Henkilöstön tietoturvatietoisuuden lisääminen
Ali-Hokka, Arto (2014)
Ali-Hokka, Arto
Laurea-ammattikorkeakoulu
2014
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201401201551
https://urn.fi/URN:NBN:fi:amk-201401201551
Tiivistelmä
Asetus tietoturvallisuudesta valtionhallinnossa (681/2010) ja sen täytäntöönpanossa opastava Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010) ovat valtion organisaatioiden tietoturvallisuustyön ohjenuoria. Ne asettavat vaatimuksia myös organisaation henkilöstölle. Vaatimusten mukaan uudet työntekijät on perehdytettävä tehtäviinsä ja opastuksessa on huomioitava myös tietoturvallisuustekijät. Henkilöstölle on järjestettävä säännöllisesti työtehtävät huomioivaa tietoturvallisuuskoulutusta.
Uusien työntekijöiden rekrytoinnissa pidetään perehdyttämistä itsestään selvyytenä. Alun perin perehdyttäminen on perustunut Työturvallisuuslakiin (738/2002) ja säädöksiin uuden henkilön perehdyttämisestä ja työhön ohjauksesta. Lakisääteisten velvoitteiden lisäksi organisaatioissa on kehitetty perehdytysohjelmia, joilla tulokas pyritään tutustuttamaan työpaikkaan ja saamaan mahdollisimman nopeasti tuottavaan työhön. Usein ohjelmissa keskitytään varsinaiseen fyysiseen toimintaan ja mm. tietoturvallisuusasiat jäävät vähemmälle huomiolle tai jopa sivuutetaan kokonaan.
Henkilöstön suhtautuminen tietoturvallisuuteen vaihtelee organisaatioittain, mutta kohdeorganisaatiossa se koetaan lähinnä työntekoa vaikeuttavana ja asiana, jonka hoitaa joku muu. Suhtautumisen ollessa lähtökohtaisesti negatiivista, vaatii tietoturvallisuuden saanti osaksi jokapäiväistä toimintaa hienovaraista tyrkyttämistä ja vuosia kestävää pitkäjänteistä yrityskulttuurin muuttamistyötä, jonka on alettava uusien työntekijöiden perehdyttämisestä.
Opinnäytetyötäni varten selvitin haastatteluin, miten perehdyttämistä nyt toteutetaan ja miten se on koettu uusien työntekijöiden keskuudessa. MTT:n tietoturvallisuuden kehittämisprojektin yhteydessä syntyneet materiaalit on koottu yhdeksi kokonaisuudeksi helpottamaan tietoturvallisuusasioiden perehdyttämistä. Lisäksi esitän mahdollisen ratkaisutavan eri puolille maata hajasijoitetun valtion tutkimuslaitoksen henkilöstön tehokkaampaan perehdyttämiseen yhdenmukaisesti ja kustannustehokkuus huomioiden. Parhaita koulutuskäytäntöjä etsin verkkolomakkeeseen pohjautuvalla kyselytutkimuksella.
Opinnäytetyön tavoite oli suunnitella ja kehittää prosessit MTT:lle rekrytoitavan henkilöstön tietoturvaperehdytykseen ja henkilöstön säännölliseen tietoturvallisuuskoulutukseen. Vuonna 2013 Maa- ja metsätalousministeriö (MMM) päätti yhdistää Maa- ja elintarviketalouden tutkimuskeskuksen (MTT), Metsäntutkimuslaitoksen (Metla), Riista- ja kalatalouden tutkimuslaitoksen (RKTL) sekä Maa- ja metsätalousministeriön tietopalvelukeskuksen (Tike) tilastotuotannon
vuoden 2015 alusta Luonnonvarakeskukseksi. Fuusiotyön seurauksena opinnäytetyö on toteutettu siten, että se on mahdollisimman pitkälle hyödynnettävissä uudessa organisaatiossa.
Uusien työntekijöiden rekrytoinnissa pidetään perehdyttämistä itsestään selvyytenä. Alun perin perehdyttäminen on perustunut Työturvallisuuslakiin (738/2002) ja säädöksiin uuden henkilön perehdyttämisestä ja työhön ohjauksesta. Lakisääteisten velvoitteiden lisäksi organisaatioissa on kehitetty perehdytysohjelmia, joilla tulokas pyritään tutustuttamaan työpaikkaan ja saamaan mahdollisimman nopeasti tuottavaan työhön. Usein ohjelmissa keskitytään varsinaiseen fyysiseen toimintaan ja mm. tietoturvallisuusasiat jäävät vähemmälle huomiolle tai jopa sivuutetaan kokonaan.
Henkilöstön suhtautuminen tietoturvallisuuteen vaihtelee organisaatioittain, mutta kohdeorganisaatiossa se koetaan lähinnä työntekoa vaikeuttavana ja asiana, jonka hoitaa joku muu. Suhtautumisen ollessa lähtökohtaisesti negatiivista, vaatii tietoturvallisuuden saanti osaksi jokapäiväistä toimintaa hienovaraista tyrkyttämistä ja vuosia kestävää pitkäjänteistä yrityskulttuurin muuttamistyötä, jonka on alettava uusien työntekijöiden perehdyttämisestä.
Opinnäytetyötäni varten selvitin haastatteluin, miten perehdyttämistä nyt toteutetaan ja miten se on koettu uusien työntekijöiden keskuudessa. MTT:n tietoturvallisuuden kehittämisprojektin yhteydessä syntyneet materiaalit on koottu yhdeksi kokonaisuudeksi helpottamaan tietoturvallisuusasioiden perehdyttämistä. Lisäksi esitän mahdollisen ratkaisutavan eri puolille maata hajasijoitetun valtion tutkimuslaitoksen henkilöstön tehokkaampaan perehdyttämiseen yhdenmukaisesti ja kustannustehokkuus huomioiden. Parhaita koulutuskäytäntöjä etsin verkkolomakkeeseen pohjautuvalla kyselytutkimuksella.
Opinnäytetyön tavoite oli suunnitella ja kehittää prosessit MTT:lle rekrytoitavan henkilöstön tietoturvaperehdytykseen ja henkilöstön säännölliseen tietoturvallisuuskoulutukseen. Vuonna 2013 Maa- ja metsätalousministeriö (MMM) päätti yhdistää Maa- ja elintarviketalouden tutkimuskeskuksen (MTT), Metsäntutkimuslaitoksen (Metla), Riista- ja kalatalouden tutkimuslaitoksen (RKTL) sekä Maa- ja metsätalousministeriön tietopalvelukeskuksen (Tike) tilastotuotannon
vuoden 2015 alusta Luonnonvarakeskukseksi. Fuusiotyön seurauksena opinnäytetyö on toteutettu siten, että se on mahdollisimman pitkälle hyödynnettävissä uudessa organisaatiossa.