Tietoturvan kipupisteet ja kehittäminen ammatillisessa koulutuksessa: Ammattiopisto Tavastian tapaustutkimus
Kaikkonen, Anders (2026)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202604166680
https://urn.fi/URN:NBN:fi:amk-202604166680
Tiivistelmä
Tässä työssä tarkasteltiin ammatillisen koulutusorganisaation tietoturvallisuuden nykytilaa ja tunnistettiin sen keskeisiä kehittämiskohteita yhdistämällä tietoturvallisuusauditoinnin havainnot ja henkilöstön kokemukset. Tutkimus toteutettiin laadullisena tapaustutkimuksena Ammattiopisto Tavastiassa. Työn tavoitteena oli muodostaa kokonaisvaltainen kuva organisaation tietoturvakyvykkyydestä ja laatia kehittämistoimenpiteitä, jotka ovat realistisesti toteutettavissa tapausorganisaation toimintaympäristössä.
Tutkimuksessa hyödynnettiin monimenetelmällistä ja triangulaarista lähestymistapaa. Aineisto koostettiin sisäisestä tietoturvallisuusauditoinnista ja henkilöstölle suunnatusta kyselystä. Auditoinnissa käytettiin Julkri-arviointikriteeristöä, ja henkilöstökysely toteutettiin puolistrukturoituna kyselynä. Auditoinnilla tuotettiin rakenteellinen ja vaatimuksiin perustuva kuva tietoturvallisuuden tasosta tapausorganisaatiossa, kun taas henkilöstökyselyllä tuotiin esiin käytännön toimintaan liittyviä kokemuksia ja haasteita. Aineisto analysoitiin teoriaohjaavan sisällönanalyysin ja triangulaarisen analyysin avulla, jolla mahdollistettiin aineistojen välinen vertailu ja synteesi.
Tulosten perusteella tapausorganisaation tietoturvallisuuden keskeisimmät haasteet nähtiin liittyvän ensisijaisesti sen käytännön toteuttamiseen. Kehittämiskohteiksi tunnistettiin tietoturvaohjeistusten selkeys ja saavutettavuus, vastuiden määrittely, henkilöstön tietoturvatietoisuus sekä varautumisen ja jatkuvuudenhallinnan käytännöt. Lisäksi teknisissä ratkaisuissa korostettiin käytettävyyden ja tietoturvan välistä tasapainoa. Tuloksilla viitattiin siihen, että organisaation hallinnollinen tietoturvan taso ei sellaisenaan takaa sen toteutumista käytännön työssä.
Tutkimuksessa osoitettiin, että auditoinnin ja henkilöstön kokemusten välillä on selkeitä eroja. Tällä korostetaan tietoturvallisuuden tarkastelun merkitystä niin rakenteellisesta kuin kokemuksellisesta näkökulmasta. Keskeisenä johtopäätöksenä todetaan, että tietoturvallisuuden kehittämisessä on painotettava toimintamallien jalkauttamista osaksi organisaation jokapäiväistä toimintaa. This study examined the current state of information security in a vocational education organization and identified its key development areas by combining findings from an information security audit with personnel experiences. The study was conducted as a qualitative case study at Tavastia Vocational College. The objective was to form a comprehensive view on the information security capability of the organization and to propose development measures that are realistically implementable within its operational environment.
A multi-method and triangulated approach were applied in the study. The data consisted of an internal information security audit and a personnel survey. The audit was based on the Julkri assessment criteria, and the personnel survey was conducted as a semi-structured questionnaire. The audit provided a structured, requirements-based view of organizational information security posture, while the survey highlighted practical experiences and challenges in day-to-day operations. The data were analyzed using theory-guided content analysis and triangulation, enabling comparison and synthesis between the datasets.
The results indicate that the most significant challenges in information security are primarily related to its practical implementation within the organization. Key development areas include the clarity and accessibility of information security guidelines, the definition of roles and responsibilities, personnel security awareness, and the operational development of preparedness and continuity management within the organization. In addition, the balance between usability and security in technical solutions was also emphasized.
The study demonstrated discrepancies between audit results and personnel experiences, highlighting the importance of examining information security from both structural and experiential perspectives. The main conclusion is that improving information security requires a stronger focus on embedding established practices into everyday organizational activities.
Tutkimuksessa hyödynnettiin monimenetelmällistä ja triangulaarista lähestymistapaa. Aineisto koostettiin sisäisestä tietoturvallisuusauditoinnista ja henkilöstölle suunnatusta kyselystä. Auditoinnissa käytettiin Julkri-arviointikriteeristöä, ja henkilöstökysely toteutettiin puolistrukturoituna kyselynä. Auditoinnilla tuotettiin rakenteellinen ja vaatimuksiin perustuva kuva tietoturvallisuuden tasosta tapausorganisaatiossa, kun taas henkilöstökyselyllä tuotiin esiin käytännön toimintaan liittyviä kokemuksia ja haasteita. Aineisto analysoitiin teoriaohjaavan sisällönanalyysin ja triangulaarisen analyysin avulla, jolla mahdollistettiin aineistojen välinen vertailu ja synteesi.
Tulosten perusteella tapausorganisaation tietoturvallisuuden keskeisimmät haasteet nähtiin liittyvän ensisijaisesti sen käytännön toteuttamiseen. Kehittämiskohteiksi tunnistettiin tietoturvaohjeistusten selkeys ja saavutettavuus, vastuiden määrittely, henkilöstön tietoturvatietoisuus sekä varautumisen ja jatkuvuudenhallinnan käytännöt. Lisäksi teknisissä ratkaisuissa korostettiin käytettävyyden ja tietoturvan välistä tasapainoa. Tuloksilla viitattiin siihen, että organisaation hallinnollinen tietoturvan taso ei sellaisenaan takaa sen toteutumista käytännön työssä.
Tutkimuksessa osoitettiin, että auditoinnin ja henkilöstön kokemusten välillä on selkeitä eroja. Tällä korostetaan tietoturvallisuuden tarkastelun merkitystä niin rakenteellisesta kuin kokemuksellisesta näkökulmasta. Keskeisenä johtopäätöksenä todetaan, että tietoturvallisuuden kehittämisessä on painotettava toimintamallien jalkauttamista osaksi organisaation jokapäiväistä toimintaa.
A multi-method and triangulated approach were applied in the study. The data consisted of an internal information security audit and a personnel survey. The audit was based on the Julkri assessment criteria, and the personnel survey was conducted as a semi-structured questionnaire. The audit provided a structured, requirements-based view of organizational information security posture, while the survey highlighted practical experiences and challenges in day-to-day operations. The data were analyzed using theory-guided content analysis and triangulation, enabling comparison and synthesis between the datasets.
The results indicate that the most significant challenges in information security are primarily related to its practical implementation within the organization. Key development areas include the clarity and accessibility of information security guidelines, the definition of roles and responsibilities, personnel security awareness, and the operational development of preparedness and continuity management within the organization. In addition, the balance between usability and security in technical solutions was also emphasized.
The study demonstrated discrepancies between audit results and personnel experiences, highlighting the importance of examining information security from both structural and experiential perspectives. The main conclusion is that improving information security requires a stronger focus on embedding established practices into everyday organizational activities.