noudattamisessa
Kaikki seitsemän haastateltua henkilöä olivat työntekijä-tason työntekijöitä. He olivat tulleet yritykseen töihin vuosien 2003 ja 2008 välillä. Kysymykset 3–14 olivat motivaation syntymiseen ja muuttumiseen vaikuttavia tekijöitä selvittäviä kysymyksiä.
Kysymyksessä kolme haluttiin tietää, miksi vastaaja kokee tietoturvasta huoleh-timisen tärkeäksi. Kuusi vastaajaa mainitsi vastauksessaan sanan tieto. Esiin nou-sivat asiakas- ja tuotetietojen suojaamisen tärkeys. Kolmessa vastauksessa tieto nähtiin arvokkaana omaisuutena. Asiakastiedoissa kaksi vastaajaa halusi huoleh-tia yksityisyyden suojasta. Asiakas- ja tuotetietoja haluttiin suojata myös kilpaili-joilta (3 vastaajaa). Lisäksi kahdessa vastauksessa tietoturvan huolehtiminen koet-tiin tärkeäksi virusten uhkan takia.
Kysymyksessä neljä kysyttiin, miten vastaajan motivaatio huomioida tietoturvaa on muuttunut siitä, kun hän on tullut kyseiseen yritykseen töihin, ja mitkä tekijät ovat vaikuttaneet muutokseen. Kuusi vastaajaa ilmoitti, että motivaatio huomioida tietoturvaa ei ole muuttunut mitenkään. Näistä neljä vastaajaa totesi, että tietotur-vasta huolehtiminen on ollut aina hyvällä tasolla ja kaksi tietotur-vastaajaa lisäsi, että tie-toturva on ollut aina tärkeänä osana työtehtäviä. Kaksi vastaajaa totesi myös, että tietokoneella työskentely tarkoittaa automaattisesti velvollisuutta huolehtia tieto-turva-asioista. Näistä toinen vastaaja toi syynä esille, että kaikesta tietokoneella tehdystä jää jälki. Vain yksi vastaaja kertoi, että motivaatio huomioida tietoturvaa on muuttunut kyseiseen yritykseen tulon jälkeen. Ennen yritykseen tuloa hän oli työskennellyt ulkomailla, missä tietoturvasta huolehtiminen oli erilaista. Vastaaja koki, että tietoturvasta huolehtiminen on Suomessa kaikkien työntekijöiden vel-vollisuus. Lisäksi hänen mielestään Suomessa myös puhutaan tietoturvasta enemmän.
Viidennessä kysymyksessä vastaajan haluttiin kertovan, onko motivaatio tietotur-van toteuttamiseen hänellä nyt heikompaa vai parempaa verrattuna aikaan ennen kyseisessä yrityksessä työskentelyä. Lisäksi vastaajaa pyydettiin pohtimaan mistä muutos johtuu. Kukaan vastaajista ei sanonut, että motivaatio tietoturvan toteut-tamiseen olisi nyt heikompaa. Kaksi vastaajaa totesi, että motivaatio ei ole muut-tunut heikompaan eikä parempaan suuntaan, vaan on pysynyt samana. Molemmat vastaajat lisäsivät, että yrityksen tietotekniikkaosasto huolehtii tietoturvaan liitty-vistä isoista asioista ja heidän vastuullensa jää huolehtia tietoturvan perusteiden toteuttaminen omissa työtehtävissä. Viisi vastaajaa kertoi, että motivaatio
tieto-turvan toteuttamiseen on nyt parempaa. Näistä neljä toi perusteluna esille, että tietoturva on aiheena yleisesti enemmän esillä kuin aiemmin. Esimerkiksi eräs vastaaja totesi, että ”tietoturvasta puhutaan yleisesti nyt enemmän”. Kaksi perus-teli motivaation muutosta tietokoneiden kehittymisellä, kolme toi esille jäljen jäämisen tiedon sähköisestä käsittelystä ja yksi perusteli parempaa tietoturvan toteuttamisen motivaatiota hakkeroinnin uhkalla. Viidestä vastaajasta, joiden mie-lestä tietoturvan toteuttamisen motivaatio on nyt parempaa, kolme toi tärkeänä esille tietotekniikkaosaston merkityksen tietoturvan toteuttamisen motivoivana tekijänä.
Kysymyksessä kuusi kysyttiin mitkä tekijät muuttavat vastaajan asennetta tieto-turvaa kohtaan ja miksi. Viisi vastaajaa ilmoitti, että asenteeseen vaikuttavat tieto uhkista ja tietoturvariskeistä. Näistä kaksi vastaajaa lisäsi saavansa tietoa medias-ta. Neljä vastaajaa toi esille, että luottaa siihen, että yritys huolehtii ja tiedottaa tietoturva-asioista. Esimerkiksi yhdessä vastauksessa todetaan: ”Kun lukee tieto-turvariskeistä, muuttuu kotona oman tietokoneen käyttö varovaisemmaksi, mutta töissä luotan suojauksiin ja työkaluihin.” Yksi vastaaja toi esille, että esimerkiksi sähköpostissa on oltava varovaisempi, että millaisella tietosisällöllä sähköpostiin vastaa tai sen laittaa eteenpäin ja, että kenelle sähköpostin lähettää. Yksi vastaaja toi lisäksi esille, että mahdollinen epätietoisuus tietoturva-asioissa on epämiellyt-tävää.
Kysymyksessä seitsemän selvitettiin mikä saa vastaajan kiinnostumaan tietotur-vakriteerien noudattamisesta ja miksi. Vastaukset jakautuvat kolmeen osaan.
Kolme vastaajaa ilmoitti, että tietoturvasta huolehditaan jatkuvasti riittävällä ta-solla, eikä mikään erityisesti saa siitä kiinnostumaan. Näistä kuitenkin kaksi vas-taajaa toi esille, että jos yritys tiedottaa jostakin tietoturvauhkasta, huomioi hän luonnollisesti asian, mutta se ei varsinaisesti lisää hänen kiinnostustaan asiaan.
Kaksi vastaajaa ilmoitti, että tietoturvakriteerien noudattamisesta saa kiinnostu-maan halu suojata tietoja. Kaksi vastaajaa ilmoitti, että kiinnostukiinnostu-maan saa tarve tehdä jokin työtehtävä mihin tietoturvasuojaukset eivät anna lupaa. Näistä toinen vastaajaa toi esille, että tällöin on pakko selvittää, että mitä tulee tehdä, jotta ky-seisen työtehtävän saa tehtyä. Hän myös jatkoi, että onneksi tietotekniikkaosasto on näissä tilanteissa aina halukas auttamaan työntekijää.
Kahdeksannessa kysymyksessä selvitettiin miten motivaatio tietoturvan huomi-oimiseen on muuttunut vastaajalla viimeisen kolmen vuoden aikana, mitkä tekijät ovat vaikuttaneet muutokseen ja miksi. Kaikki seitsemän haastateltavaa olivat jo tuolloin kyseisessä yrityksessä töissä. Kolme vastaajaa kertoi, että tietoturvan huomioimisen motivaatio ei ole muuttunut mitenkään, vaan on pysynyt samana.
Näistä yksi vastaajaa lisäsi, että motivaatio tietoturvan huomioimiseen on hänellä
ollut aina hyvällä tasolla. Neljä vastaajaa toi esille, että laitteiden muutos on vai-kuttanut tietoturvan huomioimisen motivaatioon. Näistä yhdessä vastauksessa todetaan: ”Eri laitteet, kaikissa pitää tietoturvasta huolehtia” ja kaksi vastaajaa mainitsi älypuhelimen, joka oli jaettu yrityksen työntekijöille. Jälkimmäisistä yksi vastaaja kertoi, että ”Täytyy olla tarkka, että puhelin ei jää tai katoa minnekään etenkään ilman näppäinlukkoa, kun sillä pystyy lukemaan esimerkiksi työsähkö-postin”. Yhdessä vastauksessa todettiin, että ”Salasanasuojaus on ollut ikuisesti”.
Yksi vastaaja kertoi, että nykyään hän lukee paremmin ohjelmalatausten kysy-mykset ja miettii aidosti, mitä niihin pitää vastata. Yksi vastaaja toi syynä esille yrityksessä tapahtuneen ison muutoksen tuotetarjonnassa, minkä takia tuotetieto-jen kanssa täytyi olla erityisen huolellinen.
Kysymys yhdeksän liittyi tätä tutkimusta varten yrityksessä vuotta aiemmin (hel-mikuussa 2013) tehtyyn kyselytutkimukseen. Kysymyksessä haluttiin tietää miten vastaajan motivaatio tietoturvan huomioimiseen on muuttunut vuosi sitten tehdyn tietoturvakyselyn jälkeen ja mitkä tekijät ovat vaikuttaneet muutokseen. Tähän kysymykseen vastasi vain kuusi haastateltavaa, sillä yksi haastateltava oli ollut kyselytutkimuksen aikaan hetkellisesti poissa yrityksen palveluksesta eikä hänelle esitetty kysymystä yhdeksän lainkaan. Kuudesta vastaajasta viisi ilmoitti, että motivaatio tietoturvan huomioimiseen ei ole muuttunut mitenkään. Myös kuudes vastaaja ilmoitti, että motivaatio tietoturvan huomioimiseen ei ole varsinaisesti muuttunut mitenkään, mutta kyselyn jälkeen hän oli keskustellut kyselyn asioista joidenkin kollegojensa kanssa, joten hän koki tulleensa jonkin verran kiinnos-tuneemmaksi tietoturva-asioista kyselyn jälkeen. Kollegoiden kanssa keskustelun aiheina olivat olleet yrityksen tietoturvatiedotuksen ja yleisen tietoturvasta kes-kustelun vähäisyys sekä työtietokoneen kotikäytön tietoturvariskit. Keskusteluissa oli tullut myös esille, että kyselyssä oli jonkin verran vaikeita kysymyksiä ja työn-tekijät olivat pohtineet, tulisiko heidän tietää kyseisistä asioista enemmän.
Myös kysymys 10 liittyi aiempaan kyselytutkimukseen. Kysymyksessä haluttiin tietää onko vastaajan motivaatio tietoturvan toteuttamiseen nyt heikompaa vai parempaa verrattuna tilanteeseen ennen kyselyä ja mistä se johtuu. Tähänkin ky-symykseen tuli vain kuusi vastausta, koska kysymystä ei esitetty yhdelle haasta-teltavalle lainkaan, koska hän ei ollut osallistunut aiempaan kyselytutkimukseen.
Kaikki kuusi haastateltavaa totesivat, että tietoturvan toteuttamisen motivaatiotaso ei ole muuttunut mitenkään, vaan on säilynyt samana. Kolme vastaajaa lisäsi, että tietoturvan toteuttaminen oli jo ennestään hyvällä tasolla. Yksi vastaajista totesi, että ”Esimerkiksi yrityksen laatuvastaavat kävivät kyselyn tulokset läpi, eikä siitä seurannut yrityksessä mitään isompia muutoksia tietoturvan huomioimiseen, vaan työ on jatkunut samanlaisena”.
Kysymyksessä 11 kysyttiin millaisissa tilanteissa vastaaja pyrkii erityisesti huo-mioimaan tietoturvan ja miksi. Seitsemästä vastaajasta yksi ei keksinyt mitään sellaista tilannetta, jossa hän huomioisi tietoturvan jotenkin erityisemmin. Kuu-desta vastaajasta viisi mainitsi huomioimisen syynä tietojen suojaamisen. Esimer-kiksi eräässä vastauksessa todettiin, että ”tieto on arvokasta omaisuutta, arka-luontoista”. Sähköposti tuli esiin kolmen haastateltavan vastauksessa, joista kaksi mainitsi sähköpostin ketjutuksen (ts. takaisin- ja edelleenlähetyksen) ja yksi säh-köpostin tietosisällön (esimerkiksi oikea tilausnumero) vaativan aina tietoturvan tarkkaa huomioimista. Kaksi vastaajaa mainitsi henkilöstöasioiden vaativan tieto-turvan tarkkaa huomioimista. Yksi vastaaja kertoi, että, jos hänellä on yrityksessä vieraita, hän huomioi aina, että pöydillä ei ole esillä mitään arkaluontoista materi-aalia.
Kysymyksessä 12 vastaajaa pyydettiin kertomaan mitkä tekijät lisäävät motivaa-tiota tietoturvan toteuttamisessa ja mistä se johtuu. Kaksi haastateltavaa ei osan-nut nimetä mitään tietoturvan toteuttamisen motivaatiota lisäävää tekijää. Neljä haastateltavaa nosti esiin tietoturvasta puhumisen tai tiedottamisen lisäävän tieto-turvan toteuttamisen motivaatiota. Näistä kaksi totesi syyksi, että, jos yritykseltä tulee tietoturvaan liittyvä tiedote, tarkoittaa se käytännössä todellista uhkaa, johon tulee reagoida. Yksi haastateltava totesi, että ”motivaation luo se fakta, että tieto-turvaa pitää noudattaa”. Lisäksi yksi vastaaja ilmoitti, että ”motivaatiota lisää se, että työ pitää saada tehtyä tehokkaasti”.
Kysymykseen 13, jossa kysyttiin mikä saisi vastaajan toimimaan tietoisesti tieto-turvaohjeiden vastaisesti ja miksi, tuli hyvin yksipuoleiset vastaukset. Kaikki haastateltavat sanoivat, että ei ole mitään sellaista asiaa, joka saisi hänet toimi-maan tietoisesti tietoturvaohjeiden vastaisesti. Näistä yksi haastateltava esitti vas-tauksen muodossa, että hän ”ei uskalla toimia tietoturvaohjeiden vastaisesti”.
Yksi haastateltava lisäsi vastauksessaan, että ”haluan noudattaa ohjeita, koska taustalla on aina syy, eikä niitä ole tehty kiusalla”. Kaksi vastaajaa lisäsivät vas-tauksessaan, että he toimisivat tietoturvaohjeiden vastaisesti, jos ylemmät esimie-het määräisivät toimimaan niin. Lisäksi yksi vastaaja totesi pitkän pohdinnan jäl-keen, että ”ehkä jokin työtehtäviin liittyvä pakollinen juttu, esimerkiksi luvatto-man ohjelluvatto-man lataus työtehtäviä varten, voisi olla sellainen, mutta senkin teke-mistä pyrkisin ensin varmistamaan tietotekniikkaosastolta”. Kaksi vastaajaa sa-noi, että hän ei toimisi missään tilanteessa tietoisesti tietoturvaohjeiden vastaises-ti, koska pelkää seuraamuksia. Näistä toinen pohvastaises-ti, että ”siitä tulisi varmaan pot-kut”.
Viimeisessä kysymyksessä 14 kysyttiin mitkä tekijät vähentävät vastaajan moti-vaatiota tietoturvan toteuttamisessa ja miksi. Seitsemästä haastatellusta neljä
vas-taajaa totesi, että ei ole olemassa mitään tietoturvan toteuttamisen motivaatiota vähentävää tekijää. Näistä neljästä vastaajasta kaksi täsmensi syyksi tietoturvatie-tojen päivittämisen, esimerkiksi toinen vastasi, että ”tietoturva-asioissa on pysyt-tävä ajan tasalla”. Kolme vastaajaa vastasi, että tietoturvan toteuttamisen moti-vaatiota vähentää, jos tietoturva estää, vaikeuttaa tai hidastaa varsinaisen työn tekoa. Esimerkkinä mainittiin tilanne, jossa ei ole oikeuksia tehdä jotakin päivi-tystä tai muuta työtehtävän vaatimaa asiaa. Lisäksi esimerkkinä mainittiin tilanne, jossa ei ole oikeuksia päästä johonkin hakemistoon tai näkemään jotakin tietoa.
Yksi vastaaja totesi, että ”tietotekniikkaosasto huolehtii tietoturva-asioista hyvin”.
6 KESKUSTELUA
Tämän tutkimuksen peruskäsitteitä ovat olleet tietoturva, tietoturvakriteeri ja mo-tivaatio. Niitä täsmennettiin tutkimuksen luvuissa 2 ja 3. Tietoturvan käsittelyssä keskityttiin erityisesti hallinnollisen tietoturvan kuvaamiseen. Motivaatiota tar-kasteltiin teorioiden ja työssä oppimisen näkökulmista.
Tutkimusote oli sekä kvantitatiivinen että kvalitatiivinen. Tutkimuksessa etsittiin vastauksia seuraaviin tutkimuskysymyksiin: mitä tietoturvakriteerejä Suomessa julkaistut ohjeet sisältävät, millä tasolla työntekijät pyrkivät noudattamaan tieto-turvakriteerejä, mitkä tekijät motivoivat työntekijöitä heidän pyrkiessä noudatta-maan tietoturvakriteerejä, mitkä tekijät vaikuttavat motivaation syntymiseen tieto-turvakriteerien noudattamisessa ja mitkä tekijät vaikuttavat motivaation muuttu-miseen tietoturvakriteerien noudattamisessa. Tutkimuksen empiirisessä osassa tutkimuskysymyksiin etsittiin vastauksia dokumenttiaineistosta, kyselyllä ja haas-tatteluilla.
Seuraavassa pohditaan tämän väitöskirjatutkimuksen tulosten merkitystä tieteen ja käytännön kannalta, sekä esitetään käytännön suosituksia. Keskustelun kohtee-na ovat myös tutkimuksen rajoitukset. Lopuksi esitetään jatkotutkimusaiheita.