Yrityksen X tietoturvallisuuskoulutuksen kehittäminen
Arifullen, Toni; Hokkanen, Sofia (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202601261783
https://urn.fi/URN:NBN:fi:amk-202601261783
Tiivistelmä
Opinnäytetyön tarkoituksena oli kehittää toimeksiantajayrityksen tietoturvallisuuskoulutusta vastaamaan muuttuneita lainsäädännöllisiä vaatimuksia sekä nykyajan työelämän tarpeita. Toimeksiantajana toimi laivaliikenteen toimialalla oleva yritys, jolla oli tarpeena kehittää ja vahvistaa henkilöstön tietoturvallisuusosaamista ja parantaa samalla organisaation kokonaisturvallisuutta. Tavoitteena oli luoda yrityksen tavoitteleman kolmiportaisen tietoturvallisuuskoulutusmallin toinen taso, joka toimisi saavutettavissa olevana kanavana, johon voi palata ja saada päivitettyä tietoa.
Opinnäytetyön teoreettinen viitekehys rakentui tietoturvallisuuden ja kyberturvallisuuden tutkimuksesta, painottaen erityisesti inhimillisten tekijöiden merkitystä, tietoturvallisuustietoisuutta ja -kulttuuria sekä organisaation riskienhallintaa. Lisäksi hyödynnettiin oppimisen ja aikuiskoulutuksen teorioita, psykologisen turvallisuuden käsitettä ja merkitystä sekä perehdytyksen ja sosiaalistumisen näkökulmia. Työssä huomioitiin myös keskeistä sääntelyä ohjaavat standardit, kuten GDPR, NIS2-direktiivi ja ISO/IEC 27001, jotka asettavat konkreettisia vaatimuksia organisaatioiden tietoturvallisuuskäytännöille ja henkilöstön osaamiselle.
Opinnäytetyö toteutettiin laadullisena kehittämistyönä, jossa aineisto kerättiin dokumenttianalyysin, tietopyynnön sekä teemahaastattelujen avulla. Aineiston analyysissa hyödynnettiin sisällönanalyysiä, joilla muodostettiin kokonaiskuva toimeksiantajayrityksen tietoturvallisuuskoulutuksen nykytilasta, tunnistettiin keskeisimmät kehittämistarpeet ja määriteltiin koulutusmallin sisältöä ohjaavat painopisteet.
Tuotoksena syntyi luonnos koulutusmallista. Malliin sisältyi jäsennelty roolipohjainen ratkaisu ohjeiden ja dokumenttien löytämiseksi, yhtenäistetty poikkeamailmoituskanava, ajankohtainen uutissyöte sekä keskustelu- ja kysymysfoorumi, joiden tarkoitus on tukea jatkuvaa oppimista ja samalla madaltaa kynnystä tietoturvallisuuteen liittyvien asioiden käsittelyyn. Koulutusmalli suunniteltiin saavutettavaksi ja päivitettäväksi kokonaisuudeksi, johon työntekijät voivat palata aina tarpeensa mukaan uudelleen. Koulutusmallin arvioitiin tukevan organisaation tietoturvallisuuskulttuurin vahvistumista ja lisäävän henkilöstön valmiuksia toimia tietoturvallisesti arjen työtilanteissa, sillä vaikuttava tietoturvallisuuskoulutus edellyttää teknisen ratkaisujen ohella myös inhimillisten tekijöiden huomioon ottamista, jatkuvuutta ja johdon sitoutumista. Koulutusmallin vaikuttavuuden systemaattista seurantaa sekä koulutussisältöjen säännöllistä päivittämistä suositeltiin ajantasaisuuden varmistamiseksi.
Opinnäytetyön teoreettinen viitekehys rakentui tietoturvallisuuden ja kyberturvallisuuden tutkimuksesta, painottaen erityisesti inhimillisten tekijöiden merkitystä, tietoturvallisuustietoisuutta ja -kulttuuria sekä organisaation riskienhallintaa. Lisäksi hyödynnettiin oppimisen ja aikuiskoulutuksen teorioita, psykologisen turvallisuuden käsitettä ja merkitystä sekä perehdytyksen ja sosiaalistumisen näkökulmia. Työssä huomioitiin myös keskeistä sääntelyä ohjaavat standardit, kuten GDPR, NIS2-direktiivi ja ISO/IEC 27001, jotka asettavat konkreettisia vaatimuksia organisaatioiden tietoturvallisuuskäytännöille ja henkilöstön osaamiselle.
Opinnäytetyö toteutettiin laadullisena kehittämistyönä, jossa aineisto kerättiin dokumenttianalyysin, tietopyynnön sekä teemahaastattelujen avulla. Aineiston analyysissa hyödynnettiin sisällönanalyysiä, joilla muodostettiin kokonaiskuva toimeksiantajayrityksen tietoturvallisuuskoulutuksen nykytilasta, tunnistettiin keskeisimmät kehittämistarpeet ja määriteltiin koulutusmallin sisältöä ohjaavat painopisteet.
Tuotoksena syntyi luonnos koulutusmallista. Malliin sisältyi jäsennelty roolipohjainen ratkaisu ohjeiden ja dokumenttien löytämiseksi, yhtenäistetty poikkeamailmoituskanava, ajankohtainen uutissyöte sekä keskustelu- ja kysymysfoorumi, joiden tarkoitus on tukea jatkuvaa oppimista ja samalla madaltaa kynnystä tietoturvallisuuteen liittyvien asioiden käsittelyyn. Koulutusmalli suunniteltiin saavutettavaksi ja päivitettäväksi kokonaisuudeksi, johon työntekijät voivat palata aina tarpeensa mukaan uudelleen. Koulutusmallin arvioitiin tukevan organisaation tietoturvallisuuskulttuurin vahvistumista ja lisäävän henkilöstön valmiuksia toimia tietoturvallisesti arjen työtilanteissa, sillä vaikuttava tietoturvallisuuskoulutus edellyttää teknisen ratkaisujen ohella myös inhimillisten tekijöiden huomioon ottamista, jatkuvuutta ja johdon sitoutumista. Koulutusmallin vaikuttavuuden systemaattista seurantaa sekä koulutussisältöjen säännöllistä päivittämistä suositeltiin ajantasaisuuden varmistamiseksi.