Security training gap analysis in Company X
Forsell, Annette (2018)
Forsell, Annette
Laurea-ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018121721876
https://urn.fi/URN:NBN:fi:amk-2018121721876
Tiivistelmä
Tämä opinnäytetyö on toteutettu tapaustutkimuksena ja työn toimeksiantajana toimivaa yritystä kutsutaan tutkimuksessa nimellä Yritys X. Tämän tutkimuksen tavoitteena on määrittää mahdolliset kuilut toimeksiantajayrityksen turvallisuuskoulutusjärjestelmän nyky- ja tavoitetilan välillä käyttäen kuiluanalyysin metodologiaa. Kuilut nähdään kehitysmahdollisuuksina, jotka täyttämällä yritys voi jatkossa varmistua siitä, että heidän turvallisuuskoulutuksensa on vaatimustenmukainen.
Yrityksen turvallisuuskoulutuksen nykytilatutkimuksen tavoitteena on selvittää, miten kattava nykyinen koulutusjärjestelmä on. Nykytilatutkimukseen on käytetty yrityksen työntekijöille suunnattua määrällistä verkkokyselyä, haastattelemalla neljää esimiestä ja analysoimalla yrityksen nykyisiä koulutusmateriaaleja. Turvallisuuskoulutuksen tavoitetila on määritelty käyttämällä sisällönanalyysia tutkittaessa valikoituja lakeja, turvallisuusstandardeja ja -ohjeita. Tutkimuksen teoreettisen viitekehyksen muodostavat tavoitetilatutkimuksessa käytetyt lähteet sekä yritysturvallisuuden aspektit, menestykselliseksi todetut turvallisuuskoulutusjärjestelmät ja pedagogiikan perusteet.
Nykytilatutkimus osoittaa, että yrityksen työntekijät ovat kiinnostuneita omasta ja työnantajansa turvallisuudesta. Toimeksiantajayritys kouluttaa työntekijöilleen turvallisuusasioita, mutta koulutus keskittyy uusiin työntekijöihin ja nykyisten työntekijöiden vapaaehtoiseen osallistumiseen. Yrityksen vuosittainen turvallisuuskoulutus järjestetään tällä hetkellä siten, että työntekijöitä pyydetään lukemaan yrityksen Turvakansio ja kuittaamaan nimensä lomakkeeseen, että ovat lukeneet ja ymmärtäneet kansion sisällön.
Kuiluanalyysin avulla pystyttiin löytämään kehitysmahdollisuuksia yrityksen turvallisuuskoulutusjärjestelmästä. Yritykselle suositellaan, että se tarjoaa jatkossa työntekijöilleen säännöllisempää turvallisuuskoulutusta ja ajankohtaisia päivityksiä liittyen turvallisuuteen. Kuiluanalyysilla pystyttiin myös identifioimaan vaadittuja aiheita, jotka eivät kuulu nykyiseen koulutusjärjestelmään. Aiheet ovat etätyöpolitiikka, mobiililaitepolitiikka, kryptografiapolitiikka ja uhka haittaohjelmista. Edellä mainitut aiheet suositellaan lisättäväksi osaksi yrityksen turvallisuuskoulutusjärjestelmää, jotta se on jatkossa vaatimustenmukainen.
Yrityksen turvallisuuskoulutuksen nykytilatutkimuksen tavoitteena on selvittää, miten kattava nykyinen koulutusjärjestelmä on. Nykytilatutkimukseen on käytetty yrityksen työntekijöille suunnattua määrällistä verkkokyselyä, haastattelemalla neljää esimiestä ja analysoimalla yrityksen nykyisiä koulutusmateriaaleja. Turvallisuuskoulutuksen tavoitetila on määritelty käyttämällä sisällönanalyysia tutkittaessa valikoituja lakeja, turvallisuusstandardeja ja -ohjeita. Tutkimuksen teoreettisen viitekehyksen muodostavat tavoitetilatutkimuksessa käytetyt lähteet sekä yritysturvallisuuden aspektit, menestykselliseksi todetut turvallisuuskoulutusjärjestelmät ja pedagogiikan perusteet.
Nykytilatutkimus osoittaa, että yrityksen työntekijät ovat kiinnostuneita omasta ja työnantajansa turvallisuudesta. Toimeksiantajayritys kouluttaa työntekijöilleen turvallisuusasioita, mutta koulutus keskittyy uusiin työntekijöihin ja nykyisten työntekijöiden vapaaehtoiseen osallistumiseen. Yrityksen vuosittainen turvallisuuskoulutus järjestetään tällä hetkellä siten, että työntekijöitä pyydetään lukemaan yrityksen Turvakansio ja kuittaamaan nimensä lomakkeeseen, että ovat lukeneet ja ymmärtäneet kansion sisällön.
Kuiluanalyysin avulla pystyttiin löytämään kehitysmahdollisuuksia yrityksen turvallisuuskoulutusjärjestelmästä. Yritykselle suositellaan, että se tarjoaa jatkossa työntekijöilleen säännöllisempää turvallisuuskoulutusta ja ajankohtaisia päivityksiä liittyen turvallisuuteen. Kuiluanalyysilla pystyttiin myös identifioimaan vaadittuja aiheita, jotka eivät kuulu nykyiseen koulutusjärjestelmään. Aiheet ovat etätyöpolitiikka, mobiililaitepolitiikka, kryptografiapolitiikka ja uhka haittaohjelmista. Edellä mainitut aiheet suositellaan lisättäväksi osaksi yrityksen turvallisuuskoulutusjärjestelmää, jotta se on jatkossa vaatimustenmukainen.