- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.6 Sidosryhmien sitoutuminen (syventävä)
Sidosryhmien sitoutuminen (syventävä)¶
Työntekijät (syventävä)¶
Miten sitouttaa työntekijät turvalliseen käyttäytymiseen? Kommunikointi, johdon esimerkki ja organisaation kulttuuri ovat tärkeitä tekijöitä, jotka vaikuttavat sitoutumiseen. Työntekijöitä voidaan kuitenkin sitouttaa myös suoremmin. Tässä auttaa, kun selvitetään juurisyyt turvattomalle käyttäytymiselle. Juurisyitä voivat olla esimerkiksi huonosti suunniteltu turvallisuus tai perustavaa laatua oleva organisaation epäonnistuminen työntekijöiden tehtävien tukemisessa.
Työntekijöitä voidaan sitouttaa esimerkiksi pyytämällä työntekijöitä pohtimaan työympäristöään, millaisia tunteita heillä on, mitä rajoitteita he kokevat, millaisia paineita heillä on, ja millaisia toimia he tekevät, kun luovat tai jakavat tietoa. Tavoitteena on selvittää, miten työntekijät kokevat ympäristönsä ja miten turvallisuus voidaan parhaiten sovittaa siihen. On siis tarkoitus, että ihmiset eivät enää joudu sopeutumaan erilaisiin mekanismeihin vaan mekanismit sopeutetaan ihmisten ja heidän tehtäviensä mukaan. Samalla fokus siirtyy ihmisten virheiden ja käyttäytymisen korjaamisesta ihmisten ja heidän tehtäviensä tukemiseen. Tavoitteena on sekä tuottavuuden kasvu, että turvallisuuden parantaminen. Samalla myös asenne turvallisuutta kohtaan muuttuu positiiviseksi.
Ohjelmistokehittäjät ja käytettävä tietoturva (syventävä)¶
Huono käytettävyys turvallisuudessa vaikuttaa myös teknisesti taitaviin työntekijöihin, kuten ohjelmistojen kehittäjiin ja järjestelmien ylläpitäjin. Heidän kuormituksensa ja virheensä kasvavat, jos työkalut eivät ole käytettäviä. Tämä saattaa näkyä myös lopputuotteessa bugeina ja turvallisuusongelmina. Ohjelmistojen kehittäjillä on myös usein aikataulupaineita ja turvallisuuskoulutus saattaa loistaa poissaolollaan. Tuloksena on turvatonta softaa, joka on lopulta ongelma kaikille käyttäjille.
Tutkimuksissa on huomattu, että turvallisuusajattelu ei välttämättä automaattisesti kuulu ohjelmistojen kehitykseen. Esim. on havaittu, että myös tietojenkäsittelyn opiskelijat ja ohjelmistokehittäjät keskittyvät päätehtävään ja turvallisuus on toisarvoista. Kun heitä koetilanteessa pyydettiin kehittämään salasanoja tallentava ohjelma, kukaan opiskelijoista ja vain harvat kehittäjät liittivät siihen mitään turvaominaisuuksia. Ainoastaan erikseen pyytämällä turvallisuus huomioitiin. Riskinä on myös vanhentuneiden turvamekanismien käyttö tai virheiden tekeminen niitä käytettäessä, esim. tässä kokeessa opiskelijat pyydettäessä käyttivät mekanismeja kehittäjiä paremmin. Suuri ongelma turvallisten ohjelmien tuottamiselle on se, että kryptokirjastoja ja -rajapintoja on vaikea käyttää. Viime aikoina niiden käytettävyyteen on alettu kiinnittää huomiota, sillä kehittäjien virheet aiheuttavat suuria riskejä lopputuotteeseen.
Turvallisuuden näkökulmasta tulisi kiinnittää huomiota myös siihen, että kehittäjät ja käyttäjät eivät välttämättä ymmärrä toisiaan. Kehittäjät eivät usein osaa ajatella, miten suuri merkitys käytettävyydellä on loppukäyttäjän tuottavuudelle tai turvallisuudelle. Onkin suositeltu, että kehittäjille tulisi tarjota tilaisuuksia kokeilla loppukäyttäjän työtehtäviä kehitettävällä ohjelmistolla, jolloin olisi mahdollista ymmärtää paremmin käytettävyys- ja turvallisuuspuutteiden konkreettinen vaikutus, ja huomioida ne paremmin ohjelmistonkehityksessä.