Yrityksen henkilöstö – merkittävä tietoturvauhka : Unileverin tietoturvakampanja

Abstract

Tämän HAAGA-HELIA ammattikorkeakoululle tehdyn produktityyppisen opinnäytetyön aiheena on yrityksen tietoturva ja siihen liittyvä muistutuskampanja. Opinnäytetyön produktina on yrityksen toimeksiannon perusteella kampanjaa varten tehty esitysmateriaali. Lisäksi produktiin kuuluu suunnitelma kampanjan toteutuksesta. Produkti esitellään opinnäytetyössä ja se on myös opinnäytetyön liitteenä. Sitä ei kuitenkaan yrityksen toivomuksesta jätetä liitteeksi arkistoitavaan kappaleeseen.

Opinnäytetyön viitekehyksenä on yrityksen tietoturva sekä siihen liittyvät termit. Yrityksen ja produktin kannalta vain merkittävimmät termit on otettu mukaan työhön. Teoriaosuuden perustana on vuonna 2007 tehty verkkokysely yritysten tietoturvasta. Kyselyyn osallistui 220 yritystä. Verkkokyselyn lisäksi lähdeaineistona on käytetty syksyllä 2011 julkaistun ruotsalaistutkimuksen tuloksia sekä alan kirjallisuutta ja muita ajankohtaisia julkaisuja.

Opinnäytetyön produkti on työnantajan toimeksianto. Kampanjan tarkoitus on parantaa yrityksen tietoturvaa muistuttamalla käyttäjiä yrityksen erilaisista tietoturvaan liittyvistä ohjeistuksista sekä tietoturvariskeistä, joita on sekä toimistossa että toimiston ulkopuolella. Yrityksestä toivottiin, että kampanjamateriaaliin käytettäisiin yrityksen globaalia, kesällä 2011 uudistettua tietoturvasivustoa.

Lähdeaineiston perusteella yritysten on aiheellista kiinnittää huomiota henkilöstön tietoturvaosaamiseen, sillä ei ole olemassa järjestelmiä, joilla kaikkia inhimillisiä virheitä voitaisiin estää. Henkilöstön kouluttamisella ja säännöllisillä muistutuksilla voidaan yrityksen tietoturvariskiä kuitenkin pienentää merkittävästi.

The subject of this thesis is corporate information security and it also involved an information security reminder campaign for the employer. The campaign consists of a large PowerPoint presentation, reminder slides, which will be shown at the employer’s offices in the Nordic countries, some reminder emails for employees and a plan how all the activities are scheduled. The employer’s material is attached for evaluation but it won’t be available in the archived version.

The frame of reference of this thesis is corporate information security and terminology around it. As there are lots of terms the most relevant ones, which are meaningful especially for this thesis or for the campaign, are explained in the theoretical part of the thesis.

The basis for the theory is an information security survey which was carried out in 2007 via the Internet. In total 220 companies answered to it. In addition to this survey one Swedish report from autumn 2011 and some literature together with other publications related to information security were used for this thesis.

The output of this thesis is the reminder campaign of information security which was commissioned by the employer. The purpose of this reminder campaign is to improve information security within the company by reminding users about the instructions, which are available for them, and about information security risks, which are found within and also outside the company. It was also a wish from the employer that the company’s global information security portal should be used for the campaign material. That portal was renewed in summer 2011.

The thesis concludes that companies need to pay attention to keeping the information security knowledge of their employees at least on a certain minimum level. There are no systems which can fully prevent human errors but with knowledge the risk can be reduced remarkably.