Organisaation tietoturvatietoisuuden kehittäminen
Tähtinen, Petri (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202504065782
https://urn.fi/URN:NBN:fi:amk-202504065782
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli selvittää organisaation tietoturva-tietoisuuden tasoa ja sen kehittämismahdollisuuksia. Työssä tutkittiin henkilöstön osaamista, asenteita ja käyttäytymistä tietoturvaan liittyen sekä näiden vaikutusta organisaation turvallisuuskulttuuriin. Tietoturvatietoisuus on keskeinen osa kokonaisturvallisuutta, sillä ihmiset ovat yhä merkittävämpi kyberuhkien kohde.
Tutkimus toteutettiin kvantitatiivisena kyselytutkimuksena hyödyntäen Human Aspects of Information Security Questionnaire (HAIS-Q) -mittaristoa, joka perustuu Knowledge–Attitude–Behaviour (KAB) -malliin. Mallin avulla tarkastellaan tietoturvaan liittyvän osaamisen, asenteiden ja käyttäytymisen yhteyksiä. Kyselylomake mukautettiin organisaation tarpeisiin, ja tulokset analysoitiin tilastollisesti.
Tulokset osoittivat, että henkilöstön osaaminen ja asenteet olivat hyvällä tasolla, mutta parhaiden käytäntöjen noudattaminen ei aina ollut systemaattista. Tämä havainto on linjassa aiempien tutkimusten kanssa, joissa on todettu, ettei tietoisuus ja asenteet yksinään riitä turvallisen käyttäytymisen varmistamiseksi. Johtopäätöksenä voidaan todeta, että tietoturvatietoisuuden vahvistaminen edellyttää jatkuvaa kehittämistä, selkeää viestintää ja tietoturvakulttuurin vahvistamista. Tutkimus tarjoaa käytännön suosituksia organisaation tietoturvakäytäntöjen kehittämiseksi. This thesis investigates the level of organizational information security awareness and identifies potential areas for enhancement. The study examines employee’s knowledge, attitudes, and behaviors regarding information security, as well as their influence on the overall security culture within the organization. Given the increasing targeting of individuals by cyber threats, elevating awareness is an essential aspect of comprehensive security measures.
For this research, a quantitative survey was conducted utilizing the Human Aspects of Information Security Questionnaire (HAIS-Q), which is grounded in the Knowledge–Attitude–Behavior (KAB) model. The survey was tailored to address the specific requirements of the organization, and the findings were subjected to statistical analysis.
The results indicated that while employees demonstrate strong knowledge and favorable attitudes towards information security, their adherence to established best practices remains inconsistent. This finding aligns with previous research suggesting that awareness and positive attitudes alone do not ensure secure behavior. To enhance information security awareness, it is imperative to emphasize continuous development, effective communication, and the cultivation of a robust security culture. The study concludes with practical recommendations aimed at improving security practices within the organization.
Tutkimus toteutettiin kvantitatiivisena kyselytutkimuksena hyödyntäen Human Aspects of Information Security Questionnaire (HAIS-Q) -mittaristoa, joka perustuu Knowledge–Attitude–Behaviour (KAB) -malliin. Mallin avulla tarkastellaan tietoturvaan liittyvän osaamisen, asenteiden ja käyttäytymisen yhteyksiä. Kyselylomake mukautettiin organisaation tarpeisiin, ja tulokset analysoitiin tilastollisesti.
Tulokset osoittivat, että henkilöstön osaaminen ja asenteet olivat hyvällä tasolla, mutta parhaiden käytäntöjen noudattaminen ei aina ollut systemaattista. Tämä havainto on linjassa aiempien tutkimusten kanssa, joissa on todettu, ettei tietoisuus ja asenteet yksinään riitä turvallisen käyttäytymisen varmistamiseksi. Johtopäätöksenä voidaan todeta, että tietoturvatietoisuuden vahvistaminen edellyttää jatkuvaa kehittämistä, selkeää viestintää ja tietoturvakulttuurin vahvistamista. Tutkimus tarjoaa käytännön suosituksia organisaation tietoturvakäytäntöjen kehittämiseksi.
For this research, a quantitative survey was conducted utilizing the Human Aspects of Information Security Questionnaire (HAIS-Q), which is grounded in the Knowledge–Attitude–Behavior (KAB) model. The survey was tailored to address the specific requirements of the organization, and the findings were subjected to statistical analysis.
The results indicated that while employees demonstrate strong knowledge and favorable attitudes towards information security, their adherence to established best practices remains inconsistent. This finding aligns with previous research suggesting that awareness and positive attitudes alone do not ensure secure behavior. To enhance information security awareness, it is imperative to emphasize continuous development, effective communication, and the cultivation of a robust security culture. The study concludes with practical recommendations aimed at improving security practices within the organization.