Kyberturvallisuuskulttuuri : ohjelmistoyritys Reaktorin ratkaisuja henkilöstön kautta kohdistuvien kyberuhkien vähentämiseksi

Abstract

Organisaatioiden tietoturvaa ja kyberturvallisuutta kohtaan kohdistuu käyttäjien kautta tai toimesta vakavia uhkia, jotka voivat ilmetä organisaatioiden sisä- tai ulkopuolelta. Yksin tietoturvaohjeilla ei kyetä vastaamaan uusien hyökkäysmetodien ja -työkalujen kehitysnopeuteen, eikä inhimillisiin virheisiin. Päätelaitteiden sekä tietoverkkojen ja -järjestelmien käyttäjät kohtaavat jatkuvasti valintatilanteita, joissa organisaation kyberturvallisuuden vaarantuminen on mahdollista. Käyttäjien kautta toteutuvaan uhkaan vastaaminen ja organisaation kyberturvallisuuden kehittäminen on mahdollista muun muassa vaalimalla kyberturvallisuuskulttuuria. Vahva kyberturvallisuuskulttuuri tarkoittaa koko organisaation sitouttamista ylläpitämään ja kehittämään kyberturvallisuutta. Kyberturvallisuuskulttuuri ei rajoitu organisaation sisälle kuten tietoturva- ja turvallisuuskulttuurit, vaan ulottuu elämän kaikille osa-alueille. Kyberturvallisuuskulttuurin kannalta on olennaista tunnistaa mitkä tekijät, esimerkiksi erilaiset kulttuurit ja toimintamallit, vaikuttavat organisaatioon, sen toimintaympäristöön, toimintaan ja henkilöstöön. Tähän ongelmaan vastattiin tässä tutkimuksessa analysoimalla aiempien tutkimusten tulosten ja haastattelemalla ohjelmistoyritys Reaktorilla henkilöstöä, jotta pystyttiin tunnistamaan Reaktorin kyberturvallisuuskulttuurin muodostumiseen vaikuttavia tekijöitä. Holistisen ja syvällisen tarkastelun takaamiseksi tutkimusmenetelmäksi valittiin fenomenografia, jossa ilmiötä kuvataan yksilöiden kokemusten ja näkemysten kautta. Henkilöstön tapa nähdä ja kokea organisaationsa kyberturvallisuuskulttuuri on itse ilmiön tutkimista olennaisempaa, koska yksilö kokee kulttuurin aina subjektiivisesti. Tutkimuksessa haastateltujen Reaktorin henkilöstön käsitysten perusteella yrityksessä on yhtenäinen ja vahva kyberturvallisuuskulttuuri. Se perustuu luottamukseen, hajautettuun päätöksentekoon, toisten auttamiseen, jatkuvaan oppimiseen ja sosiaalisiin verkostoihin. Yrityksessä kyberturvallisuus nähdään luonnollisena osana kaikkea liiketoimintaa ja ratkaisuja, minkä vuoksi organisaatiokulttuurin rooli kyberturvallisuuskulttuurissa on keskeinen. Reaktorin organisaatiokulttuuri tukee luonnostaan vahvaa kyberturvallisuuskulttuuria, koska organisaatiokulttuuri tukee vuorovaikutusta, avoimuutta, kehittämistä ja tiedon jakamista. Organisaation keskeisimmät toimijat myös kyberturvallisuuden ylläpidossa ovat itseohjautuvat yksilöt ja tiimit, jotka ottavat kyberturvallisuuden huomioon yhtenä osana teknisiä ratkaisuja ja toimintaa. Yrityksen kyberturvallisuuskulttuurissa turvallisuusratkaisut räätälöidään tapauskohtaisesti kontekstin, käytettävyyden ja asiakkaan tarpeiden mukaan.

Malicious actions and anomalies, which manifest by or via users, are a serious and constant threat to companies’ information and cyber security. These threats can manifest from inside or outside of the company. Information security policies fail to respond to the pace of new attack methods and tools as well as to human errors in general. Users of end-point devices as well as computer networks and systems face constantly situations, where company’s cyber security may be compromised. As an answer to these threats, researchers have proposed creating and fostering cyber security culture as a solution. A functioning cyber security culture demands efforts from the whole organization to maintain and develop cyber security. Cyber security culture is affected by organizational structures and culture, nature of company’s business and national and individual level cyber security cultures. Unlike security and information security cultures, cyber security culture is not limited just within the company, but it touches all aspects of life and users may have many different roles in it. In order to foster a robust cyber security culture, it is essential to identify the context in which such culture operates. This means the wide variety of factors affecting to the company, business, and the company’s employees. The formation of the views and capabilities of an individual to maintain cyber security are affected for example by multiple levels of culture, individual know-how and experiences. Culture is a concept, which is seen subjectively by an individual. A company’s cyber security culture therefore consists of and is informed by the mindsets of the employees: how employees see and experience the cyber security culture of the company. Qualitative research offers a robust methodological approach to explore and understand such indepth and complex concepts as culture. In addition to analyzing findings of previous research, this research used qualitative interviews to analyze the expressions and mindsets of employees of Finnish software and consulting low hierarchy company Reaktor as a case study of maintaining high-level and successful cyber security culture at a company level. To analyze the phenomenon through expressions and mindset of individuals, phenomenography was chosen as a research method. The findings indicate that Reaktor fosters a robust cyber security culture, which is based on trust, decentralized decision making, helping others, constant development, and social networks within the company. Continuous learning of the company and employees is seen as a requirement for maintaining the cyber security culture. The research found that the most essential actors of the company in fostering cyber security culture are self-controlled individuals and teams, who consider cyber security aspects as a natural part of technical solutions and all activity. All security solutions within Reaktor’s cyber security culture are based on context, usability, and client’s needs. Cyber security is seen as an integral part of all business activity, which makes organizational culture a crucial component of the company’s cyber security culture.