Cisco: Yritysten tietoturvasäännöt ja todellisuus eivät kohtaa

Lehdistötiedote

17.11.2008

Cisco: Yritysten tietoturvasäännöt ja todellisuus eivät kohtaa
Henkilöstö ei tunne sääntöjä tai kiertää niitä

Liian tiukkoja ja henkilöstölle huonosti perusteltuja tietoturvasääntöjä ei noudateta kunnolla. Jos henkilöstö kokee tietoturvaohjeiden hankaloittavan työntekoaan eikä ymmärrä niiden taustalla olevia tavoitteita, ihmiset helposti jättävät säännöt omaan arvoonsa. Tiedot perustuvat Ciscon kansainväliseen Data Leakage -tietoturvatutkimukseen. Siinä selvitettiin, miten laajalti yrityksissä on laadittu kirjalliset tietoturvaohjeet ja miten henkilöstö niitä noudattaa.

Tutkimus toteutettiin yli 10 eri maassa ja siinä haastateltiin yli 2 000 henkilöä. Tutkimuksen teki InsightExpress.

Tutkimuksen mukaan suurin osa (77 prosenttia) yrityksistä on laatinut kirjalliset tietoturvasäännöt. Japanissa jopa 39 prosentissa yrityksistä ei ole kirjallista tietoturvasäännöstöä. Vaikka yrityksillä olisi kirjalliset ohjeet ja säännöt, henkilöstö usein uhmaa niitä tai jättää ne huomiotta. Yli puolet haastatelluista työntekijöistä myönsi, ettei aina noudata sääntöjä. Ranskassa jopa 84 prosenttia työntekijöistä myönsi rikkoneensa sääntöjä joko silloin tällöin tai säännöllisesti. Intiassa 11 prosenttia työntekijöistä kertoi, ettei noudata sääntöjä juuri lainkaan tai koskaan.

"Tutkimus osoittaa, että yritysten täytyisi nostaa tietoturvasäännöt perusteelliseen tarkasteluun ja miettiä, miten viestiä sääntöjen sisältö henkilöstölle. Jos ihmiset kokevat tietoturvasääntöjen olevan epäreiluja, hankaloittavan heidän työtään, eivätkä ymmärrä miksi sääntö on olemassa, ohjeet menettävät merkityksensä. Tietoturvaohjeet on liian usein kirjoitettu säännöksi, ei maalaisjärjen ohjenuoraksi. Tietoturvatietoisuus, koulutus ja viestintä kirkastavat ihmisille, miksi ohjeita on olemassa ja niitä täytyy noudattaa", toteaa Ciscon tietoturvajohtaja John N. Stewart.

Tietoturvaongelmat eivät jää ainoastaan yritysten sisäisiksi. Tutkimuksessa 20 prosenttia kertoi, että ongelmat ovat aiheuttaneet esimerkiksi asiakastietojen katoamista.

Suomalaiset noudattavat sääntöjä, mutta sääntöjä ei yleensä ole

“Suomi ei ollut mukana itse tutkimuksessa, mutta trendit ovat meilläkin samat. Työn ja vapaa-ajan rajojen hämärtyessä ihmiset tekevät yhä enemmän etätöitä, käyttävät erilaisia viestintä- ja työryhmäsovelluksia ja erilaisia päätelaitteita, tällöin tietoturvasääntöjen merkitys kasvaa yhä tärkeämmäksi. Me Suomessa olemme olleet ylpeitä siitä, että meillä noudatetaan sääntöjä yleensä hyvin. Mutta ongelma onkin meillä siinä, että aivan suurimpia yrityksiä lukuun ottamatta viralliset tieturvasäännöt ovat varsin harvinaisia”, toteaa tietoturva-asiantuntija Janne Tägtström Suomen Ciscosta.

Suurimmat tietoturvariskit sijaitsevat Cisconkin mukaan edelleen näppäimen ja tuolin välissä. Tietokoneen käyttäjätunnukset ja salasanat löytyvät usein näppäimistön alta muistilapulta, kannettava tietokone unohdetaan autoon näkyville kauppamatkan ajaksi ja lapset päästetään työkoneelle surffailemaan ja lataamaan erilaisia ohjelmia.

”Yritykset tarvitsevat kirjallisen tietoturvapolitiikan, mutta sääntöjen ei tulisi olla kiveen hakattuja, ja ne tulisi perustella henkilöstölle. Tärkeintä olisi, että käyttäjät ymmärtäisivät, ettei työkoneella voi tehdä kaikkia samoja asioita kuin kotikoneella. Jos tietoturva-ammattilaiset päättäisivät asioista, niin suurin osa kieltäisi kaikki web 2.0 –sovellukset wikipedioineenkin, mikä ei taas välttämättä ole yrityksen etu”, Tägtström toteaa. 

Tietoturvauhka tulee sisältä

Tietoisuus: IT-osastolla tiedetään yrityksen tietoturvapolitiikka, mutta tutkimuksen mukaan muualla organisaatiossa ei. Tietohallinto-osastolla tietoturvapolitiikka on 20-30 prosenttia tutumpi kuin muualla yrityksessä.

Viestiminen: 11 prosenttia vastaajista totesi, ettei yrityksen IT-osasto ole koskaan kertonut tai kouluttanut henkilöstöä tietoturvasäännöistä. Niissä yrityksissä, joissa tietoturvasäännöistä on viestitetty, se on tapahtunut pääasiassa sähköpostin välityksellä.

Päivittäminen: 77 prosenttia tietohallintoammattilaisista on sitä mieltä, että tietoturvasääntöjä tulisi päivittää nykyistä useammin. Muusta henkilöstöstä 47 prosenttia oli samaa mieltä.

Kohtuullisuus: Suurin osa työntekijöistä pitää yrityksen tietoturvasäännöstöä kohtuuttomana. Tätä mieltä oltiin kahdeksassa maassa kymmenestä, vain Saksassa ja Yhdysvalloissa oltiin eri mieltä. Työn muuttuessa yhä enemmän ajasta ja paikasta riippumattomaksi tiimityöksi, työn luonne ja tietoturva ovat helposti ristiriidassa keskenään.

Epäkäytännöllisyys: IT-henkilöstö uskoo, ettei henkilöstö noudata tietoturvaohjeita monestakaan eri syystä: henkilöstö ei ymmärrä riskien suuruutta tai ei välitä niistä. Sen sijaan työntekijät itse kertoivat yleisimmäksi syyksi sen, että tietoturvapolitiikka hankaloittaa työntekoa. 42 prosenttia vastaajista mainitsi tämän tärkeimmäksi syyksi rikkoa sääntöjä.

Lisätietoja:
Cisco Systems Finland Oy, puh. 0204 7061
tietoturva-asiantuntija Janne Tägtström
janne.tagtstrom (at) cisco.com

Alkuperäinen englanninkielinen tiedote:
http://newsroom.cisco.com/dlls/2008/prod_102808.html

Cisco Systems (NASDAQ: CSCO) on maailman johtava tietoverkkoratkaisujen toimittaja. Ciscon ratkaisuihin perustuvat tietoverkot mahdollistavat puheen, datan ja videokuvan turvallisen välittämisen ja jakamisen ajasta tai paikasta riippumatta. Ciscon kehittämät laitteet, ohjelmistot ja palvelut auttavat ihmisiä monipuolistamaan viestintäänsä ja vuorovaikutustaan tietoverkkojen välityksellä. Lisätietoa Ciscosta löytyy osoitteista http://newsroom.cisco.com ja suomeksi www.cisco.fi

Tarvitsetko apua?

Share