Employees shall be trained as appropriate.
Guidance
- Employees include all users and managers of the ICT/OT systems, and they should be trained
immediately when hired and regularly thereafter about the company’s information security policies
and what they will be expected to do to protect company’s business information and technology.
- Training should be continually updated and reinforced by awareness campaigns.
The organization shall incorporate insider threat recognition and reporting into security
awareness training.
Guidance
Consider to:
- Communicate and discuss regularly to ensure that everyone is aware of their responsibilities.
- Develop an outreach program by gathering in a document the messages you want to convey to your
staff (topics, audiences, objectives, etc.) and your communication rhythm on a calendar (weekly,
monthly, one-time, etc.). Communicate continuously and in an engaging way, involving management,
IT colleagues, the ICT service provider and HR and Communication managers.
- Cover topics such as: recognition of fraud attempts, phishing, management of sensitive information,
incidents, etc. The goal is for all employees to understand ways to protect company information.
- Discuss with your management, your ICT colleagues, or your ICT service provider some practice
scenarios (e.g. what to do if a virus alert is triggered, if a storm cuts off the power, if data is blocked,
if an account is hacked, etc.), determine what behaviours to adopt, document and communicate
them to all your staff. The central point of contact in the event of an incident should be known to all.
- Organize a simulation of a scenario to test your knowledge. Consider performing the exercise for
example at least once a year.
The organization shall implement an evaluation method to measure the effectiveness of the
awareness trainings.
Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:
Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":
Organisaatio on muodostanut henkilöstölle toimintaohjeet, joilla määritellään eri viestintäpalvelujen hyväksyttävä käyttö ja joiden avulla pyritään estämään luottamuksellisen tiedon paljastaminen esimerkiksi tietojenkalastelijalle tai muille ulkopuolisille.
Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:
Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.
Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.
Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:
Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:
Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.
Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
