Peloteteorian vaikutus tietoturvakäytäntöjen noudattamiseen

Abstract

Huotari, Outi Peloteteorian vaikutus tietoturvakäytäntöjen noudattamiseen Jyväskylä: Jyväskylän yliopisto, 2012, 24 s. Tietojärjestelmätiede, kandidaatin tutkielma Ohjaaja: Seppänen, Ville Suurin osa yritysten tietoturvarikkeistä on työntekijöiden aiheuttamia. Työntekijöiden vastuuta yrityksen tietoturvasta ei tulisi kuitenkaan vähentää, sillä heidän osallistumisellaan voidaan parantaa koko organisaation tietoturvariskienhallintaa. Työntekijät täytyisikin saada motivoitua noudattamaan tietoturvakäytäntöjä. Tämän tutkielman tarkoituksena on pyrkiä kirjallisuuskatsauksen avulla ymmärtämään, miten työntekijät saataisiin noudattamaan yrityksen tietoturvakäytäntöjä. Tutkielma pohjautuu peloteteoriaan, jota on käytetty paljon työntekijöiden tietoturvakäytäntöjen noudattamista tutkittaessa ja edistettäessä. Teorian mukaan työntekijä pidättäytyy tietokonerikkeiden tekemisestä, jos hän kokee rangaistuksen saamisen todennäköisyyden ja rangaistuksen ankaruuden liian suuriksi. Tutkielman tutkimuskysymykset ovat 1) Miten peloteteorian oppeja voidaan käyttää apuna, jotta työntekijät noudattaisivat yrityksen tietoturvakäytäntöjä? ja 2) Millaisia tutkimustuloksia teorian toimivuudesta on saatu? Peloteteorian käyttämistä voidaan tarkastella yrityksen koko tietoturvakäytännön tasolla, kuten teoriasta saadut tutkimustulokset ovat usein pyrkineet tekemään. Tietoturvakäytäntöjen noudattamisen parantamiseksi yrityksen täytyy luoda kyseisistä käytännöistä selvä ja yksityiskohtainen tietoturvapolitiikka, ja työntekijät on saatava tietoisiksi käytännöistä, esimerkiksi koulutuksen avulla. Lisäksi on tärkeää seurata työntekijöiden käyttäytymistä ja rankaista käytäntöjä rikkovia. Tämä luo pelotevaikutusta, joka estää potentiaalisia väärinkäyttäjiä tekemästä rikkeitä. Peloteteorian toimivuudesta on saatu ristiriitaisia tuloksia. Peloteteoriaa on kritisoitu vahvasti, sillä se ei huomioi kaikkia työntekijöiden toimintaan vaikuttavia tekijöitä. Teoriaa voidaan kritiikistä huolimatta käyttää työntekijöiden tietoturvakäytäntöjen noudattamisen parantamiseen, kunhan yritykset huomioivat teorian lisäksi muitakin tekijöitä.