Hallituksilla on keskeinen rooli tässä, ja hallitusten täytyy nostaa asiaa yhä vahvemmin esille kuten PwC: n raporttikin osoittaa. Hallitusten pitää esittää johtoryhmille oikeita kysymyksiä ja varmistaa, ettei työntekijöitä yhteen sitovan yhteisöllinen yrityskulttuuri pääse heikkenemään.
Viime vuosina on havaittu sekin, että tietoturva on olennainen osa hallitusten alulle laittamia yrityskulttuurihankkeita.
Tämä johtuu pääosin kahdesta syystä:
1. Hybridistä työnteosta aiheutuva uhkataso on merkittävä
Ei ole epäilystäkään siitä, että hybridi työnteko altistaa organisaatioita kasvavassa määrin tietomurroille. Yritysverkkoihin kohdistettujen kiristyshaittaohjelmien määrä kasvoi vuoden 2020 ensimmäisen puoliskon aikana peräti 72%. Kyberrikolliset hyödyntävät myös hybridiä työntekoa tekemällä yhä enemmän sähköposteilla tehtyjä hyökkäyksiä, joiden kohteena ovat haavoittuvuuksia sisältävät tietojärjestelmät sekä päivittämättömät ohjelmistot ja laitteet.
2. Työntekijöillä ei ole tarpeeksi tietoa ja kiinnostus hiipuu
Työntekijöiden tietämättömyys hyökkäysten vakavista seurauksista vaikuttaa olennaisella tavalla hyökkäysten kasvuun. Tuore selvitys osoittaa, että yli kaksi-kolmasosaa työntekijöistä ei tiedosta kotitoimistolla kybertietoturvariskejä. Kotona noudatetaan yhä laiskemmin yrityksen tietoturvapolitiikan mukaisia käytäntöjä. HP Wolf Securityn tekemän tutkimuksen mukaan 80% IT-yksiköistä on kohdannut vuonna 2021 käyttäjien kielteisen asenteen yrityksen tietoturvakontrolleja kohtaan kotona tapahtuvaan työntekoon. Tutkimuksesta kävi ilmi, että nuoremmista työntekijöistä yli puolet on enemmän huolissaan kokousten takarajoista kuin aiheutetuista tietomurtoriskistä. 39% ei tunne yrityksen tietoturvapolitiikkaa. 83% IT-tiimeistä on sitä mieltä, että tietoturvapolitiikan vahvistaminen on hybrideissä työympäristöissä käymässä ’mahdottomaksi’.
Kohti uutta tietoturvan lähestymistapaa
Hallitukset voivat vastata näihin haasteisiin edistämällä ja luomalla hybridiin työntekoon räätälöityä tietoturvatietoista yrityskulttuuria yhdessä yrityksen johtoryhmän kanssa. Tietoturvatietoisessa yrityskulttuurissa työntekijät kokevat kollektiivista vastuuta ja tiedostavat minkälaisia seurauksia virheillä voi olla. On tärkeää, että jokainen työntekijä kokee oman roolinsa merkittäväksi.
Suosittelemme yrityksiä noudattamaan tätä 4 kohdan listaa tietoturvatietoisen yrityskulttuurin rakentamisessa:
1. Ota työntekijät mukaan uuden turvallisuuskulttuurin rakentamiseen
Tee työntekijöiden keskuudessa kartoitus, jossa selvitetään heidän näkemyksiään uusiin tietoturva-asioihin liittyen. Näin luot vuoropuhelua ja saat informaatiota niistä haasteista ja ongelmista, joita työntekijät kohtaavat työskennellessään kotona. Miten he löytävät tasapainon tuottavuuden ja kotona elämisen osalta samalla kun data ja tietojärjestelmät on pidettävä turvassa? Kartoitus tuottaa arvokasta tietoa, miten hyvin työntekijäsi ymmärtävät hybridiin työntekoon liittyvät uhkat ja riskit käyttämillään laitteilla, kuten esimerkiksi älykaiuttimilla, ja mitkä heidän velvollisuutensa ovat.
2. Edistä luottamuksellisen ilmapiirin rakentamista
Tällä hetkellä suurin osa työntekijöistä ei halua raportoida tietoturvauhkista koska he pelkäävät mahdollisista lisäselvityksistä aiheutuvaa vaivaa. Tilanne on kestämätön ja johtaa todennäköisesti siihen, että lisää tietomurtoja jää havaitsematta. Tämä voi johtaa myös siihen, että virheistä ei oteta opiksi eikä päästä tekemään parannuksia yrityksen tietoturvaprosessien hallintaan. Jotta tähän haasteeseen voitaisiin tarttua hallitusten tulisi ottaa vastuuta avoimemman dialogin luomisesta työntekijöiden ja johdon välille: kannustaa läpinäkyvyyteen, lisätä vastuullista raportointia ja edistää turvallisuustietoisempaa yrityskulttuuria.
3. Luo uusi tietoturvapolitiikka hybridiin työntekoon
Tutkimuksista ja raporteista tehtyjen havaintojen perusteella hallitusten on vaikutettava siihen, että yritykseen luodaan uusi tai päivitetty tietoturvapolitiikka. Tietoturvapolitiikassa pitää huomioida erityisesti se, miten työntekijät tekevät töitä muuttuvassa ympäristössä. Tietoturvapolitiikkaan tarvitaan myös uudet KPI-mittarit, jotta jokainen työntekijä tietää, miten tietoturvaa arvioidaan ja miten jokainen voi myös itse vaikuttaa yrityksen tietoturvatasoon.
4. Tue tietoturvapolitiikkaa koulutuksella
Uudesta tietoturvapolitiikasta ei ole paljonkaan hyötyä, mikäli käytännöistä ja politiikan tuomasta lisäarvosta ei viestitä työntekijöille. Hallitusten pitää tukea johtoryhmiä ja osaltaan edistää tietoturvakoulutuksia sekä tietoturvatietoisia yrityskulttuurihankkeita. Näin varmistetaan, että työntekijät ymmärtävät ja sitoutuvat myös noudattamaan uutta tietoturvapolitiikkaa.
Lisää tästä aiheesta saatavilla uudesta hallituksille laaditusta käsikirjastamme: Miten hallita hybridin työnteon vaikutuksia kyberturvallisuuteen
Sinua voisi kiinnostaa myös hybridin työnteon ja tietoturvan tarkistuslistamme, jossa käsitellään kaikkia liiketoiminnan kannalta tärkeitä tietoturvan ydinkysymyksiä, joita hallitukset voivat tukea.