OULU 2011 A 581 ACTA Kari Nykänen UNIVERSITATIS OULUENSIS A SCIENTIAE RERUM NATURALIUM TIETOTURVAKOULUTUKSEN VAIKUTTAVUUDEN ARVIOINTI YKSILÖN JA ORGANISAATION TIETOTURVAKÄYTTÄYTYMISEEN OULUN YLIOPISTO, LUONNONTIETEELLINEN TIEDEKUNTA, TIETOJENKÄSITTELYTIETEIDEN LAITOS
ACTA UNIVERSITATIS OULUENSIS A Scientiae Rerum Naturalium 581 KARI NYKÄNEN TIETOTURVAKOULUTUKSEN VAIKUTTAVUUDEN ARVIOINTI YKSILÖN JA ORGANISAATION TIETOTURVAKÄYTTÄYTYMISEEN Esitetään Oulun yliopiston luonnontieteellisen tiedekunnan suostumuksella julkisesti tarkastettavaksi Linnanmaan OP-salissa (L10), 12. marraskuuta 2011 klo 12.00 OULUN YLIOPISTO, OULU 2011
Copyright 2011 Acta Univ. Oul. A 581, 2011 Työn ohjaajat Professori Mikko Siponen Tohtori Seppo Pahnila Esitarkastajat Professori Matti Rossi Professori Hannu Salmela ISBN 978-951-42-9570-6 (Paperback) ISBN 978-951-42-9571-3 (PDF) ISSN 0355-3191 (Printed) ISSN 1796-220X (Online) Kannen suunnittelu Raimo Ahonen JUVENES PRINT TAMPERE 2011
Nykänen, Kari, Evaluation of the effectiveness of information security training on the information security behavior of individuals and organizations. University of Oulu, Faculty of Science, Department of Information Processing Science, P.O. Box 3000, FI-90014 University of Oulu, Finland Acta Univ. Oul. A 581, 2011 Oulu, Finland Abstract Information security is a key factor supporting companies' security and business requirements, and it is significantly affected by the information security behavior of the employees. Previous research has studied empirically as to which factors explains employees' compliance with information security policies and instructions. However, there are only a few empirical studied on the effectiveness of information security training on the information security behavior of employees. Especially, studies examining the effect on training on employees' cyberloafing (non-work related Internet use) behavior are far and few between. To address this gap in research, this thesis carries out an action research study aimed at improving employees' cyberloafing behavior at an organizational context. The results suggest that cyberloafing can be reduced by a proper training. Keywords: employees cyberloafing behavior, information security, information security behavior, information security training, Internet-behavior, neutralization techniques, non-work related Internet-behavior
Nykänen, Kari, Tietoturvakoulutuksen vaikuttavuuden arviointi yksilön ja organisaation tietoturvakäyttäytymiseen. Oulun yliopisto, Luonnontieteellinen tiedekunta, Tietojenkäsittelytieteiden laitos, PL 3000, 90014 Oulun yliopisto Acta Univ. Oul. A 581, 2011 Oulu Tiivistelmä Tietoturva on keskeinen tekijä yrityksen kokonaisturvallisuuden ja liiketoiminnan tarpeiden tukemisessa, johon henkilökunnan tietoturvakäyttäytyminen vaikuttaa hyvin merkittävästi. Yksilön tietoturvakäyttäytymistä ja tietoturvapolitiikan ja -ohjeistuksien noudattamista on tutkittu empiirisesti vahvojen teoreettisten taustojen pohjalta. Tutkimustulokset ovat osoittaneet, että yksilön normeista ja ohjeistuksista poikkeava käyttäytyminen on vahvasti sidoksissa henkilökohtaisiin tapoihin, joita puolustellaan ja selitetään erilaisilla syillä. Tietoturvakoulutuksen vaikuttavuutta yksilön ja organisaation tietoturvakäyttäytymiseen on tutkittu empiirisesti hyvin vähän. Työhön liittymättömän Internetin käytön kontekstissa tehtyjä tutkimuksia on vain muutamia, ja niissä on selvitetty käytön motivaatiota ja käyttäjien profilointia. Tietoturvakoulutuksen vaikutusta yksilön työhön liittymättömän Internet-käyttäytymisen muuttamiseen ei ole aikaisemmin tieteellisesti tutkittu. Tässä väitöskirjassa tutkitaan tätä ajankohtaista kansainvälisen tutkijayhteisön tiedostamaa ongelmaa. Tutkimus suoritetaan noudattaen toimintatutkimusmallia kahdessa vaiheessa, joista toisessa sovelletaan kokeellista tutkimusmenetelmää. Pitkittäistutkimuksen ensimmäisessä vaiheessa tutkitaan organisaation tietoturvakäyttäytymistä ja -toimintaa. Tämän perusteella suunnitellaan koulutusmenetelmä, jonka avulla pyritään ratkaisemaan organisaation tietoturvatoiminnan keskeiset ongelmat ja parantamaan yksilön tietoturvatietoisuutta. Toisessa vaiheessa koulutusmenetelmää kehitetään ja laajennetaan koko organisaation henkilökunnan tasolle, minkä tavoitteena on muuttaa yksilön työhön liittymätöntä Internet-käyttäytymistä. Tutkimuksessa sovelletaan kriminologiaan pohjautuvaa neutralisoimisteoriaa ja sosiaalipsykologian tapateoriaa, joiden avulla pyritään selittämään yksilön työhön liittymätöntä Internet-käyttäytymistä. Tietoturvakoulutuksen laadinnassa sovelletaan oppimisen psykologiaa, sosiokonstruktiivista oppimisnäkemystä ja muutosjohtamista. Tutkimustulokset tarjoavat uutta tietoa siitä, mitä tulee huomioida laadittaessa organisaation tietoturvakoulutusta ja miten huolellisesti laaditun koulutuksen avulla voidaan muuttaa yksilön työhön liittymätöntä Internet-käyttäytymistä. Koulutuksen avulla pyritään vaikuttamaan yksilön syvälle juurtuneisiin tapoihin, käyttäytymiseen ja vastuunottamiseen omasta toiminnasta. Asiasanat: Internet-käyttäytyminen, neutralisoimistekniikat, tietoturva, tietoturvakoulutus, tietoturvakäyttäytyminen, työhön liittymätön Internet-käyttäytyminen
Alkusanat Tämä monografian muodossa toteutettu väitöskirjatutkimus on ollut erinomainen mahdollisuus syventyä työn ohessa toteutettuun tieteelliseen tutkimustyöhön. Tutkimus on jatkoa pro gradu -tutkielmalleni. Tutkimuksen tavoitteena on pyrkiä selittämään ihmisen käyttäytymistä teoreettisiin taustoihin pohjautuen asetettujen tutkimusongelmien kontekstissa. Tutkimuksen tekeminen on ollut mielenkiintoista, sillä ihmisen käyttäytyminen on kiinnostanut minua jo pienestä pitäen. Pitkän työkokemuksen ja laaja-alaisten opintojen myötä olen kiinnostunut tietoturvasta ja yksilön tietoturvakäyttäytymisestä. Käytännön kokemukset, opettajan pedagogiset opinnot ja aikuiskoulutuksen parissa työskentely yhdistettynä tieteelliseen näkökulmaan ovat johtaneet tämän tutkimuksen tekemiseen. Tutkimuksen toteuttaminen on ollut minulle merkittävä oppimisprosessi, jonka mahdollistamisesta olen kiitollinen. Kiitokset kuuluvat tutkimuksen kohdeorganisaatiolle ja sen henkilökunnalle. Tutkimuksen toteutuksen kannalta erityinen kiitos kuuluu väitöskirjatyöni ohjaajalle, professori Mikko Siposelle kannustavasta tukemisesta, eteenpäin vievästä ohjaamisesta ja opastamisesta tieteellisen tutkimuksen tekemiseen. Kiitokset kuuluvat myös toiselle ohjaajalleni, tohtori Seppo Pahnilalle työni pitkäjänteisestä ohjaamisesta. Kiitän väitöskirjatyöni esitarkastajia, Aalto-yliopiston professori Matti Rossia ja Turun kauppakorkeakoulun professori Hannu Salmelaa, arvokkaista ja rakentavista kommenteista. Suurin kiitos kuuluu kuitenkin perheelleni, vaimolleni Helenalle sekä pojilleni Matiakselle ja Mikaelille, jotka ovat mahdollistaneet opintoni työni ohella. Ilman perheeni vahvaa tukea ja kannustusta väitöskirjatyön tekeminen ei olisi ollut mahdollista. Jokirinteellä 16.10.2011 Kari Nykänen 7
8
Sisällysluettelo Abstract Tiivistelmä Alkusanat 7 Sisällysluettelo 9 1 Johdanto 13 1.1 Tutkimuksen tarkoitus, tavoitteet ja tutkimusongelma... 13 1.2 Tutkimusmenetelmä ja eteneminen... 15 2 Tietoturvakoulutukseen vaikuttavat taustatekijät ja aikaisemmat tutkimukset 17 2.1 Tietoturvan merkitys organisaatiolle... 17 2.2 Tietoturvakoulutuksen päämäärä ja tavoite... 20 2.2.1 Hyvän tietoturvakoulutuksen ominaisuudet... 24 2.2.2 Tietoturvakoulutuksen epäonnistuminen... 27 2.3 Työhön liittymätön Internetin käyttö... 28 2.4 Tietoturvakoulutuksen aikaisemmat tutkimukset... 32 2.4.1 Empiriaan perustuvat tutkimukset... 35 2.4.2 Tutkimusten keskeiset löydökset... 38 2.4.3 Tietoturvakoulutuksen haasteet... 41 3 Teoreettinen viitekehys 45 3.1 Neutralisoimisteoria... 45 3.1.1 Neutralisoimistekniikat... 48 3.2 Sosiaalipsykologian Habit-teoria... 55 3.3 Käyttäytyminen... 58 3.4 Tutkimusmallin hypoteesit... 58 3.5 Tietoturvakoulutuksen teoreettinen viitekehys... 60 3.6 Toimintatutkimuksen ensimmäisen vaiheen koulutusteoria... 63 3.6.1 Koulutuksen pedagoginen näkökulma... 63 3.6.2 Oppimisnäkemykset... 64 3.6.3 Oppimistyypit ja -tyylit... 69 3.6.4 Vuorovaikutus ja opetuksen ryhmäkoon merkitys... 70 3.6.5 Tietoturvakoulutusohjelman valinta... 72 4 Tutkimusmenetelmät 77 4.1 Toimintatutkimus... 77 4.2 Kohdeorganisaatio ja tutkimuksen suorittaminen... 84 4.3 Toimintatutkimuksen ensimmäinen vaihe... 86 9
4.3.1 Aineistonkeruu... 87 4.3.2 Haastattelujen suorittaminen... 89 4.3.3 Aineiston analysointi ja luokittelu... 94 4.4 Toimintatutkimuksen toinen vaihe... 96 4.4.1 Kokeellinen tutkimus... 98 4.4.2 Tutkimuskysely... 101 4.4.3 Teemahaastattelu... 115 4.4.4 Havainnointi... 120 4.4.5 Tekninen mittaus... 122 5 Tutkimuksen ensimmäisen vaiheen tulokset 125 5.1 Kohderyhmän taustatiedot... 125 5.2 Koulutukselliset lähtökohdat... 126 5.2.1 Loppukäyttäjän tiedot ja taidot... 131 5.2.2 Kohdeorganisaation sähköpostikäytänteet... 140 5.2.3 Kohdeorganisaation tietoturvatoiminta... 145 5.3 Kohderyhmän tietoturvakoulutuksen laadinta... 150 5.4 Tietoturvakoulutuksen tulokset... 155 5.4.1 Tietoturvakoulutuksen vaikuttavuus... 155 5.4.2 Kohdeorganisaation sähköpostin käyttö... 164 5.4.3 Kohdeorganisaation tietoaineistojen luokittelu... 165 5.4.4 Kohdeorganisaation ylin johto... 167 6 Koulutusmenetelmän kehittäminen 171 6.1 Toimintatutkimuksen toisen vaiheen koulutusteoria... 172 6.1.1 Organisaation sosiaalinen tieto... 173 6.1.2 Oppimisen sosiaaliset ja psykologiset taustatekijät... 175 6.1.3 Organisaation oppimisen tavoite... 177 6.1.4 Sosiokonstruktiivinen oppimisnäkemys... 179 6.1.5 Oppiva organisaatio... 182 6.1.6 Organisaation muutosjohtaminen... 183 6.2 Koulutusmenetelmän viitekehys... 186 6.3 Tietoturvakoulutusmenetelmän laadinta... 188 6.3.1 Konkreettiset kokemukset... 189 6.3.2 Sosiaalinen ja psykologinen ymmärrys koulutuksessa... 189 6.3.3 Sosiokonstruktiivinen oppimisnäkemys... 192 6.3.4 Organisaation muutosjohtaminen... 195 6.3.5 Toiminnan käsitteellistäminen ja käytäntöön soveltaminen... 197 6.4 Tietoturvakoulutusten vaikuttavuuden arviointi... 198 10
7 Tutkimuksen toisen vaiheen tulokset 201 7.1 Tutkimusryhmän taustatiedot... 201 7.1.1 Kokeellinen ryhmä... 203 7.1.2 Kontrolliryhmä... 203 7.2 Tutkimuksen validiteetin tarkastelu... 205 7.3 Kokeellisen ryhmän analyysi... 212 7.3.1 Käyttäytyminen ennen koulutusta... 212 7.3.2 Käyttäytyminen koulutuksen jälkeen... 217 7.3.3 Tulosten vertailu ennen ja jälkeen koulutuksen... 222 7.4 Kontrolliryhmän analyysi... 223 7.4.1 Kontrolliryhmän ja kokeellisen ryhmä vertailu... 224 7.4.2 Kontrolliryhmän tulosten vertailu... 225 7.5 Teemahaastattelun analyysi... 226 7.5.1 Koulutusohjelman onnistuminen... 227 7.5.2 Vaikutus Internetin käyttöön... 233 7.5.3 Koulutuksen kehittäminen... 238 7.6 Tietoturvakäyttäytymisen havainnointi... 240 7.6.1 Havainnointi ennen koulutusta... 240 7.6.2 Havainnointi koulutuksen jälkeen... 241 7.7 Internet-liikenteen tekninen mittaus... 245 7.7.1 Ennen koulutusta... 245 7.7.2 Koulutuksen jälkeen... 246 7.7.3 Vertailu ennen ja jälkeen koulutuksen... 248 8 Tutkimuksen toteuttamisen arviointi 249 8.1 Tutkimuksen rajoitteet... 251 8.2 Toimintatutkimuksen ensimmäinen vaihe... 252 8.2.1 Tulosten arviointi... 254 8.3 Toimintatutkimuksen toinen vaihe... 258 8.3.1 Tulosten arviointi... 259 8.4 Tutkimuksen päälöydökset... 264 8.5 Tutkimuksen hyödynnettävyys... 269 8.5.1 Tutkimusyhteisölle... 269 8.5.2 Käytännön sovellettavuus... 271 9 Johtopäätökset 275 Lähteet 277 Liitteet 299 11
12
1 Johdanto Tietoturva on hyvin keskeinen tekijä yrityksen kokonaisturvallisuuden ja liiketoiminnan tarpeiden tukemisessa. Se koostuu pienistä jokapäiväisistä teoista, joita organisaatiossa työskentelevät ihmiset tekevät tietoturvallisilla toimintatavoilla. Tietoturvallisuuden tulisi olla osa yrityksen organisaatiokulttuuria, jossa kaikki ymmärtävät sen merkityksen ja työskentelevät yhteisten tavoitteiden saavuttamiseksi. Yrityksen tietoturvallinen toiminta on myös hyvä kilpailuetu toteutettuna liiketoiminnan asettamien vaatimusten mukaisesti. (Laaksonen ym. 2006.) Tietoyhteiskunta on tuonut Internet-yhteydet yhä useamman työntekijän ulottuville, sillä yritykset ovat riippuvaisia tietotekniikasta ja tietoverkoista. Työnteko on suuntautunut merkittävästi kohti Internet-pohjaisia järjestelmiä ja sovelluksia. Tämän myötä on mahdollistunut työaseman käyttö myös työhön liittymättömiin henkilökohtaisiin tarpeisiin (Anandarajan 2002, Lim ym. 2002, Tian 2010). Toiminta on tuonut mukanaan omat haittavaikutuksensa yrityksen arkipäivään, jossa työntekijän tietoturvakäyttäytyminen on yhä merkittävämmässä asemassa. Tutkimukset ovat vahvasti osoittaneet, että yksilön työnteko ja keskittyminen häiriintyvät merkittävästi työhön liittymättömän Internetin käytön myötä (Lim ym. 2002, Galletta & Polak ym. 2003, D Arcy & Hovav 2007). Tutkimusten mukaan työhön liittymätön Internetin käyttö maksaa yrityksille vuositasolla miljardeja dollareita vähentyneen työtehon vuoksi (Anandarajan 2002, Tian 2010). Toiminnalla on myös muita haittavaikutuksia, kuten lisääntyneet vakoilu- ja virusohjelmat organisaation työasemilla, josta ne voivat levitä yrityksien tietoliikenneverkkoon ja aiheuttaa ylimääräisiä ylläpitokuluja, vaikka itse tietoa ei menetettäisikään. Merkittävä huomioitava tekijä on myös yrityksen maine, joka voi vaarantua huolimattoman Internet-käyttäytymisen seurauksena. Haluttaessa selvittää työntekijöiden motivaatiota työhön liittymättömään Internetin käyttöön tulee ymmärtää erilaisia tottumuksia ja toimintatapoja organisaation käytänteistä. Aikaisempien tutkimusten löydökset tarjoavat arvokasta taustatietoa ja motivaation tutkimuksen tekemiselle määriteltäessä, mitkä tekijät selittävät työhön liittymätöntä Internetin käyttöä ja mitkä vaikuttavat ja johtavat siihen. 1.1 Tutkimuksen tarkoitus, tavoitteet ja tutkimusongelma Tutkimuksen tarkoitus on tutkia yksilön ja organisaation tietoturvakäyttäytymisen taustalla vaikuttavia tekijöitä ja tavoitteena on vaikuttaa niihin huolellisesti suun- 13
nitellun tietoturvakoulutuksen keinoin ja kohdentua erityisesti työhön liittymättömään Internet-käyttäytymiseen. Yksilön tietoturvakäyttäytymistä on tutkittu aikaisemmin pohjautuen erilaisiin käyttäytymistä selittäviin teoreettisiin taustoihin ja empiirisiin tutkimuksiin, mitkä tarjoavat hyvän lähtökohdan tämän tutkimuksen tekemiselle (Straub 1990, Banerjee ym. 1998, Straub & Welke 1998, Siponen 2000a, 2000c; Aytes & Conolly 2003, Kankanhalli ym. 2003, Pahnila ym. 2007, Siponen ym. 2007, D Arcy ym. 2009, Siponen & Vance 2010, Vance 2010). Tietoturvakoulutuksen vaikuttavuutta yksilön ja organisaation tietoturvakäyttäytymiseen on tutkittu hyvin vähän empiirisesti, ja aihealueen lisätutkimus on tarpeellista koulutusohjelmien vaikuttavuuden osoittamiseksi (Puhakainen 2006, Puhakainen & Siponen 2010). Työhön liittymättömän Internetin käytön kontekstissa olevia tutkimuksia on tehty vain muutamia, ja niiden tavoitteena on ollut selvittää käytön motivaatioita ja käyttäjien profiilia (Anandaraja 2002, Lim 2002, Woon & Pee 2004, Seymour & Nadasen 2007, Pee ym. 2008). Tietoturvakoulutuksen vaikuttavuutta työhön liittymättömän Internet-käyttäytymisen muuttamiseen ei ole aikaisemmin tieteellisesti tutkittu. Tutkimuksen aihealue on ajankohtainen ja vaativa. Ongelma on myös kansainvälisen tutkijayhteisön tiedostama, ja sen lisätutkimuksen tarve on merkittävä yrityksien tietoturvallisen toiminnan näkökulmasta. Tutkimuksen tavoitteena on tuoda uutta tietoa siitä, mitä tekijöitä pitää huomioida suunnitellessa ja laatiessa tietoturvakoulutusta sekä löytää uutta tietoa siitä, miten yksilön työhön liittymätöntä Internet-käyttäytymistä voidaan muuttaa. Tutkimuksessa laadittavien tietoturvakoulutusten tavoitteena on parantaa yksilön tietoturvatietoisuutta ja vaikuttaa sitä kautta kohdeorganisaation tietoturvakäyttäytymiseen. Vain harvoissa tietoturvakoulutuksissa on pyritty huolellisen suunnittelun kautta muuttamaan yksilön tapoja ja konkreettista käyttäytymistä. Tutkimusongelmat ovat: miten huolellisesti suunnitellun tietoturvakoulutuksen keinoin voidaan vaikuttaa yksilön tietoturvakäyttäytymiseen ja muuttaa yksilön ja organisaation työhön liittymätöntä Internet-käyttäytymistä. Tutkimuksessa selvitetään kohdeorganisaation tietoturvakäyttäytymisen taustalla vaikuttavia tekijöitä, joiden perusteella laaditaan organisaatiolle tietoturvakoulutusohjelma ja toteutetaan se. Tutkimuksessa kerätyn laajan empiirisen aineiston perusteella arvioidaan, miten koulutus on vaikuttanut yksilön ja organisaation tietoturvakäyttäytymiseen ja työhön liittymättömään Internetin käyttöön. Tutki- 14
muksen keskeinen tavoite on kehittää kokonaisvaltaisesti kohdeorganisaation tietoturvatoimintaa ja saattaa se merkittäväksi osaksi toimintakulttuuria. 1.2 Tutkimusmenetelmä ja eteneminen Tutkimus suoritetaan pitkittäistutkimuksena ja se noudattaa toimintatutkimusmenetelmän mallia, jonka ensimmäisessä vaiheessa selvitetään organisaation tietoturvatoiminnan taustatekijöitä ja laaditaan tietoturvakoulutusmalli, jota testataan pienemmällä tutkimusryhmällä. Toisessa vaiheessa koulutusmenetelmää sekä tutkimusmallia kehitetään ja laajennetaan koko organisaation tasolle. Koulutuksen keskeinen tavoite on vaikuttaa työhön liittymättömään Internet-käyttäytymiseen. Tutkimustulosten luotettavuuden parantamiseksi toisessa vaiheessa sovelletaan kokeellista tutkimusmenetelmää, jossa käytetään sekä kokeellista että kontrolliryhmää. Tutkimuksen empiirisen aineiston keruu suoritetaan käyttäen monimetodista tutkimusotetta, jossa suoritetaan kyselyjä, haastatteluja, havainnointia ja teknistä mittausta. Kuviossa 1 on esitetty tutkimuksen vaiheittainen eteneminen. Koulutusmenetelmän ja tutkimusmallin kehittäminen sekä teoreettinen viitekehys 2008 2009 2010 Toimintatutkimus vaihe 1 Toimintatutkimus vaihe 2 Koulutuksen Pre-kysely Koulutus Post-kysely suunnittelu Haastattelu Post-Then-Pre Tulosten analysointi Kvantitatiivinen / Kokeellinen tutkimus Kvalitatiivinen teemahaastattelu Kvalitatiivinen tekninen Internet-liikenteen mittaus ( 17 viikkoa) Kvalitatiivinen havainnointi (14 viikkoa) Kuvio 1. Tutkimuksen vaiheittainen eteneminen. Tutkimus koostuu teoreettisesta ja empiirisestä osiosta sekä tutkimuksen arvioinnista ja johtopäätöksistä. Luku 2 sisältää tietoturvakoulutukseen vaikuttavat taustatekijät ja aikaisemmat tutkimukset ja luku 3 teoreettisen viitekehyksen. Luku 4 sisältää tutkimusmenetelmät. Luku 5 esittelee toimintatutkimuksen ensimmäisen vaiheen tulokset, ja 6 käsittelee koulutusmenetelmän kehittämistä. Luvussa 7 esitellään toimintatutkimuksen toisen vaiheen tulokset. Luku 8 sisältää tutkimuksen toteuttamisen arvioinnin ja luku 9 johtopäätökset. 15
16
2 Tietoturvakoulutukseen vaikuttavat taustatekijät ja aikaisemmat tutkimukset Organisaation tietoturvallisessa toiminnassa jokaisen työntekijän on ymmärrettävä ja osattava suojata yritykselle tärkeää tieto-omaisuutta. Tietoturvasta tietoinen ja siihen motivoitunut työntekijä havaitsee usein epäkohtia ja erilaisia uhkakuvia organisaation toiminnassa ja pyrkii kehittämään omaa työtään oikeanlaista tietoturvakäyttämistä kohti. Yrityksessä vallitseva tietoturvatietoisuus näkyy yleensä hyvin selvästi johdon ja työntekijöiden toimintatavoissa, joissa on vielä paljon parannettavaa. Organisaation tietoturvatoiminta keskittyy usein pelkkiin teknisiin ratkaisuihin ja yksilön tietoturvatietoisuuden merkitys unohdetaan täysin ja tietoturvan parantaminen mielletään projektiksi eikä pitkäjänteiseksi kehittämistoiminnaksi (Puhakainen 2006). Tietoturvakoulutuksen suunnitteluun ja laadintaan vaikuttavat aikaisemmat tutkimukset, artikkelit ja kirjallisuus, jotka muodostavat toimintatutkimuksen ensimmäisen vaiheen koulutuksen asiasisällöllisen viitekehyksen, mikä kuvataan alaluvuissa 2.1 ja 2.2. Alaluku 2.1 käsittelee tietoturvan merkitystä organisaation kannalta, ja alaluku 2.2 pitää sisällään tietoturvakoulutuksen päämäärän ja tavoitteen. Näiden perusteella pyritään muodostamaan käsitys siitä, mitä tekijöitä täytyy huomioida laadittaessa kohdeorganisaatiolle tietoturvakoulutusta. Alaluvut 2.3 ja 2.4 muodostavat kirjallisuuskatsauksen tietoturvakoulutusten aikaisempiin tutkimuksiin ja niiden sisällön analysoimiseen, mikä muodostaa tutkimuksen toisen vaiheen koulutuksen laadinnan viitekehyksen. Alaluvussa 2.3 tarkastellaan työhön liittymätöntä Internetin käyttöä ja alaluvussa 2.4 tietoturvakoulutuksen aikaisempia tutkimuksia. 2.1 Tietoturvan merkitys organisaatiolle Nykypäivän tietoyhteiskunta on yhä enenevässä määrin riippuvainen yksilön tietotekniikan käyttötaidoista ja tietojenkäsittelyn taidoista. Tämä kehitys on tuonut omalta osaltaan uuden varjopuolen: tietoturvaan liittyvät rikkomukset ja uhkakuvat kohdentuen niin yksityiseen ihmiseen kuin yritystenkin toimintaan. Viimeisimpien tutkimusten mukaan tietoturvallisuuteen kohdentuvat uhkakuvat ja varsinaiset tietoturva-aukot aiheuttavat maailmanlaajuisesti taloudellisia menetyksiä. Tietoturvaan kohdentuvat väärinkäytöt syntyvät niin organisaation sisältä kuin ulkoiseltakin taholta. (Lawrence ym. 2005, Loeb ym. 2005, Gordon ym. 2006, CSI 2009.) 17
Tietoturvan kehittämisen päätavoitteena voidaan pitää hyvän tietojenkäsittelytavan luomista osaksi organisaation toimintaa sekä asianmukaisen tietoturvallisuuden tason määrittämistä. Yrityksen toimintaan liittyvät palvelut ja järjestelmät sekä niiden sisältämä informaatio kaikissa eri olomuodoissaan ovat organisaation tärkeimpiä resursseja ja omaisuutta. Yrityksen tietoturvasta on huolehdittava kilpailukyvyn ja liiketoiminnan jatkuvuuden turvaamiseksi. (Siponen ym. 2007.) Organisaation kriittisten resurssien ja omaisuuden suojaamisen keskeisimpiä ja tärkeimpiä keinoja on laatia organisaation erityistarpeita tukeva tietoturvapolitiikka ja -strategia. Tietoturvapolitiikka on johdon hyväksymä linjaus organisaation tietoturvatoiminnan tavoitteesta ja toteutuksesta. Se toimii tietoturvan kehittämisen lähtökohtana sekä ylimmän tason ohjeistuksena, ja sen kautta johdetaan myös käyttäjien tietoturvaohjeet. Organisaation erityistarpeita tukevaa tietoturvapolitiikkaa kehitettäessä on tärkeää tunnistaa, luokitella ja määrittää organisaation keskeinen omaisuus ja sen kompetenssi sekä arvottaa ne organisaatiossa tietoturvasensitiivisyyden mukaisesti. Yrityksen tietoturvastrategia on pitkän aikavälin suunnitelma tietoturvatoiminnan päämääristä. Tietoturvastrategian kehittämisessä tulee myös huomioida, että se tukee organisaation liiketoimintastrategiaa ilman tietoturvallisuudesta johtuvia ongelmia. (Siponen 2000a, 2000b; Siponen ym. 2007.) Merkittävää nykypäivänä kuitenkin on, että käyttäjät eivät aina noudata tietoturvapolitiikkaa ja -ohjeistuksia, mikä heikentää merkittävästi organisaation turvallisuuden tasoa (Straub & Welke 1998, Backhouse & Dhillon 2001, Aytes & Connolly 2003, Stanton ym. 2005, CSI 2007, Siponen ym. 2007, Siponen & Vance 2010). Politiikan ja ohjeistuksien noudattaminen ei luonnollisesti yksin riitä, vaan toimintaa tulee ohjata kohti yhteisiä tietoturvallisia käytänteitä, jolloin yksilön käyttäytyminen ja asenteet ovat hyvin merkittävässä asemassa (Wood 1997, Aytes & Connolly 2003, Layton 2005, Albrechtsen 2007, Pahnila ym. 2007). Organisaation tietoturvatoiminnan käytänteiden kehittämisen lähtökohta on kartoittaa henkilöstön tietoturvatietoisuuden lähtötaso. Sen avulla saadaan hyvä yleiskuva tietoturvatoiminnan tärkeimmän tekijän eli ihmisten tiedoista, taidoista ja motivaatiosta, sillä ihmisen tietoturvakäyttäytyminen riippuu usein vallitsevasta organisaatiokulttuurista. Keskeistä kehittämisessä on myös kartoittaa organisaation tietojen hallinnan jokapäiväiset käytänteet ja lakisääteiset velvoitteet sekä tekniset tietoturvaratkaisut, kuten toimitilat ja tietoliikenneyhteydet ja niiden suojaaminen. (Kajava 2000, 2003.) Puhakaisen (2006) mukaan sana tietoturva johdattelee ihmisen ajatukset usein teknologian äärelle, sillä käsitys tietoturvasta on juurtunut ihmisiin ilmeisen syvälle nimenomaan teknisenä asiana. Organisaatiossa usein unohdetaankin varsi- 18
naisesti ihmisen toimintaan liittyvät tietoturvakäytänteet, joita ei järjestelmällisesti edistetä. Tietoturvallisuus on yrityksen johdon, esimiesten ja työntekijöiden omaa toimintaa, jota ei voi ulkoistaa organisaation ulkopuolelle. Työntekijöiden hyvällä tietoturvatietoisuudella voidaan esimerkiksi olennaisesti vähentää tietokonepohjaisten rikkomusten ja loukkauksien syntymistä. Vahvan ja turvallisen ICT-ympäristön käyttö- ja toimintakulttuuri ei synny organisaatiossa ilman systemaattista tietoturvakoulutusta. Organisaation tietoturvatoiminta ja sen kehittäminen perustuvat usein tietoturvastandardeihin, joiden peruslähtökohta on suojata tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä. Näiden tekijöiden toteuttaminen organisaation tietoturvatoimintaan vaatii hallinnollista ja sosiaalista kouluttamista. Hallinnollisen kouluttamisen lähtökohta on tuoda esille organisaation tietoturvatoiminnan ylemmän tason ohjeistus ja toiminnan lakisääteiset velvoitteet sekä asettaa tavoitteet ja määritteet niiden toteuttamiseksi. Sosiaalisen kouluttamisen tavoite on välittää tietoa ja käytänteitä tietoturvatoiminnan yhteisestä päämäärästä organisaation kaikille tasoille, jolloin organisaation tietojenkäsittely on merkittävässä asemassa. (Drevin ym. 2007.) Organisaation tärkeä tieto-omaisuus ei ole aina helposti hallittavassa muodossa. Tiedon käsittely, luokittelu, käsittelysäännöt ja käyttöoikeudet saattavat olla puutteellisia. Tietoturvakoulutuksessa asiaa tulisi lähestyä organisaation nykyisten toimintamallien kautta ja edetä kohti turvallista toimintatapaa, jossa tietoaineistojen luokittelulla ja käsittelysäännöillä voidaan ohjata ihmisen toimintaa oikeaan suuntaan (Gaunt 2000). Toiminnan kehittämisen ongelmaksi muodostuu usein, miten organisaation hiljainen tieto saadaan siirrettyä sen sosiaaliseksi tiedoksi. Tämän myötä on merkittävää tarkastella, miten organisaatiossa työskentelevät ihmiset toimivat päivittäisissä työtehtävissä ja ymmärtää toimintaan liittyviä ongelmatilanteita. (Katsikas 2000, Al-Hamdani 2006, Chilton & Bloodgood 2008.) Organisaation kokonaisvaltainen tietoturvallisuus koostuu teknisistä toiminnoista ja henkilöstön sosiaalisista käytänteistä, jotka eivät aina ole tasapainossa toistensa suhteen (Martins & Eloff 2002). Tietoturvatoiminta koostuu päätöksenteosta, investoinneista, koulutuksesta ja tietotekniikan tietoturvakomponenteista, joiden avulla kontrolloidaan ja ohjataan toimintaa (Straub 1990, Straub & Welke 1998). Varsinainen toiminta on yksilön tietämystä, sosiaalisten taitojen osaamista ja toteuttamista sekä hyväksyntää toimia organisaation tietoturvakäytänteiden mukaisesti, mistä tulee olla selvät ohjeet, toimintamallit ja yhteisesti hyväksytty päämäärä (Furnell ym. 1997, 2001, 2002). Tästä kokonaisuudesta käytetään nimitystä tietoturvahallintajärjestelmä (Straub & Welke 1998). 19
Nykypäivän informaatioyhteiskunnan toiminnan tukemisessa tarvitaan turvallisia tietojärjestelmiä, joihin kohdentuvien tietoturvavaatimusten ymmärtäminen on ensiarvoisen tärkeää kehitettäessä uusia palveluita ja järjestelmiä. Nykyisten tietojärjestelmien suunnittelussa pyritään huomioimaan tietoturvaominaisuudet, joilla estetään erilaisten tietoturva-aukkojen syntyminen, mikä puolestaan estää järjestelmien väärinkäytön. (Heikka & Siponen 2006.) Tietojärjestelmien tietoturvaominaisuudet suojaavat pääsääntöisesti vain tietyntyyppisiä uhkakuvia, kuten hakkerointia ja viruksia, vastaan. Usein kuitenkin unohdetaan järjestelmiä käyttävä henkilökunta tietoihin pääsyn ja käyttöoikeuksien suhteen. (Willison 2006, Willison & Backhouse 2006.) Organisaation tietoturvaohjeiden laatimisella ja kouluttamisella on pyrkimys vaikuttaa yrityksen tärkeän tieto-omaisuuden suojaamiseen tietoturvan uhkatekijöitä vastaan. Tietoturvaohjeet sisältävät organisaation tietoturvatoiminnan loppukäyttäjän työtehtäviin kohdennetut menettelyohjeet ja ovat osa yrityksen tietoturvapolitiikkaa. Suuri osa organisaation tietoturvan toteuttamisesta on kuitenkin työntekijöiden tietoturvatietoisuuden parantamista, ohjeiden ja toimintatapojen luomista sekä niiden noudattamista. Tietoturvallisista käytänteistä vain osa on teknologiaa, sillä ihmisen rooli tietoturvan toteuttajana on keskeinen. Tietoturvakoulutusta laadittaessa tulee muistaa, että koulutuksen ensisijainen tavoite ei ole pelkästään työelämälähtöisyys. Siinä tulee huomioida erilaiset oppijat, joiden tulee tuntea ongelmat ja niiden ratkaisut omikseen, mikä luo erinomaisen perustan ihmisen yksilölliselle kehittymiselle ja motivaatiolle. (Puhakainen 2006.) 2.2 Tietoturvakoulutuksen päämäärä ja tavoite Tietoturvakoulutuksella on todettu olevan erittäin merkittävä vaikutus organisaatiossa vallitsevaan tietoturvakäyttäytymiseen (Desman 2002, Furnell ym. 2002, Herold 2005, McIlwraith 2006, Puhakainen 2006, Roper ym. 2006, Heikka 2008, Albrechtsen & Hovden 2010, Puhakainen & Siponen 2010). Koulutuksen tavoite on parantaa yksilön tietoturvatietoisuutta, asenteita, totuttuja tapoja ja motivaatiota ja ohjata siten organisaation henkilöstön tietoturvakäyttäytymistä haluttuun suuntaan. Ilman jatkuvaa, tehokasta ja systemaattista hyvin suunniteltua koulutusta organisaatiossa työskentelevät ihmiset eivät saa tarpeeksi tietoturvatoimintaa tukevaa informaatiota. Hyvällä tietoturvakoulutuksella voidaan parantaa ihmisen tietoturvatietoisuutta, mikä vaikuttaa motivaatioon ja asenteisiin kohti oikeanlaista tietoturvakäyttäytymistä. (Aytes & Connolly 2003, Marcinkowski & Stanton 20
2003, Layton 2005, Peltier 2005, Thomson & von Solms 2005, Kruger & Kearney 2006, Puhakainen 2006, Siponen ym. 2007.) Usein tietoturvakoulutuksen päämääränä on kouluttaa organisaation tietoturvakäytänteitä ja ohjeistuksia, jotka on laadittu itse tai ne on laatinut ulkoinen toimija. Siksi on ensiarvoisen tärkeää huomioida, että käyttäjien tietoturvaohjeet vastaavat tarkalleen organisaation henkilöstön työtehtäviä. Jos työntekijä kokee, että tietoturvaohjeet eivät vastaa hänen työtehtäviään tai hän ei muuten ymmärrä ohjeiden merkitystä ja sisältöä suhteessa omiin työtehtäviin, ohjeita laiminlyödään helposti (Puhakainen 2006, Pahnila ym. 2007, Siponen ym. 2007, Puhakainen & Siponen 2010, Siponen & Vance 2010, Vance 2010). Koulutuksessa on myös hyvä tuoda selvästi esille jokaisen työtehtäviin liittyvät tietoturvan uhkakuvat ja avata niiden todellinen vaikutus organisaation toimintaan tietoturvaloukkauksen sattuessa (Furnell ym. 1997, Straub & Welke 1998, Nosworthy 2000, Mitnick & Simon 2002, Aytes & Connolly 2003). Tietoturvakoulutuksen tulisi pohjautua ihmisen käyttäytymisen psykologiaan, jota hyödyntäen voidaan pyrkiä ennakkoon arvioimaan ihmisen inhimillisen toiminnan säännönmukaisuutta ja aistimaan toimintaan kohdentuvat uhkakuvat ennen niiden syntymistä (Beatson 1991, Biros 2004). Tietoturvatoimintaa ei usein oteta organisaatiossa riittävän vakavasti, ja sen parantaminen vaatii usein organisaatiokulttuurin muutoksen (Peltier 2000, 2002). Ihminen tarvitsee myös usein asioiden omaksumiseen järjenmukaisen selvityksen ja ymmärryksen siitä, miksi tietoturvallisuutta tarvitaan ja miksi organisaatiossa tulisi toimia tietoturvaohjeiden mukaisesti (Siponen 2000a). Loppukäyttäjän henkilökohtainen motivaatio ja asenne vaikuttavat hyvin olennaisesti tietoturvaan sitoutumiseen. Tietoturvakoulutuksen tulisi sisältää loppukäyttäjän työtehtäviin liittyviä selkeitä toimintatapoja sekä niiden ohjeistamista. Koulutuksen toteuttaminen tulisi sitoa sosiaaliseen näkökulmaan, jonka kautta pyritään vaikuttamaan loppukäyttäjän motivaatioon ja vastuun ottamiseen omasta tietoturvakäyttäytymisestä. (Banerjee ym. 1998, Straub & Welke 1998, Siponen 2000a, 2000c; Siponen & Vartiainen 2001, Puhakainen 2006.) Organisaatiossa työskentelevien ihmisten asenteiden ja moraalin täytyy muuttua yksilö- ja ryhmätasolla, mikäli halutaan muuttaa ihmisten tietoturvakäyttäytymistä. Useat tutkijat kritisoivat tietoturvakoulutuksista puuttuvan ihmisen käyttäytymiseen perustuvan psykologisen näkemyksen ja koulutuksen laadintaan käytetyn teoreettisen taustan. Samassa yhteydessä on myös todettu ihmisten asenteiden olevan epäsovinnainen tietoturvaa kohtaan. (Siponen 2000a, 2000b, 2000c; Kabay 2002, Schultz 2004, Pahnila ym. 2007, Siponen ym. 2007, Siponen & 21