Työntekijöiden tietoturvakäyttäytymiseen vaikuttavat tekijät

Abstract

Tämä pro gradu tutkielma keskittyy tarkastelemaan työntekijöiden tietoturvakäyttäytymistä. Tutkielmassa pyritään antamaan kuva tietoturvan tärkeydestä sekä siitä, mitkä tekijät vaikuttavat työntekijöiden tietoturvakäyttäytymiseen. Tarkastelun kohteena on yleisesti työntekijät, sillä tutkimus pyrkii antamaan yleispätevän kuvan työntekijöiden tietoturvakäyttäytymisestä keskittymättä tiettyyn toimialaan. Tutkielma muodostuu kirjallisuuskatsauksesta sekä empiirisestä osuudesta. Kirjallisuuskatsaus pyrkii luomaan käsityksen siitä, mitä tietoturvallisen työskentelyn olisi yleisesti hyvä pitää sisällään. Tietoturvatietoisuus esitetään keinona parantaa työntekijöiden tietoturvatasoa. Kirjallisuuskatsauksessa pyritään myös antamaan käsitys työntekijän roolin tärkeydestä tietoturvakokonaisuudessa yrityksen näkökulmasta. Empiirisessä osuudessa puolestaan tarkastellaan työntekijöiden asenteita ja näkemyksiä tietoturvaa kohtaan laadullisen teemahaastattelun kautta. Haastattelun kautta pyritään selvittämään, mitkä tekijät vaikuttavat työntekijän tietoturvakäyttäytymiseen. Haastatteluista syntyneistä aineistoista kootaan työntekijöiden kokemat teemat liittyen tietoturvan koettuun kontrolliin, yleiseen asenteeseen sekä koettuun normiin. Haastattelut osoittavat, että tietoturvaan koetaan tärkeänä asiana, josta kaikkien on yrityksessä kannettava vastuuta. Kuitenkaan halukkuus tietoturvan itseopiskeluun tai muiden henkilöiden tietoturvakäyttäytymisen neuvomiseen ei ollut korkealla. Tutkimuksen tuloksia voidaan hyödyntää mahdollisissa aiheen syvemmissä tutkimuksissa.

This thesis focuses on employees' information security behaviors. The thesis aims to give a picture of the importance of information security and discusses the factors that influence the information security behavior of employees. The focus is on employees in general, as the thesis aims to provide a general picture of employee security behavior without focusing on a specific field. The thesis consists of a literature review and an empirical study. The literature review aims to provide an insight into what should be included in working in an information secure way in general and information security awareness is presented as a way to improve the employees' level of information security. The literature review also aims to give an insight into the importance of the role of the employee in the information security context from the company's point of view. In the empirical part of the study, the attitudes and perceptions of employees towards information security are examined through a qualitative thematic interview. Through interviews, the aim is to find out what factors influence the information security behavior of employees. From the interview data, themes experienced by the employees were gathered in themes related to their perceived control, general attitude and perceived norm of information security. The interviews showed that information security is seen as an important subject that is everyone's responsibility. However, the motivation to study information security or to advise others was not high. The results of the study can be used in possible further research on the topic.