Vaatimusten noudattamisen kulttuurin kehittäminen on yhtä tärkeää kuin työpaikkakulttuurin luominen organisaatioissa. Equifaxin ja Capital Onen kaltaiset organisaatiot aiheuttavat mediamyrskyjä, kun niiden valvomia tietoja paljastuu; tietovuotoja on kuitenkin monenlaisia ja kaikenkokoisia. Yksi vahingollisimmista on työntekijän kautta tapahtuva tahaton tietovuoto. Tällaisen tietovuodon seurauksilla voi olla valtavia vaikutuksia organisaatiolle, sillä arkaluonteisten tietojen menetys on kiusallista ja maineelle haitallista, mutta se voi myös vaikuttaa vaatimustenmukaisuuteen ja johtaa suuriin sakkoihin.
Tietoturvan noudattamiskulttuurin luominen voi auttaa estämään yritystäsi joutumasta sääntöjen noudattamisen tilastoihin; tässä kerrotaan, miten ja miksi.
Kun hyvät sisäpiiriläiset menevät vahingossa huonoiksi
Monia aloja vaivaavat ihmisten aiheuttamat onnettomuudet ja virheet, kuten tietokannan virheellinen konfigurointi tai arkaluonteisen sähköpostin virheellinen toimittaminen. Tällaiset tietoturvatapahtumat ovat valitettavasti aivan liian yleisiä, sillä Verizon 2021 Data breach Investigations Report - raportin mukaan 22 prosenttia tietoturvaloukkauksista johtui sisäpiirin toimijoista.
Jotkin sisäpiirin uhkat voivat olla pahantahtoisia, mutta vahingossa tapahtuvilla uhkilla voi silti olla valtava vaikutus yrityksen vaatimustenmukaisuuteen - esimerkkinä Australian kansallinen yliopisto. Yliopiston henkilökunnan vanhempi jäsen paljasti vahingossa 700 megatavua tietoja, jotka sisälsivät muun muassa nimiä, osoitteita, verorekisterinumeroita ja pankkitilitietoja. Tapaus sattui, kun onnistunut spear-phishing-kampanja, joka kohdistui kymmeniin ANU:n henkilökunnan sähköposteihin, johti siihen, että hakkerit pääsivät verkkoon etuoikeutetun käyttäjätunnuksen ja salasanan avulla.
Väärin suunnatut sähköpostit ovat toinen yleinen tietovuodon syy. Sähköpostin harhaanjohtaminen tai vääränlainen toimittaminen on helppoa, ja cc- eikä bcc-koodin käyttö on yleinen tapa jakaa vahingossa arkaluonteisia tietoja. Näin tapahtui vuonna 2020 Sonosille, kun työntekijä paljasti vahingossa yli 450 sähköpostiosoitetta lisäämällä asiakkaiden osoitteet cc-kenttään bcc-kentän sijasta vastatessaan asiakkaiden valituksiin. Eräs cc-luettelossa ollut loukkaantunut asiakas ilmoitti tapauksesta ICO:lle.
Tehokas tapa haastaa tämä käyttäytyminen on tehdä työntekijöille selväksi, miten yksinkertaiset onnettomuudet tai phishing-sähköpostit vaikuttavat organisaation vaatimustenmukaisuuteen. Jos tämä sitouttaminen työntekijöiden kanssa sääntöjen noudattamiseen liittyviin kysymyksiin tehdään hyvin, tuloksena on yhtenäinen kyberturvallisuuden noudattamisen kulttuuri.
Miten rakentaa kyberturvallisuuden noudattamisen kulttuuri
Vaatimustenmukaisuutta koskeva koulutus edellyttää organisaatioon vaikuttavien lakien ja asetusten ymmärtämistä. Säädökset nivoutuvat yhteen kyberturvallisuuden kanssa, kun on kyse tietosuojalakeista, kuten Yhdistyneen kuningaskunnan tietosuoja-asetuksesta (DPA2018) ja EU:n yleisestä tietosuoja-asetuksesta (GDPR). Tietoturvan noudattamista koskevan tietoisuuden lisääminen työntekijöiden keskuudessa on tie kyberturvallisuuden noudattamiskulttuuriin.
Sanan "kulttuuri" käyttö on tärkeää. Yrityskulttuuri käsittää ajatukset, tavat ja ennen kaikkea käyttäytymisen. Ihmisten käyttäytyminen on monien tahattomien tietomurtojen, erityisesti tietojenkalasteluun liittyvien tietomurtojen, taustalla. Ihmisillä on voimakas halu klikata, koska meidät on ehdollistettu käyttämään tietokoneita tietyllä tavalla sekä kotona että töissä. Tämän murtaminen ja sen korvaaminen tietoon ja ymmärrykseen perustuvalla yrityskulttuurilla siitä, miten tietoturva ja sääntöjen noudattaminen ovat vuorovaikutuksessa keskenään, alkaa huipulta ja leviää koko organisaatioon.
5 askelta kyberturvallisuutta suosivan vaatimustenmukaisuuskulttuurin luomiseen:
- Investoi turvallisuuteen ja vaatimustenmukaisuuteen: kannusta ja rohkaise muutokseen, jota tarvitaan tietoisuuden lisäämiseksi vaatimustenmukaisuuden odotuksista. Tämä edellyttää panostusta aikaan, resursseihin ja talouteen; hallituksen tasolla on sitouduttava noudattamiskulttuurin rakentamiseen.
- Rakenna sitouttava vaatimustenmukaisuusohjelma kulttuurin muuttamiseksi: kyberturvallisuuden vaatimustenmukaisuuskulttuuri rikkoo rajoja ja vakiintuneita käyttäytymismalleja. Näiden käyttäytymismallien rikkominen on tehtävä hauskalla ja mukaansatempaavalla tavalla. Käytä koulutustilaisuuksia, jotka sitouttavat työntekijät ja ylimmän johdon aktiivisesti.
- Rakenna ymmärrystä ja tietoa sääntöjen noudattamisesta: ihmiset eivät voi muuttaa tai noudattaa käytäntöä, jos he eivät ymmärrä, miksi heitä pyydetään tekemään jotakin. Opeta työntekijöitäsi sääntöjen noudattamista koskevien vaatimusten syistä ja syistä. Luo tehokas vaatimustenmukaisuusohjelma, jossa määritellään heidän roolinsa tietoturvan ja vaatimustenmukaisuuden ylläpitämisessä.
- Tietoturva ja vaatimustenmukaisuus koskevat kaikkia: uuden vaatimustenmukaisuuskulttuurin rakentaminen on yhteinen kokemus. Ohjelmasi on heijastettava tätä. Kaikki organisaatiosi osat ovat tasavertaisia kumppaneita kyberturvallisuuden noudattamiskulttuurin rakentamisessa. Kaikki vaatimustenmukaisuuskulttuurin osat eivät kuitenkaan ole samanarvoisia, ja ohjelmat olisi räätälöitävä tietyille osastoille. Esimerkiksi henkilöstöhallinto voi vaatia painotusta sähköpostien virheelliseen toimittamiseen, kun taas IT-osasto voi vaatia enemmän keskittymistä tietokantojen ja palvelimien virheellisiin konfigurointeihin. Kaikille olisi tiedotettava toimialaan ja maantieteelliseen sijaintiin sopivien säännösten ja sääntöjen noudattamista koskevien käytäntöjen vaatimuksista.
- Palaute ja kulttuurin jatkuva parantaminen: säädökset muuttuvat, ihmiset unohtavat koulutuksen ja järjestelmiä päivitetään. Tietoverkkoturvallisuutta ja sääntöjen noudattamista edistävän kulttuurin luominen ei ole kertaluonteinen tehtävä. Ohjelmaa on päivitettävä ja toteutettava säännöllisesti. Yksi tapa, jolla kyberturvallisuus- ja vaatimustenmukaisuuskulttuuriasi voidaan tarkastaa, on kuunnella työntekijöitäsi. Tämä auttaa myös vakiinnuttamaan heidän osallistumisensa kyseisen kulttuurin rakentamiseen ja vaatimustenmukaisuuden varmistamiseen.
Työntekijämme ovat organisaatioidemme tuottamien, jakamien, tallentamien ja hävittämien tietojen lopullisia säilyttäjiä. Työntekijöiden on oltava tietoisia toimintansa seurauksista yrityksen vaatimustenmukaisuuden kannalta ja roolista, joka heillä on vaatimustenmukaisuuden ylläpitämisessä. Pelkkä viestin välittäminen ei kuitenkaan riitä!
Jotta syvään juurtuneita käyttäytymismalleja ja uskomuksia voidaan muuttaa, vaatimustenmukaisuuskulttuurin on oltava keskeinen arvo, joka heijastaa nykyaikaisten kyberturvallisuusuhkien ja tietoturva-asetusten vaatimusten tarpeita; ja kuten kaikki kulttuurimuutokset, tämäkin voi olla tehokasta vain, jos ne, joihin muutos vaikuttaa, suostuvat siihen.