Ulkoministeriön tietoturvakäsikirja esimiehille
Virtanen, Matias (2018)
Virtanen, Matias
Laurea-ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018121120970
https://urn.fi/URN:NBN:fi:amk-2018121120970
Tiivistelmä
Opinnäytetyö kokoaa ulkoministeriön esimiesten käyttöön tietoturvallisuutta käsittelevän ohjeistuksen tietoturvakäsikirjan muodossa. Käsikirja on osa organisaation tietoturvatiimin vuoden 2016 tavoitteita, ja sen tarkoitus on tarjota esimiesasemassa oleville organisaation työntekijöille tiivis ja ajantasainen tietopaketti. Ohjeistus on kohdennettu tukemaan heitä heidän tietoturvarooleissaan.
Turvallisuuskulttuuri rakentuu johdon sitoutumisen pohjalta, esimiesten osoittamalla esimerkillä, turvallisuusasiantuntijoiden koordinoimana. Esimerkillä johtaminen turvallisuustyössä edellyttää esimiehiltä tietotaitoa ja ymmärrystä toimintakentästä. Se vaatii myös motivaatiota turvallisuustyöhön sekä työtä tukevia työkaluja. Tämä on haastavaa koska kyberturvallisuuden toimintakenttään liittyvät riskit ovat jatkuvassa muutosliikkeessä.
Esimiesten ja ylimmän johdon on otettava turvallisuus ja riskienhallinta huomioon kaikissa päätöksissään. Koko organisaation kattavan turvallisuusajattelun kehittyminen edellyttää että esimiehet sisäistävät tietoturvavastuunsa sekä hyväksyvät oman roolinsa turvallisuuskulttuurin kehittäjinä. Opinnäytetyön teoreettinen viitekehys hyödyntää teoriaa turvallisuuskulttuuriin vaikuttamisesta, tietoturvaohjeistuksen luomisessa ja hakee vastauksia siihen mitkä asiat haastavat esimiehiä heidän tietoturvaan liittyvien vastuidensa toteuttamisessa ja millainen on hyvä esimiehen tietoturvaohje.
Opinnäytetyössä haastateltiin neljää kohdeorganisaation esimiestehtävissä toimivaa virkamiestä, sekä haastateltiin viittä eri turvallisuusalan ja tietoturvallisuuden asiantuntijaa ja analysoitiin heidän ajatuksiaan laadullisen tutkimuksen keinoin. Tietoturvallisuuskäsikirjan muotoa ja sisältöä haettiin haastattelun ja kirjallisuuskatsauksen analysoinnin perusteella. Opinnäyte käsittelee myös vaihtoehtoisia tietoturvallisuuden oppimismuotoja, koska kirjoitettu ohjeistus on vain yksi työkalu turvallisuuskulttuurin kehittämisessä.
Opinnäytetyön tuloksena syntynyt ohjeistus toimii toimintaa tukevana turvallisuusdokumenttina kohdeorganisaation käytössä. Saatavuuden ja päivitettävyyden takaamiseksi tietoturvakäsikirjasta luotiin sisäverkossa toimiva Wiki-aineisto. Ohjeistuksen formaatiksi muodostui lukijaansa puhutteleva ja tavanomaisesta tiukan asialinjaisesta turvallisuusohjeesta poikkeava konstruktio, joka tarjoaa case-esimerkkejä sekä tarkistuslistoja sekä haastaa esimiehiä keskustelemaan tietoturvallisuuden eri osa-alueista työyhteisössään. Toisena opinnäytetyön konstruktiona rakentui konsepti “Edustuston tietoturvapeli”, jossa interaktiivisen pelillistämisen keinoin kehitetään esimiesvetoisesti henkilöstön turvallisuustietoisuutta.
Turvallisuuskulttuuri rakentuu johdon sitoutumisen pohjalta, esimiesten osoittamalla esimerkillä, turvallisuusasiantuntijoiden koordinoimana. Esimerkillä johtaminen turvallisuustyössä edellyttää esimiehiltä tietotaitoa ja ymmärrystä toimintakentästä. Se vaatii myös motivaatiota turvallisuustyöhön sekä työtä tukevia työkaluja. Tämä on haastavaa koska kyberturvallisuuden toimintakenttään liittyvät riskit ovat jatkuvassa muutosliikkeessä.
Esimiesten ja ylimmän johdon on otettava turvallisuus ja riskienhallinta huomioon kaikissa päätöksissään. Koko organisaation kattavan turvallisuusajattelun kehittyminen edellyttää että esimiehet sisäistävät tietoturvavastuunsa sekä hyväksyvät oman roolinsa turvallisuuskulttuurin kehittäjinä. Opinnäytetyön teoreettinen viitekehys hyödyntää teoriaa turvallisuuskulttuuriin vaikuttamisesta, tietoturvaohjeistuksen luomisessa ja hakee vastauksia siihen mitkä asiat haastavat esimiehiä heidän tietoturvaan liittyvien vastuidensa toteuttamisessa ja millainen on hyvä esimiehen tietoturvaohje.
Opinnäytetyössä haastateltiin neljää kohdeorganisaation esimiestehtävissä toimivaa virkamiestä, sekä haastateltiin viittä eri turvallisuusalan ja tietoturvallisuuden asiantuntijaa ja analysoitiin heidän ajatuksiaan laadullisen tutkimuksen keinoin. Tietoturvallisuuskäsikirjan muotoa ja sisältöä haettiin haastattelun ja kirjallisuuskatsauksen analysoinnin perusteella. Opinnäyte käsittelee myös vaihtoehtoisia tietoturvallisuuden oppimismuotoja, koska kirjoitettu ohjeistus on vain yksi työkalu turvallisuuskulttuurin kehittämisessä.
Opinnäytetyön tuloksena syntynyt ohjeistus toimii toimintaa tukevana turvallisuusdokumenttina kohdeorganisaation käytössä. Saatavuuden ja päivitettävyyden takaamiseksi tietoturvakäsikirjasta luotiin sisäverkossa toimiva Wiki-aineisto. Ohjeistuksen formaatiksi muodostui lukijaansa puhutteleva ja tavanomaisesta tiukan asialinjaisesta turvallisuusohjeesta poikkeava konstruktio, joka tarjoaa case-esimerkkejä sekä tarkistuslistoja sekä haastaa esimiehiä keskustelemaan tietoturvallisuuden eri osa-alueista työyhteisössään. Toisena opinnäytetyön konstruktiona rakentui konsepti “Edustuston tietoturvapeli”, jossa interaktiivisen pelillistämisen keinoin kehitetään esimiesvetoisesti henkilöstön turvallisuustietoisuutta.