Tietoturvakoulutuksen kehittäminen oppilaitoksen henkilöstölle

Abstract

Opinnäytetyössä kehitettiin tietoturvakoulutus Kemi-Tornionlaakson koulutuskuntayhtymä Lappian henkilöstölle. Tavoitteena oli rakentaa helposti saavutettava ja käytäntöön jalkautuva verkkokoulutus, joka tukee henkilöstön tietoturvatietoisuuden sekä -osaamisen kehittymistä. Tutkimusongelmana oli selvittää, kuinka tietototurvakoulutuksesta saadaan sitouttava, kiinnostava ja käytäntöön jalkautuva.

Työ toteutettiin toiminnallisella kehittämismenetelmällä, jossa koulutuksen sisältö ja rakenne suunniteltiin yhteistyössä organisaation kanssa. Aineistona käytettiin organisaation omia asiakirjoja ja ohjeistuksien yleisen tietoturvamateriaalin lisäksi. Koulutuksen toteutuksessa painotettiin visuaalisia ja pelillisiä elementtejä, joilla pyrittiin lisäämään koulutuksen kiinnostavuutta ja jalkautumista käytäntöön.

Tietoturvakoulutus toteutettiin itsenäisesti suoritettavana verkkokoulutuksena ja se on osa toimeksiantajaorganisaation perehdytysprosessia. Sen tavoitteena on tukea tietoturvakulttuurin luomista organisaatioon. Toteutuksessa huomioitiin motivoiva puhe sekä visuaalisesti monipuolinen ja helppolukuinen sisältö. Koulutus on organisaation helposti päivitettävissä ja siinä oleva tieto helposti henkilöstön saatavilla kertausta varten. Koulutuksen vaikutusta arjen käytäntöihin voidaan mitata osaamistestin tuloksilla, palautteella sekä tietoturvarikkeiden ja tukipyyntöjen määrän seurannalla.

Työn johtopäätöksinä todetaan, että jatkuva, helposti saavutettava ja motivoiva tietoturvakoulutus tukee sekä tietoturvallisen kulttuurin kehittymistä organisaatiossa että arjen turvallisten toimintatapojen vakiintumista. Lisäksi organisaatiossa tulisi panostaa tietoturva-asiakirjojen säännölliseen tarkistamiseen ja niiden potentiaalin hyödyntämiseen perehdyttämisessä. Tietoturvallisen kulttuurin luomista voitaisiin koulutuksen lisäksi vahvistaa hyödyntämällä erilaisia tietoturvakampanjoita, kehittämispäiviä sekä palkitsemisjärjestelmiä.

The purpose of his thesis was to develop information security training for the personnel of the Kemi-Tornionlaakso Municipal Education and Training Consortium Lappia. The research question addressed how to create information security training that is engaging, interesting, and easily implementable in practice across the organization. The goal was to create accessible and practical online course to support personnels information security knowledge.

The thesis utilized a practice-based development methodology. The output was an accessible, self-paced online security training course, designed to support and reinforce personnel knowledge. The content of the training was made in collaboration with the commissioner, using the organization´s internal documentation and guidelines in addition to general information security training material.

The resulting online training became a part of personnels onboarding process. The course was created using motivational language, visually appealing elements, and principles from gamification to enhance engagement and retention. The impact of the training can be assessed by the results of the competency test included in the training, feedback, and by following the amount of helpdesk tickets regarding information security.

The main finding of the thesis is that the most effective way to create and support an organization´s information security culture is to utilize easily accessible, motivating and ongoing training. This training should be firmly established within the onboarding process and should regularly assess and utilize internal security documents. The thesis concludes that creating an information security culture is the most powerful method for embedding secure operating practices across the organization. Information security culture can be enforced by implementing information security campaigns, development days and integrated reward systems.