Samlink kehittää työntekijöiden tietoturvaosaamista uudella tavalla

Tietoturva on kriittinen osa Samlinkin arkea, joten työntekijöiden tietoturvaosaamisen kehittäminen on jatkuvasti muuttuvassa maailmassa tärkeää. Työntekijämme kouluttautuvat tietoturvaan liittyviin aiheisiin nyt uudella tavalla – osallistumalla vuoden kestävään nanokoulutukseen.

Samlinkin sisäinen tietoturvakoulutus alkoi kesäkuussa. Kolmen viikon välein Samlinkin työntekijät suorittavat koulutussessioita, jotka käsittelevät erilaisia tietoturva-aiheita. Yksi sessio käsittelee yhtä aihetta ja on kestoltaan noin 2–3 minuuttia. Sessiossa työntekijät tutustuvat aiheeseen liittyviin tekstipätkiin ja testaavat osaamistaan pienten tehtävien avulla. 

Lyhyitä nanokoulutuksia kertyy vuoden aikana yhteensä 16. Ensimmäiset koulutusaiheet ovat keskittyneet yleisesti Samlinkiin organisaationa, kalastusviesteihin ja monivaiheiseen tunnistautumiseen. Tulossa on koulutuksia myös muun muassa haittaohjelmista, disinformaatiosta ja tietoturvasta sosiaalisessa mediassa.

– Sessioita voidaan räätälöidä ja myös niiden suorittamisjärjestystä voidaan muuttaa, jotta sisällöt sopivat Samlinkiin ja esimerkiksi julkisessa keskustelussa oleviin ajankohtaisiin aiheisiin. Tavoitteena on tehdä koulutuksesta mahdollisimman mielenkiintoinen ja informatiivinen, kommentoi Samlinkin CISO Thomas Keisu.

Lyhyitä koulutuksia säännöllisesti

Sen sijaan, että tietoturvakoulutus pidettäisiin kerran vuodessa, nanokoulutus jakaa sen koko vuodelle. Nanokoulutuksessa on kyse lyhyistä ja säännöllisesti toistuvista koulutushetkistä. Se on koulutusmuotona hyvä erityisesti tietotyössä, jossa informaatiotulva saattaa toisinaan olla valtava.

– Kertakoulutusten sisällöt helposti unohtuvat, kun aikaa kuluu. Nanokoulutuksessa työntekijät saavat säännöllisesti uutta tietoa ja kertaavat vanhaa, jolloin tietoturva-asiat ovat kuukausittain arjessa läsnä ja painuvat paremmin mieleen, selventää Keisu.

Tietoturvakoulutus on hyvin pitkälle automatisoitu. Kaikki samlinkilaiset saavat tiettyinä päivinä tiettyyn aikaan sähköpostin, joka ohjaa koulutusalustalle opiskelemaan uutta tietoturva-aihetta. Jos koulutussession suorittaminen unohtuu, lähtee työntekijälle 1,5 viikon jälkeen automaattisesti muistutusviesti.

– Viestien lähetysajankohdaksi on valittu aikainen aamu, sillä silloin työntekijöillä on yleensä enemmän rauhallisia hetkiä. Koulutussession voi suorittaa itselle sopivana hetkenä, jokaiselta löytyy kyllä kolme minuuttia kolmessa viikossa keskittyä tietoturva-aiheen äärelle.

Ihmisten tietoisuus korostuu

Finanssialalla, jossa Samlink vahvasti toimii, käsitellään paljon luottamuksellista tietoa. Siksi on tärkeää, että kaikilla työntekijöillä on riittävä osaaminen tiedon käsittelyyn ja suojeluun sekä erilaisten uhkien tunnistamiseen.

– Riittävä turvallisuustietous vähentää riskiä tietoturvaloukkausten kohdistumisesta meihin. Asiakaslupauksessammekin lupaamme ylläpitää korkeaa tietoturvaa, ja sisäinen tietoturvakoulutus on yksi tapa pitää siitä huolta, kertoo Keisu.

Tietoturvakoulutuksen tuloksia seurataan tiimitasolla. Jos jonkin tiimin osaaminen näyttää koulutuksesta huolimatta olevan riittämättömällä tasolla, tiimin johtajan kanssa keskustellaan mahdollisesta lisätuesta ja koulutuksesta.

Keisu muistuttaa, että tietoturvassa heikoin lenkki on yleensä ihminen. Monissa onnistuneissa tietoturvahyökkäyksissä taustalla on riittämättömän teknologisen suojaustason sijaan ihmisen toiminta. – Nykyään on todella helppo tulla huijatuksi verkossa. Huijarit ovat hyvin älykkäitä ja voivat saada esimerkiksi huijaussivustot tai -sähköpostit näyttämään todella aidoilta.

In English:

Samlink’s Internal Security Awareness Training is held in a new way

Information security is a critical part of Samlink’s everyday life so developing employees’ information security skills is important in a constantly changing world. Our employees are now training on topics related to information security in a new way – by participating in a year-long nano-training.

Samlink’s internal security awareness training started in June. Every three weeks, employees go through short nano training sessions. Each session focuses on one topic and lasts from two to three minutes. In the session, employees read short texts related to the topic and test their knowledge with tasks and quizzes. 

Employees will go through a total of 16 short nano-trainings during the year. The first training topics have focused on Samlink as an organization, phishing and two-factor authentication. Future trainings will cover multiple subjects, for example malware, disinformation and information security in social media, among other things.

– The sessions can be tailored, and the order of the sessions can also be changed so that the contents fit Samlink and current topics in public discussion. The goal is to make the training as interesting and informative as possible, comments Samlink’s CISO Thomas Keisu.

Information security in mind constantly

Instead of once-a-year information security training, nano training is spread over the whole year. Shortly explained, nano training means short and regularly repeated training moments. It is a good training form especially for knowledge work, where the flood of information can be huge.

– The contents of once-a-year trainings are easily forgotten when time passes. In nano training employees receive new information regularly and review the old. Because of that, information security issues are present every month and won’t be forgotten, explains Keisu.

Information security training is highly automated. On certain days at a certain time, all Samlink employees receive an email that directs them to the training platform to study a new information security topic. If the completion of the training session is forgotten, a reminder message is automatically sent to the employee after 1.5 weeks.

– Employees receive nano training emails early in the morning because they usually have more quiet moments then. Employees can complete the session whenever they have time. Everyone has few minutes once in three weeks to focus on information security matters.

Focus on awareness

A lot of confidential information is handled in the financial sector where Samlink operates. That’s why it’s important that all employees have sufficient skills to handle and protect information and to identify various cyber threats.

– Adequate security awareness reduces the risk of threats hitting us. We also promise high-quality information security for our clients and internal information security training is one way to ensure that, says Keisu.

The results of the information security training are monitored at team level. If the skills of a team seem to be at an insufficient level despite the training, possible additional support and training can be discussed with the team leader.

Keisu reminds us that the weakest link in information security is usually the human. In many security attacks the reason why attackers succeed is human activity, instead of an insufficient technological level of protection.

– Nowadays it’s easy to get scammed online. Attackers are very smart and can make scam websites or e-mails look authentic.

Sivun alkuun