- COMP.SEC.100
- 5. Inhimilliset tekijät
- 5.5 Positiivisuus ja sitoutuminen
Positiivisuus ja sitoutuminen¶
Tässä alaluvussa nostetaan esille kaksi myönteisyyttä korostavaa näkökulmaa, joilla turvallisuutta voidaan edistää.
Positiivinen turvallisuus¶
Puhe kyberturvallisuudesta perustuu usein pelotteeseen; puhutaan riskeistä, uhkista, ja kalliista seurauksista, kun jokin on mennyt vikaan. Toisaalta asiantuntijat ovat sitä mieltä, että kyberturvallisuutta ei oteta tarpeeksi vakavasti eikä riskeihin varauduta tarpeeksi. Pelotteeseen perustuva markkinointi ei kuitenkaan välttämättä ole paras pohja päätöksenteolle, sillä jos kyberturvallisuuteen tehdyt panostukset osoittautuvat tehottomiksi, sen hyötyjä aletaan kyseenalaistaa ja seuraaviin investointeihin suhtaudutaan entistä nihkeämmin.
Tehokkaaseen puolustautumiseen tarvitaan enemmän kuin passiivista noudattamista, tarvitaan työntekijöitä, jotka haluavat puolustaa organisaatiotaan ja jotka ottavat vakavasti velvoitteet, joita turvallisuuden toteutuminen heiltä vaatii. Tätä ei saavuteta pelotteen kautta tai sillä, että turvallisuutta markkinoidaan vain vapautumisena uhkista. Positiivinen turvallisuus esittää asian niin, että turvallisuudesta tulee mahdollistaja, ja sen avulla organisaatio pääsee vapaasti toteuttamaan ydintehtäviään. Siihen kuuluu myös, että työntekijät otetaan mukaan rakentamaan turvallisuutta. Turvallisuus ei siis enää ole joukko tietohallinnolta tulevia pelotteluviestejä, ohjeita ja rajoituksia, vaan jotakin mitä työntekijät aktiivisesti toimillaan rakentavat.
Sidosryhmien sitoutuminen (syventävä)¶
Työntekijät (syventävä)¶
Miten sitouttaa työntekijät turvalliseen käyttäytymiseen? Kommunikointi, johdon esimerkki ja organisaation kulttuuri ovat tärkeitä tekijöitä, mutta työntekijöitä voidaan sitouttaa myös suoremmin. Tässä auttaa, kun selvitetään juurisyyt turvattomalle käyttäytymiselle. Niitä voivat olla esimerkiksi huonosti suunniteltu turvallisuus tai organisaation epäonnistuminen työntekijöiden tehtävien tukemisessa.
Työntekijöitä voidaan sitouttaa esimerkiksi pyytämällä työntekijöitä pohtimaan työympäristöään: millaisia tunteita heillä on, mitä rajoitteita he kokevat, millaisia paineita heillä on, ja millaisia toimia he tekevät, kun luovat tai jakavat tietoa. Tavoitteena on selvittää, miten työntekijät kokevat ympäristönsä ja miten turvallisuus voidaan parhaiten sovittaa siihen. On siis tarkoitus, että ihmiset eivät enää joudu sopeutumaan erilaisiin mekanismeihin vaan mekanismit sopeutetaan ihmisten ja heidän tehtäviensä mukaan. Samalla fokus siirtyy ihmisten virheiden ja käyttäytymisen korjaamisesta ihmisten ja heidän tehtäviensä tukemiseen. Tavoitteena on sekä tuottavuuden kasvu, että turvallisuuden parantaminen. Samalla myös asenne turvallisuutta kohtaan muuttuu positiiviseksi.
Ohjelmistokehittäjät ja käytettävä tietoturva (syventävä)¶
Huono käytettävyys turvallisuudessa vaikuttaa myös teknisesti taitaviin työntekijöihin, kuten ohjelmistojen kehittäjiin ja järjestelmien ylläpitäjiin. Heidän kuormituksensa ja virheensä kasvavat, jos työkalut eivät ole käytettäviä. Tämä saattaa näkyä myös lopputuotteessa bugeina ja turvallisuusongelmina. Ohjelmistojen kehittäjillä on myös usein aikataulupaineita ja turvallisuuskoulutus saattaa loistaa poissaolollaan. Tuloksena on turvatonta softaa, joka on lopulta ongelma kaikille käyttäjille.
Tutkimuksissa on huomattu, että turvallisuusajattelu ei välttämättä automaattisesti kuulu ohjelmistojen kehitykseen. Sekin on havaittu, että tietojenkäsittelyn opiskelijat ja ohjelmistokehittäjät keskittyvät päätehtävään ja turvallisuus on toisarvoista. Kun heitä koetilanteessa pyydettiin kehittämään salasanoja tallentava ohjelma, ei kukaan opiskelija ja vain harva kehittäjä liitti siihen mitään turvaominaisuuksia. Ainoastaan erikseen pyytämällä turvallisuus huomioitiin. Riskinä on myös vanhentuneiden turvamekanismien käyttö tai virheiden tekeminen niitä käytettäessä; mainitussa kokeessa opiskelijat pyydettäessä käyttivät mekanismeja kehittäjiä paremmin. Suuri ongelma turvallisten ohjelmien tuottamiselle on se, että kryptokirjastoja ja -rajapintoja on vaikea käyttää. Viime aikoina niiden käytettävyyteen on alettu kiinnittää huomiota, sillä kehittäjien virheet aiheuttavat suuria riskejä lopputuotteeseen.
Turvallisuuden näkökulmasta tulisi kiinnittää huomiota myös siihen, että kehittäjät ja käyttäjät eivät välttämättä ymmärrä toisiaan. Kehittäjät eivät usein osaa ajatella, miten suuri merkitys käytettävyydellä on loppukäyttäjän tuottavuudelle tai turvallisuudelle. Onkin suositeltu, että kehittäjille tarjotaan tilaisuuksia kokeilla loppukäyttäjän työtehtäviä kehitettävällä ohjelmistolla. Tällöin he voisivat konkreettisesti ymmärtää käytettävyys- ja turvallisuuspuutteiden vaikutuksen ja tämä heijastuisi ohjelmistonkehitykseen.