Henkilöstön ohjeistus- ja koulutusmenettely digiturva-asioissa

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

• ajankohta
• koulutuksen aihepiirit ja kesto
• koulutuksen toteutustapa ja kouluttaja
• koulutukseen osallistuneet henkilöt

Organisaatiolla tulee luoda menettely henkilöstöään koskevaa koulutusta ja ohjausta varten. Näihin menettelyiden tulisi sisältää ja kattaa ainakin seuraavat aiheet:

• Tietoturvapolitiikka.
• Turvallisuuspoikkeamien raportointi.
• Reagointi haittaohjelmahäiriöihin.
• Käyttäjätiliä ja kirjautumistietoja koskevat käytännöt (esim. salasanakäytännöt).
• Tietoturvasäännösten noudattaminen.
• Salassapitosopimusten (NDA) käyttö arkaluonteisia tietoja jaettaessa.
• Ulkoisten IT-palveluiden käyttö.

Koulutusohjelmassa olisi yksilöitävä tietyt työntekijäryhmät, jotka tarvitsevat tätä koulutusta, kuten järjestelmänvalvojat, tuotantohenkilöstö sekä henkilöt, joilla on pääsy asiakasverkkoihin.

Vastuullisen johdon on hyväksyttävä koulutusmenettely. Koulutus- ja tietoisuusohjelmat on toteutettava säännöllisesti ja erityisten tapahtumien yhteydessä. Varmista, että työntekijät tietävät, keneen ottaa yhteyttä tietoturva asioissa.

Organisaatiolla on oltava henkilöstölle määritelty tietosuojaa koskeva koulutusohjelma. Koulutuksissa olisi otettava huomioon tietosuojatarpeet määriteltäessä koulutuksen laajuutta, tiheyttä ja sisältöä.

Kriittisillä alueilla työskentelevä henkilöstö (esim. IT-ylläpitäjät) on koulutettava ja opastettava ottaen huomioon heidän työnsä vaatimukset. Heille pitäisi järjestää erityisiä koulutuksia ja ohjeita.

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

• saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
• saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
• saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

• Onko henkilöstön osaaminen tarpeeksi syvällistä?
• Ovatko koulutustavat ja -määrät oikeat?
• Koulutetaanko eri yksiköille oikeita asioita?
• Onko henkilöstö motivoitunutta oppimaan?
• Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

Ennen pääsyoikeuksien myöntämistä järjestettävä koulutus koskee uusien työntekijöiden lisäksi niitä, jotka siirtyvät uusiin tehtäviin tai rooleihin, etenkin kun henkilön käyttämät tietojärjestelmät sekä työrooliin liittyvät tietoturvavaatimukset muuttuvat merkittävsti työroolin vaihdoksen myötä. Koulutus järjestetään ennen uuden työroolin muuttumista aktiiviseksi.

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

Organisaation täytyy muistuttaa työntekijöitä rooleistaan ja tietoturvavastuistaan. Muistuttamalla vahvistetaan henkilöstön tietoturvatietoisuutta, turvallisia toimintatapoja sekä heidän työrooliinsa liittyvien ohjeistusten sekä lakisääteisten vaatimusten noudattamista.

Organisaation tulisi käyttää koulutusmateriaaleissaan todellisia skenaarioita tietoturvaloukkauksista henkilöstön kouluttamiseksi ja tietoisuuden lisäämiseksi. Simuloimalla todellisia häiriöitä työntekijät voivat paremmin ymmärtää mahdollisia riskejä, tunnistaa haavoittuvuuksia ja reagoida tehokkaammin todellisten häiriöiden aikana.