We live in a world where romance scammers exploit innocent people for financial gain, sensitive health information is sold on the dark web, and cyberattacks can disrupt access to bank accounts. Today, the digital dimension is an integral part of our lives. Daily tasks are connected to the internet in one way or another. In almost all cyberattacks, human behavior plays a crucial role. The human factor is undoubtedly one of the most critical aspects that organizations must consider in security management. Society depends on internet-based services supported by the operations of companies and public sector organizations. One essential function is the implementation of social security, in which Kela, as an independent public institution, plays a significant role. Kela applies the internationally recognized ISO/IEC 27001 standard for managing information security. The standard sets requirements for information security awareness. To meet the requirements, Kela aims to design and implement
an information security awareness program. This work has begun within Kela’s Information Security Unit, which has started to identify program requirements based on standards, frameworks, legislation, regulations, and the expectations of internal and external stakeholders. This effort is documented in this Master’s thesis, which uses a case study research strategy, employing interviews and document analysis as the primary methods. The research methods are supported by the literature review based on existing studies. Data sources include Kela’s public documentation, experts from Kela, relevant legislation, and international standards and frameworks. The thesis resulted in a set of requirements to be used as the foundation for designing Kela’s awareness program. Key findings emphasized requirements related to management support, resourcing, planning, content, implementation, and continuous improvement. The findings highlighted the importance of aligning the awareness program with the organizational strategy, ensuring sufficient time allocation, incorporating risk assessment in the planning phase, and employing diverse communication strategies.
...
Elämme maailmassa, jossa romanssihuijarit kalastelevat rahaa viattomilta ihmisiltä, terveystietoja kaupitellaan internetin pimeällä puolella ja kyberhyökkäys voi estää pääsyn pankkitilille jopa tunneiksi. Tänä päivänä myös digitaalinen ulottuvuus on jatkuvasti läsnä elämässämme. Arkiset askareet kytkeytyvät internetiin tavalla tai toisella. Lähes kaikissa tietoverkkohyökkäyksissä avainasemassa on ihmisen toiminta. Suunnitelmallinen hyökkäys alkaa usein täysin tavalliselta vaikuttavalla sähköpostiviestillä tai puhelinsoitolla. Tietoturvallisuudessa inhimillinen näkökulma on kiistatta yksi keskeisimmistä näkökulmista, joka kaikkien organisaatioiden on otettava tietoturvallisuuden hallinnassa huomioon. Yhteiskuntamme ei toimi ilman internetin varaan rakennettuja palveluita, jotka riippuvat yritysten tai julkishallinnon organisaatioiden toiminnasta. Eräs yhteiskunnan elintärkeistä toiminnoista on sosiaaliturvan toteutuminen, jossa Kelalla on itsenäisenä julkisoikeudellisena laitoksena kes
keinen roolinsa. Kelassa tietoturvallisuus otetaan vakavasti ja sen hallintaan sovelletaankin kansainvälisesti tunnettua ISO/IEC 27001 -standardia. Standardi edellyttää sen mukaisesti toimivilta organisaatioilta henkilöstön tietoturvatietoisuudesta huolehtimista. Tätä varten Kelassa on tavoitteena suunnitella ja toteuttaa koko organisaan kattava tietoturvatietoisuusohjelma. Työ on aloitettu tietoturvayksiköstä, jonka tietoisuusohjelmaa koskevia standardeihin, viitekehyksiin, lainsäädäntöön, määräyksiin, sisäisiin ja sidosryhmien odotuksiin perustuvia vaatimuksia on lähdetty selvittämään tämän pro gradu -tutkielman muodossa. Tutkielman tutkimusstrategiana on käytetty tapaustukimusta, jossa keskeisinä menetelminä toimivat haastattelut sekä dokumenttianalyysi. Tutkimusmenetelmissä on hyödynnetty laajaa tutkimustietoon nojaavaa teoreettista viitekehystä. Tutkimustyön aineistona toimivat sen lisäksi Kelan laatima julkinen dokumentaatio, tietoturvayksikön asiantuntijat sekä sidosryhmät, Kelaa koskeva lainsäädäntö sekä kansainväliset standardit ja viitekehykset. Tutkielman tuloksena muodostettiin aineiston pohjalta vaatimuskehikko, jota Kelassa on tarkoitus käyttää perustana tietoturvatietoisuusohjelman suunnittelussa. Tutkielman keskeisiä havaintoja olivat johdon tukeen, ohjelman resursointiin, suunnitteluun, sisältöön, toteutukseen sekä jatkuvaan parantamiseen liittyvät vaatimukset. Vaatimuksissa korostuivat tietoisuusohjelman kytkeminen organisaation strategiaan, riittävän ajankäytön mahdollistaminen, riskienarvioinnin merkitys suunnittelussa sekä monipuolisen viestinnän toteuttaminen.
...
