Aikaisemmissa tutkimuksissa on osoitettu, että suomalaisten yritysten tietoturvan taso ei ole kovin hyvä ja siinä on parannettavaa. Tutkimuksissa on todettu, että yritysten tulisi tietoturvassa kiinnittää huomio erityisesti hallinnolliseen tietotur-vaan. Yrityksissä tulisi huomioida työntekijä suurimpana tietoturvauhkana, ja siksi lisätä työntekijöiden tietoturvatietoisuutta. Tietoturvatietoisuudelle asetetta-via vaatimuksia ei ole tutkittu suomalaisten viranomaistahojen tietoturvaohjeiden kontekstissa. Tällaisen analyysin tekeminen on tärkeää ja hyödyllistä yrityksille, koska yrityksillä ei ole välttämättä aikaa käydä läpi laajoja dokumentteja. Tutki-joille ja tietoturvan kehittäjille tällaisella analyysillä halutaan osoittaa viranomais-ten ohjeistusviranomais-ten nykytila.
Useissa tietoturvatutkimuksissa on osoitettu motivaation yhteys tymiseen. Tutkimuksissa on myös osoitettu, että työntekijöiden tietoturvakäyttäy-tymiseen pystytään vaikuttamaan motivoimalla työntekijöitä. Motivaation taustal-la oleviin tekijöihin kohdistuvaa tietoturvatutkimusta on tehty epäsuorasti ja hy-vin vähän. Tietoturvatutkimusta, joka kohdistuu tietoturvan noudattamisen moti-vaation syntymiseen ja erityisesti muuttumiseen vaikuttaviin tekijöihin, ei ole tehty lainkaan. Tällainen tutkimus on tärkeää, jotta ymmärrettäisiin työntekijän
käyttäytymistä ja tietoturvan parantamiseen käytettäisiin työntekijöitä tehok-kaimmin motivoivia tekijöitä.
Tämän tutkimuksen tutkimusongelma on löytää ymmärrystä tietoturvan noudat-tamisesta ja motivaation roolista tietoturvan noudattamisessa, jotta pk-yrityksissä voitaisiin löytää tehokkaita työkaluja tietoturvan ylläpitoon. Tutkimuksen tavoit-teena on selvittää millä tasolla työntekijät pyrkivät noudattamaan tietoturvakritee-rejä ja mitkä tekijät motivoivat työntekijöitä heidän pyrkiessä noudattamaan tieto-turvakriteerejä. Erityisesti tutkimuksen tavoitteena on selvittää mitkä tekijät vai-kuttavat motivaation syntymiseen ja muuttumiseen tietoturvakriteerien noudatta-misessa. Tavoitteena on myös selvittää mitä tietoturvakriteerejä Suomessa jul-kaistut ohjeet sisältävät.
Tutkimuksessa käsitellään motivaatiota. Motivaatiota tarkastellaan erityisesti työskentelyn ja työssä oppimisen tukena. Motivaation käsittelyssä keskitytään motivaatioon vaikuttavien tekijöiden kuvaamiseen. Tutkimuksen menetelmänä käytetään empiria-vetoista kvantitatiivista ja kvalitatiivista tutkimusta. Tutkimuk-sessa on kuvaileva lähestymistapa. Tutkimusaineisto muodostuu dokumenttiai-neistosta sekä kyselyllä ja haastatteluilla kerättävistä aineistoista. Ensimmäinen tutkimusaineisto on dokumenttiaineisto, joka muodostetaan pk-yrityksille suunna-tuista tietoturvaohjeistuksista. Näiden analysointiin käytetään dokumenttianalyy-siä. Tulosten pohjalta laaditaan kvantitatiivinen kysely, jolla muodostetaan toinen tutkimusaineisto. Sen tulosten pohjalta laaditaan pääosin kvantitatiivinen haastat-telu, jolla kerätään kolmas tutkimusaineisto. Tämän aineiston keruussa käytetään myös kvalitatiivista menetelmää. Tulosten pohjalta laaditaan vielä toinen haastat-telu, jolla kerätään viimeinen tutkimusaineisto. Tämä haastattelu on kvalitatiivi-nen. Kvalitatiivisessa tutkimuksessa aineistolla pyritään tekemään mahdolliseksi käsitteellinen ymmärrys tutkittavasta ilmiöstä, josta pyritään lisäksi rakentamaan teoreettinen näkemys (Eskola & Suoranta 2005, 62–63). Tuomi ja Sarajärvi (2009, 92) lisäävät, että tutkimuksen viimeisessä vaiheessa tuloksia tulkitaan ja niistä tehdään johtopäätökset. Tämän tutkimuksen metodologinen näkökulma on kuvaileva. Tutkimuksen tutkimuskysymykset, menetelmät ja aineisto sekä vasta-usten sijoittuminen tutkimuksessa on esitetty taulukossa 1.
Taulukko 1. Tutkimuksen kokonaisuus.
Tutkimus muodostuu neljästä vaiheesta. Ensimmäisessä vaiheessa muodostetaan tietoturvakriteerit tietoturvakirjallisuuden ja erityisesti suomalaisille pk-yrityksille suunnattujen tietoturvaohjeistusten sisällöstä. Tavoitteeseen pääsemiseen käyte-tään dokumenttianalyysiä. Tutkimuksessa selvitekäyte-tään mitä tietoturvakriteerejä Suomessa julkaistut ohjeet sisältävät. Samalla saadaan selville mitkä viranomais-tahot ohjeistavat erityisesti pk-yritysten tietoturvaa Suomessa ja mitä näiden yllä-pitämiä tietoturvaohjeistuksia on olemassa. Samalla selvitetään myös muita kes-keisiä Suomessa erityisesti pk-yritysten tietoturvaa ohjeistavia tahoja. Ensimmäi-sen vaiheen tulokEnsimmäi-sena saadaan tietoturvakriteerit, jotka on muodostettu tietotur-vakirjallisuuden ja suomalaisille pk-yrityksille suunnattujen tietoturvaohjeistusten sisällöstä.
Tämän jälkeen toisessa vaiheessa tarkastellaan ensimmäisen vaiheen pohjalta muodostettujen tietoturvakriteerien noudattamaan pyrkimisen tasoa. Ajzen (1985) on osoittanut suunnitellun toiminnan teoriassa, että aikomuksen määrä on suh-teessa tehtävästä suoriutumisen todennäköisyyteen. Siksi tässä tutkimuksessa keskitytään erityisesti tutkimaan tietoturvaan pyrkimisen tasoa, eli motivaatiota ja halua pyrkiä toimimaan tietoturvaohjeiden mukaisesti. Tutkimusmenetelmänä käytetään yrityksen työntekijöille kohdistettavaa kvantitatiivista kyselytutkimusta.
Tarkastelussa yrityksen työntekijät jaetaan aseman mukaan esimiehiin ja työnteki-jöihin. Kyselyn tuloksena saadaan selville tietoturvakriteerien noudattamaan pyr-kimisen taso tutkitussa yrityksessä. Erityisesti kyselystä nostetaan esille tietotur-vakriteerit, joita työntekijät pyrkivät noudattamaan heikoiten.
Tutkimuskysymykset Menetelmä ja aineisto Luku
Tietoturvaohjeistusten sisältö ja kriteerien muodostamisen taustatyö Dokumenttianalyysi III, IV, V 1. Mitä tietoturvakriteerejä Suomessa julkaistut ohjeet sisältävät? Tietoturvakirjallisuus ja
tietoturvaohjeistukset Työntekijöiden kokemus pyrkimyksestä toteuttaa tietoturvaohjeita Kyselytutkimus V 2. Millä tasolla työntekijät pyrkivät noudattamaan tietoturvakriteerejä? Kvantitatiivinen
Pk-yrityksen työntekijät (esimiehet ja työntekijät) Työntekijöiden kokemus tietoturvaohjeiden motivaatiotekijöistä Haastattelututkimus I V 3. Mitkä tekijät motivoivat työntekijöitä heidän pyrkiessä
noudattamaan tietoturvakriteerejä?
Pk-yrityksen työntekijät (esimiehet ja työntekijät) Työntekijöiden motivaation syntyminen ja muutos tietoturvaohjeiden
noudattamisessa
Haastattelututkimus II Kvalitatiivinen
V 4. Mitkä tekijät vaikuttavat motivaation syntymiseen tietoturvakriteerien
noudattamisessa?
Pk-yrityksen työntekijät (työntekijät)
5. Mitkä tekijät vaikuttavat motivaation muuttumiseen tietoturvakriteerien noudattamisessa?
Kvantitatiivinen ja kvalitatiivinen
Kolmannessa vaiheessa tarkastellaan toisen vaiheen tuloksena saatuja heikoiten noudattamaan pyrittyjä tietoturvakriteerejä. Niihin liittyen selvitetään tekijöitä, jotka motivoivat työntekijää noudattamaan tietoturvakriteerejä. Tätä varten toteu-tetaan sekä kvantitatiivinen että kvalitatiivinen haastattelututkimus. Tutkimuksen tuloksena saadaan työntekijöiden näkemyksiä heikosti noudattamaan pyrityistä tietoturvakriteereistä sekä motivaatiotekijöitä, jotka motivoivat työntekijöitä pyr-kimään tietoturvakriteerin noudattamiseen.
Lopulta neljännessä vaiheessa tarkastellaan tekijöitä, jotka vaikuttavat työntekijän motivaation syntymiseen ja muuttumiseen tietoturvakriteerien noudattamisessa.
Tätä varten toteutetaan toinen haastattelututkimus, joka on kvalitatiivinen. Tutki-muksen tuloksena saadaan työntekijöiden näkemyksiä motivaation syntymiseen ja muuttumiseen vaikuttavista tekijöistä hallinnollisten tietoturvakriteerien noudat-tamisessa.
Tutkimus rajataan tarkastelemaan hallinnollista tietoturvaa. Tietoturvan muita osa-alueita käsitellään siltä osin, mikä on tutkimuksen tekemiselle tarpeellista.
Tutkimus tehdään työntekijöiden näkökulmasta ja siinä käsitellään esimiesten ja työntekijöiden tuloksia erikseen. Tutkimuksen kontekstina on suomalainen pk-yritys. Tutkimus rajataan tarkastelemaan erityisesti suomalaisia pieniä ja kes-kisuuria yrityksiä eli niin sanottuja pk-yrityksiä ja niiden työntekijöitä. Yritys on pieni, kun työntekijöitä on vähemmän kuin 50 henkilöä ja liikevaihto tai taseen loppusumma on enintään 10 miljoonaa euroa. Keskisuuressa yrityksessä työnteki-jöitä on alle 250 henkilöä ja liikevaihto on maksimissaan 50 miljoonaa euroa tai taseen loppusumma on maksimissaan 43 miljoonaa euroa. (Euroopan unioni 2007; Tilastokeskus 2011.) Tietoturvan hallinnollisen näkökulman takia pienistä yrityksistä tarkastellaan vain suurimpia yrityksiä, koska erittäin pienissä yrityksis-sä hallinnollisen tietoturvan toteutuminen on useimmiten hyvin epämääräistä tai olematonta. Tutkimuksen ulkopuolelle on rajattu valtionhallinto, kunnat, järjestöt, verkostot ja muut organisoitumismuodot, joista voitaisiin yhteisesti käyttää nimi-tystä organisaatiot. Tämän takia tutkimuksessa käytetään termiä yritys termin or-ganisaatio sijaan.
Tietoturvakirjallisuuden ja -ohjeistusten sisällön esittely ja tutkiminen toteutettiin vuosina 2010–2011. Tietoturvakirjallisuutta täydennettiin keväällä 2014. Kysely- ja ensimmäinen haastattelututkimus toteutettiin vuoden 2013 alussa. Toinen haas-tattelututkimus toteutettiin huhtikuussa 2014.