Positiivinen turvallisuus¶

Puhe kyberturvallisuudesta perustuu usein ‘pelotteeseen’, puhutaan riskeistä, uhkista, ja kalliista seurauksista, kun jokin on mennyt vikaan. Toisaalta kyberturvallisuuden asiantuntijat ovat sitä mieltä, että kyberturvallisuutta ei oteta tarpeeksi vakavasti eikä riskeihin varauduta tarpeeksi. Pelotteeseen perustuva kyberturvallisuuden “markkinointi” ei kuitenkaan välttämättä ole paras pohja päätöksenteolle, sillä jos kyberturvallisuuteen tehdyt panostukset osoittautuvat tehottomiksi, sen hyötyjä aletaan kyseenalaistaa ja seuraaviin kyberturvainvestointeihin suhtaudutaan entistä nihkeämmin.

Tehokkaaseen puolustautumiseen tarvitaan enemmän kuin passiivista “noudattamista”, tarvitaan työntekijöitä, jotka haluavat puolustaa organisaatiotaan ja jotka ottavat vakavasti velvoitteet, joita turvallisuuden toteutuminen heiltä vaatii. Tätä ei saavuteta pelotteen kautta, tai sillä että turvallisuutta markkinoidaan vapautumisena uhkista. Positiivinen turvallisuus esittää asian niin, että turvallisuudesta tulee mahdollistaja, ja sen avulla organisaatio pääsee vapaasti toteuttamaan ydintehtäviään. Siihen kuuluu myös, että työntekijät otetaan mukaan rakentamaan turvallisuutta. Turvallisuus ei siis enää ole joukko tietohallinnolta tulevia pelotteluviestejä, ohjeita ja rajoituksia, vaan jotakin mitä työntekijät aktiivisesti toimillaan rakentavat.

Vastaa kysymyksiin.

Kysymys 1

Hipter Inc:issä on herätty siihen, että työntekijöiden asenne turvallisuutta parantamaan pyrkiviä ohjeita ja toimintatapoja kohtaan on hieman negatiivinen. Työntekijöillä on paljon ohjeita ja tietoa, mutta turvallisuus koetaan joksikin, jota pitää erikseen toteuttaa ja se on koettu työlääksi. Lisäksi virheitä on sattunut, ja osa työntekijöistä on alkanut miettiä, onko ohjeista hyötyä, kun ne eivät tositilanteessa auttaneet. Tähän asti tietohallinto on esim. varoitellut sähköpostilla työntekijöitä huijausviesteistä tai on järjestetty erilaisia koulutuksia, joissa tietoisuutta on yritetty lisätä kertomalla varoittavia esimerkkejä huijausten seurauksista. Voisiko Hipster Inc. tehdä jotakin paremmin? Valitse kaikki sopivat vaihtoehdot.

Hipter Inc. voisi järjestää työntekijöille turvallisuuteen liittyviä harjoituksia.

Työntekijöille voisi jakaa positiiviseen asenteeseen liittyvän self-help -kirjan.

Työntekijöille tulisi selventää, että turvallisuusohjeiden ja sääntöjen noudattaminen vapauttaa uhkien jatkuvasta miettimisestä.

Työntekijöille tulisi tehdä selväksi, että heitä tarvitaan turvallisuuden rakentamiseen.

Hipster Inc. voisi kysyä työntekijöiltä, miten nämä lisäisivät turvallisuutta työtehtävissään.

Työntekijöitä voisi valvoa tarkemmin, jotta ohjeita varmasti noudatetaan.

Työntekijöille tulisi konkreettisesti näyttää, miten turvallisuus auttaa heitä suoriutumaan paremmin työtehtävissään.