Tietoturvatietoisuuden kehittäminen organisaatiossa

Abstract

Opinnäytetyön päätavoitteena on selvittää kohdeorganisaation tietoturvallisuuden nykytilaa, jotta voidaan kehittää kohdeorganisaatiossa annettavaa tietoturvallisuuskoulutusta niin, että henkilöstö olisi motivoitunutta koulutukseen sekä kokisi tietoturvallisuuden tärkeäksi ja sitoutuisi toiminnassaan noudattamaan annettuja ohjeita ja toimintatapoja.

Opinnäyteyön toteutuksessa on käytetty työelämälähtöistä kvalitatiivista tapaustutkimusta. Opinnäytetyö koostuu kirjallisuusaineistosta, kohdeorganisaation henkilöstölle tehdystä kyselystä ja havainnoinnista kohdeorganisaatiossa. Organisaatiossa ei ole aikaisemmin tehty tieto-turvatietoisuuteen liittyvää tutkimusta.

Kyselylomake koostuu neljästä osa-alueesta; tietoturvallisuusasenteet ja – tietoisuus, tieto-turvallisuusjohtaminen, oma toiminta ja avoimista kysymyksistä. Kysely lähetettiin sähköpostilla kohdeorganisaation koko henkilöstölle yhteensä 327 henkilölle. Kyselyyn vastasi 87 henkilöä. Kyselyyn vastattiin anonyymisti eli vastaajia ei voitu tunnistaa.

Havainnoinnilla tuettiin kyselyä, koska ei voitu olla varmoja siitä, kuinka avoimesti ihmiset vastaavat omaa toimintaansa koskeviin kysymyksiin

Kyselyn ja havainnoinnin perusteella suurimmiksi haasteiksi ja kehityskohteiksi nousivat henkilöstön asenteet ja suhtautuminen tietoturvallisuuteen, koulutuksen puute sekä työssä käytettävät useat tietojärjestelmät, jotka tarvitsevat kirjautumisen yhteydessä käyttäjätunnusta sekä salasanaa. Kyselyn tulokset antoivat hyvän pohjan tietoturvallisuuskoulutuksen kehittämiselle organisaatiossa.

Developing information security awareness in an organization

The main objective of this thesis is to clarify the current state of the target organization’s information security, so that information security training given within the organization can be improved, and so that the staff should be motivated towards the training and feel information security to be highly important as well as be committed to be complying with the given guidelines and practices in their work.

When completing this thesis, a work place-oriented qualitative case study was used. The thesis consists of literary material, a questionnaire designed for the target organization’s staff, and of the personal observations within the organization. The organization has not participated in an information security awareness related study before.

The questionnaire consists of four areas: information security awareness and attitudes towards it, information security management and open questions. The questionnaire was sent to the entire staff of the organization, 327 persons in total, via e-mail. 87 employees answered the questionnaire. The questionnaire was answered anonymously, i.e. the participants could not be identified.

The personal observation was designed to support the questionnaire because it could not be guaranteed how openly the participants answered the questions concerning their own actions.

Based on the questionnaire and observation, the major challenges and targets of development were found in the staff’s approaches and attitudes towards information security, the lack of training and the multiple information databases used in the organization, which all require a username and a password when logging in the program. The results of the questionnaire gave a good base for developing information security in an organization.