesseihin.

Jos työntekijöiden ja muiden sidosryhmien näkökulmia ei oteta suunnitteluvaiheessa riittävällä tarkkuudella huomioon, on Paanasen mukaan vaarana, että sääntöjä kierretään, koska ne ovat esimerkiksi ristiriidassa työtehtävien tehokkaan suorittamisen kanssa.

Tutkimuksessa huomattiin, että paikallisten käytäntöjen luominen tietoturvapolitiikan kehittämiseen voi olla haastavaa mutta johtaa sellaiseen politiikkaan, jonka säännöt ovat työntekijöiden näkökulmasta organisaation toimintatapoihin sopivia. Kun säännöt on luotu työntekijöiden avustuksella, on kaikille paremmin selvää, mihin säännöllä pyritään ja miten niitä sovelletaan arjessa.

KTM Hanna Paanasen väitöskirja ”Information security policy development – Considering the practices of making rules” tarkastetaan 17.2.2023 klo 12.00 Jyväskylän yliopiston salissa Agora-rakennuksen Auditorio 2:ssa. Vastaväittäjänä toimii professori João Baptista (University of Lancaster) ja kustoksena professori Mikko Siponen (Jyväskylän yliopisto). Väitöstilaisuuden kieli on englanti.

Yleisö voi seurata väitöstilaisuutta väitössalissa (Agora Auditorio 2) tai verkkovälitteisesti osoitteessa: https://r.jyu.fi/dissertation-paananen-170223