| Yhteenveto: | Huotari, Outi
Peloteteorian vaikutus tietoturvakäytäntöjen noudattamiseen
Jyväskylä: Jyväskylän yliopisto, 2012, 24 s.
Tietojärjestelmätiede, kandidaatin tutkielma
Ohjaaja: Seppänen, Ville
Suurin osa yritysten tietoturvarikkeistä on työntekijöiden aiheuttamia.
Työntekijöiden vastuuta yrityksen tietoturvasta ei tulisi kuitenkaan vähentää,
sillä heidän osallistumisellaan voidaan parantaa koko organisaation
tietoturvariskienhallintaa. Työntekijät täytyisikin saada motivoitua
noudattamaan tietoturvakäytäntöjä.
Tämän tutkielman tarkoituksena on pyrkiä kirjallisuuskatsauksen avulla
ymmärtämään, miten työntekijät saataisiin noudattamaan yrityksen
tietoturvakäytäntöjä. Tutkielma pohjautuu peloteteoriaan, jota on käytetty
paljon työntekijöiden tietoturvakäytäntöjen noudattamista tutkittaessa ja
edistettäessä. Teorian mukaan työntekijä pidättäytyy tietokonerikkeiden
tekemisestä, jos hän kokee rangaistuksen saamisen todennäköisyyden ja
rangaistuksen ankaruuden liian suuriksi. Tutkielman tutkimuskysymykset ovat
1) Miten peloteteorian oppeja voidaan käyttää apuna, jotta työntekijät
noudattaisivat yrityksen tietoturvakäytäntöjä? ja 2) Millaisia tutkimustuloksia
teorian toimivuudesta on saatu?
Peloteteorian käyttämistä voidaan tarkastella yrityksen koko
tietoturvakäytännön tasolla, kuten teoriasta saadut tutkimustulokset ovat usein
pyrkineet tekemään. Tietoturvakäytäntöjen noudattamisen parantamiseksi
yrityksen täytyy luoda kyseisistä käytännöistä selvä ja yksityiskohtainen
tietoturvapolitiikka, ja työntekijät on saatava tietoisiksi käytännöistä,
esimerkiksi koulutuksen avulla. Lisäksi on tärkeää seurata työntekijöiden
käyttäytymistä ja rankaista käytäntöjä rikkovia. Tämä luo pelotevaikutusta,
joka estää potentiaalisia väärinkäyttäjiä tekemästä rikkeitä.
Peloteteorian toimivuudesta on saatu ristiriitaisia tuloksia. Peloteteoriaa
on kritisoitu vahvasti, sillä se ei huomioi kaikkia työntekijöiden toimintaan
vaikuttavia tekijöitä. Teoriaa voidaan kritiikistä huolimatta käyttää
työntekijöiden tietoturvakäytäntöjen noudattamisen parantamiseen, kunhan
yritykset huomioivat teorian lisäksi muitakin tekijöitä.
|
|---|