Pedagogical aspects in cyber security trainings offered by private companies

Abstract

Yritykset ja organisaatiot ovat yhä häikäilemättömämpien kyberiskujen kohteena. Moni yritys onkin huomioinut tämän kasvavan riskin, ja tästä syystä panostanut turvallisuuden lisäämiseen. Heikoimpana lenkkinä kyberturvallisuudessa on tunnetusti ollut ihminen. Tästä syystä yritykset ja organisaatiot ostavatkin koulutuksia valistaakseen työntekijöitään minimoidakseen omia riskejään. Vastauksena tähän kysyntään moni yksityinen yritys on alkanut tarjoamaan maksullisia kyberturvallisuuteen liittyviä koulutuksia. Tässä tutkielmassa käsiteltiin yksityisten yritysten tarjoamia kyberturvallisuuskoulutuksia. Ilmiötä lähestyttiin pedagogiikan kautta, ja tarkoituksena oli tunnistaa yrityksien käyttämiä pedagogisia aspekteja. Näitä aspekteja reflektoitiin kyberturvallisuuskoulutuksen sekä aikuiskoulutuksen viitekehyksiin, jotta saatiin kattava käsitys näiden aspektien sopivuudesta kyberturvallisuuden alalle sekä aikuisten kouluttamiseen. Empiirinen aineisto kerättiin viideltä yritykseltä verkkokyselyllä. Ainoa kriteeri yritykselle oli, että he tarjoavat kyberturvallisuuskoulutusta Suomessa. Muilla tekijöillä, kuten yrityksen koolla tai koulutuksen sisällöllä, ei ollut merkitystä. Kysely toteutettiin hyödyntäen sekä laadullisia että määrällisiä kysymyksiä, jotta kyettiin saamaan kattava käsitys yrityksien koulutusten pedagogiikasta. Täten tutkimus toteutettiin mixed method-tyylillä. Tutkimuksessa selvisi, että yritykset lähestyivät koulutuksia kolmesta eri näkökulmasta: (1) opiskelijalähtöisyys, (2) sisältölähtöisyys, sekä (3) ostajalähtöisyys. Tämän lisäksi yritykset hyödynsivät monenlaisia menetelmiä opetuksessa. Nämä metodit sekä lähestymistavat sopivat hyvin sekä kyberturvallisuuden että aikuiskasvatuksen viitekehyksiin. Asioita, jotka tunnistettiin olevan ristiriidassa määriteltyjen viitekehysten kanssa, olivat mm. kouluttajan rooli oppimisprosessissa sekä koulutuksen tehokkuuden mittaristo. Tutkimusta ei suoraan voida nähdä validioivan yksityisten yritysten koulutuksien tehokkuutta, mutta sitä voidaan hyödyntää tulevaisuudessa tällaista tehokkuutta mittaavan tutkimuksen teossa.

Companies and organizations are increasingly subject to unscrupulous cyber threats. Many companies have acknowledged this growing risk, as well as invested in increasing safety. The weakest link in this security has identified to be humans. For this reason, companies and organizations are willing to train their employees to minimize their own risks. This has been noted as a business opportunity and many private companies are now offering paid cybersecurity trainings. This dissertation dealt with cybersecurity training provided by private companies. The phenomenon was approached through pedagogy, with the aim of identifying the pedagogical aspects used by companies. These aspects were reflected on the frameworks of cybersecurity education and adult education in order to gain a comprehensive understanding of aspects’ suitability to teach in the field of cyber security as well as adults. Empirical data was collected from five companies through an online survey. The only criterion for the company was that they offer cyber security training in Finland. Other factors, such as the size of the company or the content of the training, were not taken into consideration. The survey was conducted using both qualitative and quantitative questions in order to gain a comprehensive understanding of the pedagogy used by the companies. Thus, the study was conducted as a mixed method research. The study found that companies approached training from three different angles: (1) student-oriented, (2) content-oriented, and (3) customer- oriented. In addition to this, companies utilized a wide variety of methods in teaching. These methods and approaches fit well into the frameworks of both cybersecurity and adult education. Issues that were seen to be contradicted to the defined frameworks included the role of the educator in the learning process and the metrics for the effectiveness of the education. The research cannot be directly seen to validate the effectiveness of private company training, but it can be used in the future to conduct research measuring such effectiveness.