Kuluttaja-asiakaspalvelun tietoturvallisen työskentelyn kehittäminen

Abstract

Opinnäytetyön tarkoituksena oli kartoittaa yrityksen X kuluttaja-asiakaspalvelun henkilöstön tietoturvatietoisuutta sekä listata mahdolliset riskitekijät, joihin kyseinen yksikkö altistuu päivittäisessä työtehtävissä tietojärjestelmiin sekä asiakasdatan käsittelyyn liittyen. Tavoitteena on kehittää kohdeyrityksen henkilöstöturvallisuutta sekä minimoida itse henkilöstön työskentelystä johtuvat riskitekijät. Yrityksen kehityskohteena on ollut itse henkilöstön perehdyttäminen, jonka vuoksi tämä opinnäytetyö toimii yrityksen kehittämistavoitteiden tukena.

Tämän tapaustutkimuksen päätavoitteena on tuottaa kohdeyritykselle tietoa tietoturvauhkista henkilöstön päivittäisessä työssä. Tiedon sekä prosessin tavoitteena on luoda tarkoituksenmukaiset ja tehokkaat tavat kohdeyrityksen henkilöstön tietoturvallisen työskentelyn kehittämiseen koulutuksien sekä perehdyttämisen muodossa.

Opinnäytetyö toteutettiin työelämälähtöisenä projektina, jossa teoreettisena viitekehyksenä toimii Valtiovarainministeriön VAHTI- ohjeistukset sekä kirjallinen materiaali. Työ koostui neljästä osasta, johon kuuluivat: haastattelut, tutkimus, koulutus sekä arviointi. Koko opinnäytetyö toteutettiin yhteistyönä yrityksen tietoturvapäällikön sekä kohdeyksikön johdon kanssa.

Teknisen tietoturvallisuuden keskiössä on tietojärjestelmien käyttäjät eli itse henkilöstö. Henkilöstöturvallisuuteen kohdistuvien riskitekijöiden taustalla suurimpana tekijänä on käyttäjän ajattelemattomuus tai riittämätön tietoturvallinen tietotaito.

Asiasanat, Henkilöstöturvallisuus, tietoturva, riskienhallinta, koulutus, oppiminen

The purpose of this thesis is to find out personnel’s information security awareness and find out risks which can occur in daily work. The objective of this thesis is to improve personnel to work more safely and minimize information security risks. This thesis is meant to be supporting Company X’s needs to improve their personnel awareness which has been found as a development target.

The main object of this case study is to produce knowledge to the company X about possible information security risks within personnel. The object of the process and knowledge is to find out meaningful and efficient ways to improve personnel’s work with the help of awareness training and introduction.

The thesis was completed as a work-oriented functional project in which theoretical framework was based on the VAHTI- instructions of the Ministry of Finance and on literature. This project includes four parts which are interviews, research survey, awareness training and evaluation. The thesis was executed by co-operating with Company X’s Information Security Manager and target unit’s management team.

The core of technical information security is information systems users (personnel).The risk factors for personnel’s information security are mostly thoughtlessness or insufficient know-how of information security.

Keywords, personnel security, risk management, learning, awareness training