Miten tietoturvatietoisuutta mitataan yrityksessä? Mittarit, testit ja seuranta käytäntöön

Miksi tietoturvatietoisuuden mittaaminen ratkaisee enemmän kuin yksittäinen koulutuspäivä

Tietoturvatietoisuus näkyy arjessa pieninä tekoina: miten liitteet avataan, miten asiakastietoja käsitellään, miten nopeasti poikkeamista ilmoitetaan ja miten tunnistautuminen hoidetaan eri palveluissa. Ilman mittaamista tietoturvan kehittäminen jää helposti tuntemusten varaan: “kyllä meillä on ohjeet” tai “koulutus pidettiin viime vuonna”. Mittaaminen tuo keskusteluun faktat ja auttaa kohdistamaan toimet sinne, missä riski ja hyöty ovat suurimmat.

Käpy A.I. Oy:n koulutuksissa, kartoituksissa ja konsultoinnissa mittaaminen rakennetaan osaksi jatkuvaa kehitystä. Tavoite ei ole kerätä pisteitä, vaan varmistaa, että henkilöstö osaa toimia oikein juuri niissä tilanteissa, joissa virheillä on vaikutusta liiketoimintaan, asiakassuhteisiin ja vaatimustenmukaisuuteen.

Mitä tietoturvatietoisuus tarkoittaa mitattavana asiana (ei mielikuvana)

Kun tietoisuutta mitataan, on ensin sovittava mitä mitataan. Käytännössä tietoturvatietoisuus yrityksessä voidaan pilkkoa neljään mitattavaan osa-alueeseen:

  • Tieto: ymmärtääkö henkilöstö peruskäsitteet, uhkakuvat ja toimintamallit?
  • Taito: osaako henkilöstö soveltaa ohjeita arjen tilanteissa (esim. sähköposti, pilvipalvelut, laite- ja etätyö)?
  • Käyttäytyminen: toteutuuko turvallinen toiminta käytännössä (esim. ilmoituskynnys, dokumentointi, oikeuksien pyytäminen)?
  • Kyvykkyys ja toimintaympäristö: onko organisaatiolla edellytykset toimia oikein (selkeät ohjeet, helppo ilmoituskanava, sovitut vastuut)?

Pelkkä tietotesti mittaa lähinnä ensimmäistä kohtaa. Riskit kuitenkin realisoituvat yleensä taidon, käyttäytymisen ja toimintaympäristön puutteiden kautta. Siksi toimiva mittaristo yhdistää useita lähteitä.

Mittarit ja testit: käytännön malli, joka toimii myös pk-yrityksessä

Alla on malli, jota Käpy A.I. Oy hyödyntää organisaatioiden kanssa. Se on kevyt ottaa käyttöön ja skaalautuu. Mittarit kannattaa valita niin, että niitä voidaan seurata kuukausi- tai kvartaalitasolla ilman raskasta raportointia.

1) Perusmittarit: osallistuminen, läpäisy ja kattavuus

Ensimmäinen taso on varmistaa, että koulutus tavoittaa ihmiset. Nämä mittarit eivät kerro vielä turvallisuustasosta, mutta ne kertovat, onko kehittämiselle edellytykset.

  • Osallistumisaste rooleittain (johto, IT, asiakastyö, talous, tuotanto).
  • Suoritusaste ja läpäisy (koulutusmoduulit, perehdytys, kertaukset).
  • Ajantasaisuus: kuinka monella koulutus on voimassa (esim. 12 kk sisällä).

Käytännön hyöty: tämä paljastaa nopeasti “sokeat kulmat”, joissa riski on korkea (esim. alihankkijat, määräaikaiset tai esihenkilöt).

2) Osaamisen mittaaminen: tietotestit ja tilannepohjaiset kysymykset

Tietotestit toimivat, kun ne sidotaan arkeen. Käpy A.I. Oy:n koulutuksissa testit rakennetaan tyypillisten työtilanteiden ympärille, ei pelkkien määritelmien.

  • Ennakkotesti + jälkitesti: osoittaa oppimisen, ja auttaa kohdentamaan sisältöjä.
  • Tilannekysymykset: “Mitä teet, jos asiakas pyytää tiedostoa henkilökohtaiseen sähköpostiin?”
  • Roolikohtaiset polut: esim. taloushallinto, HR, myynti ja IT kohtaavat eri riskit.

Käytännön hyöty: erottaa “tietää teoriassa” -tason siitä, osaako toimia oikein paineessa tai kiireessä.

3) Käyttäytymisen mittaaminen: poikkeamat, ilmoitukset ja prosessin läpimeno

Tietoturvatietoisuus näkyy usein siinä, miten poikkeamiin reagoidaan. Siksi mittareiden kannattaa kattaa koko ketju havainnosta käsittelyyn.

  • Ilmoitusten määrä ja laatu: onko ilmoituksia, tuleeko niissä tarvittavat tiedot (aika, kanava, liite, kohde)?
  • Ilmoituskynnys: kuinka nopeasti epäily ilmoitetaan (median, minimin tai SLA:n avulla).
  • Käsittelyaika: kuinka nopeasti asia triage-toimitaan ja suljetaan.
  • Toistuvat virhetyypit: esim. väärä vastaanottaja, liian laajat jakolinkit, heikko tunnistautuminen.

Käytännön hyöty: mittaa, toimiiko organisaation toimintamalli. Jos ilmoituksia ei tule lainkaan, se on usein huonompi signaali kuin “liikaa ilmoituksia”.

4) Simulaatiot ja harjoitukset: mitä tapahtuu oikeassa tilanteessa

Moni organisaatio hyödyntää kalastelusimulaatioita, mutta niiden tulkinta tehdään usein väärin. Pelkkä “klikkausprosentti” ei riitä, koska riskin kannalta olennaista on myös, mitä tapahtui klikkauksen jälkeen.

  • Kalastelusimulaation mittarit: avaus, klikkaus, tunnusten syöttö (jos käytössä), ilmoitusprosentti.
  • Ilmoitusten reitti: löytääkö käyttäjä oikean kanavan ja osaako liittää olennaiset tiedot?
  • Harjoitusten toistuvuus: pienet, säännölliset harjoitukset ovat yleensä vaikuttavampia kuin harvat “kerralla kuntoon” -tempaukset.

Harjoitusten rinnalle kannattaa rakentaa käytännön vahvistuksia, kuten salasanapolitiikka ja monivaiheinen tunnistautuminen. Näihin liittyvää ohjeistusta ja roolikohtaista tukea voidaan käsitellä osana tietoturvakoulutuksia, jotta käyttäjien toiminta ja tekniset suojauskerrokset tukevat toisiaan.

5) Tekninen todellisuus: asetukset ja käyttödata (ilman henkilöstön syyllistämistä)

Osa tietoisuudesta on käytännössä sitä, ovatko työkalut ja asetukset sellaisia, että ihmiset pystyvät toimimaan oikein. Esimerkiksi jos jakolinkkien oletusasetukset ovat liian avoimia, tai jos monivaiheinen tunnistautuminen on kiertoteillä “väliaikaisesti” pois käytöstä, riskitaso nousee riippumatta koulutuksesta.

Käpy A.I. Oy yhdistää koulutuksen tuloksia usein nykytilan arviointiin ja hallinnollisiin käytäntöihin. Tarvittaessa mittaamisen tueksi tehdään tietoturvakartoitus, jossa tarkastellaan sekä ihmisten toimintamalleja että keskeisiä suojaus- ja hallintakäytäntöjä.

Miten mittarit sidotaan tavoitteisiin ja vaatimustenmukaisuuteen

Mittarit kannattaa kytkeä liiketoiminnan tavoitteisiin: asiakastiedon suojaamiseen, toimituskykyyn, häiriötilanteista palautumiseen ja kumppanivaatimuksiin. Tällöin mittaaminen ei jää “IT:n projektiksi”, vaan sitä voidaan johtaa johdon tasolla.

Yksi käytännöllinen tapa on rakentaa mittarit kolmeen koriin:

  • Riskiperusteiset mittarit: mitkä toiminnot aiheuttavat suurimman riskin (esim. talousmaksut, käyttöoikeudet, asiakasdata)?
  • Vaatimukset ja sopimukset: mitä asiakkaat, toimialasääntely tai standardit edellyttävät (esim. perehdytys, ohjeistus, seuranta)?
  • Kypsyys: miten johdonmukaisesti toimintamallit toteutuvat (mitataan toistettavuutta, dokumentaatiota ja omistajuutta).

Jos organisaatiolla on tavoitteena kehittää tietoturvan hallintaa standardilähtöisesti, mittaaminen voidaan ankkuroida myös kypsyysnäkökulmaan. Tähän soveltuu esimerkiksi ISO 27001 -tyyppinen kypsyyskartoitus ja siihen liittyvä seuranta: mitä parannettiin, mitä jäi auki ja miksi.

Tyypilliset virheet, jotka tekevät mittaamisesta hyödytöntä

Seuraavat kompastuskivet toistuvat organisaatioissa, joissa tietoisuutta yritetään mitata, mutta tulokset eivät johda parempaan turvallisuuteen:

  • Mitataan vain helppoja asioita (osallistuminen) ja unohdetaan käyttäytyminen sekä prosessit.
  • Mittarit irti arjesta: testit eivät vastaa todellisia työtilanteita, jolloin tulos ei ennusta toimintaa.
  • Liian paljon mittareita: raportointi kuormittaa, mutta päätöksenteko ei parane.
  • Syyllistävä kulttuuri: henkilöstö alkaa piilotella virheitä, jolloin ilmoitukset vähenevät ja riski kasvaa.
  • Ei omistajaa: kukaan ei vastaa siitä, että tulokset johtavat muutoksiin ohjeissa, prosesseissa tai suojauksissa.

Käpy A.I. Oy:n konsultoinnissa mittaristo rakennetaan niin, että se tuottaa päätöksentekoon kelpaavaa tietoa: mitä tehdään seuraavaksi, kuka tekee ja millä aikataululla. Tämä on usein selkein ero “raportoinnin” ja “johtamisen” välillä.

Käytännön eteneminen: 30–90 päivän malli mittaamisen käynnistämiseen

Mittaus ei vaadi pitkää hanketta. Alla on käytännön malli, joka saadaan yleensä käyntiin nopeasti:

  1. Päivä 1–14: määrittely – sovitaan 5–10 ydintunnuslukua, roolit ja raportointirytmi. Valitaan lähtötaso (baseline).
  2. Päivä 15–45: ensimmäinen mittauskierros – toteutetaan ennakkotesti, kohdennettu koulutus ja yksi harjoitus/simulaatio, kerätään prosessimittarit (ilmoitukset, käsittelyajat).
  3. Päivä 46–90: korjaavat toimet – päivitetään ohjeet, selkeytetään ilmoituspolku, täsmennetään vastuut ja tehdään tarvittavat tekniset parannukset. Sen jälkeen uusi mittauskierros.

Jos samalla halutaan varmistaa, että kokonaisuus tukee myös vaatimustenmukaisuutta tai asiakasvaatimuksia, voidaan tehdä rinnalle GAP-tyyppinen nykytila-arvio. Käytännössä tämä tarkoittaa, että koulutuksen ja mittareiden rinnalla tunnistetaan puuttuvat menettelyt, dokumentaatio ja omistajuus. Tällaiset kokonaisuudet toteutetaan tyypillisesti osana nykytilan kartoitusta ja GAP-analyysia.

CTA: ota mittaaminen osaksi tietoturvan kehittämistä

Jos tavoitteena on saada tietoturvatietoisuus pois “fiilistasolta” ja osaksi johdettavaa kehitystä, Käpy A.I. Oy auttaa rakentamaan toimivan mittariston, toteuttamaan käytännönläheiset koulutukset ja kytkemään tulokset kartoitukseen sekä kehitystoimenpiteisiin.

Seuraava askel on yksinkertainen: kuvaa lyhyesti organisaation tilanne ja tavoite, niin ehdotetaan sopiva kokonaisuus (koulutus, mittaristo ja tarvittaessa kartoitus).

Ota yhteyttä ja aloitetaan tietoturvatietoisuuden mittaaminen käytännön tasolla.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma