Kyberturvallisuuskulttuuri : ohjelmistoyritys Reaktorin ratkaisuja henkilöstön kautta kohdistuvien kyberuhkien vähentämiseksi

Organisaatioiden tietoturvaa ja kyberturvallisuutta kohtaan kohdistuu käyttäjien kautta tai toimesta vakavia uhkia, jotka voivat ilmetä organisaatioiden sisä- tai ulkopuolelta. Yksin tietoturvaohjeilla ei kyetä vastaamaan uusien hyökkäysmetodien ja -työkalujen kehitysnopeuteen, eikä inhimillisiin virheisiin. Päätelaitteiden sekä tietoverkkojen ja -järjestelmien käyttäjät kohtaavat jatkuvasti valintatilanteita, joissa organisaation kyberturvallisuuden vaarantuminen on mahdollista. Käyttäjien kautta toteutuvaan uhkaan vastaaminen ja organisaation kyberturvallisuuden kehittäminen on mahdollista muun muassa vaalimalla kyberturvallisuuskulttuuria. Vahva kyberturvallisuuskulttuuri tarkoittaa koko organisaation sitouttamista ylläpitämään ja kehittämään kyberturvallisuutta. Kyberturvallisuuskulttuuri ei rajoitu organisaation sisälle kuten tietoturva- ja turvallisuuskulttuurit, vaan ulottuu elämän kaikille osa-alueille. Kyberturvallisuuskulttuurin kannalta on olennaista tunnistaa mitkä tekijät, esimerkiksi erilaiset kulttuurit ja toimintamallit, vaikuttavat organisaatioon, sen toimintaympäristöön, toimintaan ja henkilöstöön. Tähän ongelmaan vastattiin tässä tutkimuksessa analysoimalla aiempien tutkimusten tulosten ja haastattelemalla ohjelmistoyritys Reaktorilla henkilöstöä, jotta pystyttiin tunnistamaan Reaktorin kyberturvallisuuskulttuurin muodostumiseen vaikuttavia tekijöitä. Holistisen ja syvällisen tarkastelun takaamiseksi tutkimusmenetelmäksi valittiin fenomenografia, jossa ilmiötä kuvataan yksilöiden kokemusten ja näkemysten kautta. Henkilöstön tapa nähdä ja kokea organisaationsa kyberturvallisuuskulttuuri on itse ilmiön tutkimista olennaisempaa, koska yksilö kokee kulttuurin aina subjektiivisesti. Tutkimuksessa haastateltujen Reaktorin henkilöstön käsitysten perusteella yrityksessä on yhtenäinen ja vahva kyberturvallisuuskulttuuri. Se perustuu luottamukseen, hajautettuun päätöksentekoon, toisten auttamiseen, jatkuvaan oppimiseen ja sosiaalisiin verkostoihin. Yrityksessä kyberturvallisuus nähdään luonnollisena osana kaikkea liiketoimintaa ja ratkaisuja, minkä vuoksi organisaatiokulttuurin rooli kyberturvallisuuskulttuurissa on keskeinen. Reaktorin organisaatiokulttuuri tukee luonnostaan vahvaa kyberturvallisuuskulttuuria, koska organisaatiokulttuuri tukee vuorovaikutusta, avoimuutta, kehittämistä ja tiedon jakamista. Organisaation keskeisimmät toimijat myös kyberturvallisuuden ylläpidossa ovat itseohjautuvat yksilöt ja tiimit, jotka ottavat kyberturvallisuuden huomioon yhtenä osana teknisiä ratkaisuja ja toimintaa. Yrityksen kyberturvallisuuskulttuurissa turvallisuusratkaisut räätälöidään tapauskohtaisesti kontekstin, käytettävyyden ja asiakkaan tarpeiden mukaan.