Tietoturvakoulutus henkilöstölle: mitä käydä läpi ja miten

Miksi koulutus on tärkeää?

• 90 % tietomurroista alkaa phishing-viestistä tai inhimillisestä virheestä
• Tekniset suojaukset eivät auta jos työntekijä antaa salasanan huijarille
• Tietoinen henkilöstö on paras puolustus sosiaaliseen manipulointiin
• GDPR ja NIS2 edellyttävät henkilöstön kouluttamista

Koulutuksen sisältö (30–45 min)

1. Phishing ja huijausviestit (15 min)

Tärkein aihe. Näytä oikeita esimerkkejä:

• Sähköposti: "Tilisi on lukittu, klikkaa tästä"
• Toimitusjohtajahuijaus: "Maksa tämä lasku heti" (väärennös)
• Tekstiviesti: "Pakettisi odottaa, maksa 2,99 €"
• Puhelu: "Olen IT-tuesta, anna salasanasi"

Tunnusmerkit: Kiire, uhkailu, liian hyvä ollakseen totta, outo lähettäjä, kirjoitusvirheet, väärennetty linkki.

2. Salasanat ja MFA (10 min)

• Miksi salasananhallinta on tärkeä (ei samaa salasanaa kaikkialle)
• Miten käyttää Authenticator-sovellusta
• Mitä tehdä jos epäilee salasanan vuotaneen

3. Laitteiden turvallisuus (5 min)

• Lukitse kone kun poistut paikalta (Win+L / Cmd+Ctrl+Q)
• Älä jätä kannettavaa autoon tai kahvilaan
• Julkinen Wi-Fi: käytä VPN:ää tai mobiilidata

4. Kenelle ilmoitan? (5 min)

• Epäilyttävä viesti → IT-vastaava/IT-kumppani
• Klikkasin linkkiä → ilmoita heti, älä häpeä
• Laite varastettu → ilmoita + vaihda salasanat

Tärkeää: Ilmoittaminen ei johda rangaistukseen. Virheitä tapahtuu. Nopea ilmoitus minimoi vahingot.

Koulutuksen toteutus

Vaihtoehto A: Sisäinen koulutus

• IT-vastaava pitää 30 min palaverin
• Näytä oikeita phishing-esimerkkejä (poista arkaluontoiset tiedot)
• Käy läpi yrityksen tietoturvakäytännöt
• Anna yksi sivu ohjeita (tulostettava / intranet)

Vaihtoehto B: Ulkoinen kouluttaja

• IT-kumppani pitää koulutuksen
• Tuore näkökulma, enemmän esimerkkejä
• Työntekijät ottavat ulkopuolisen vakavammin
• Tyypillinen hinta: 70 €/h × 1–2 h

Vaihtoehto C: Verkko-oppimisalusta

• KnowBe4, Wizer, Arctic Wolf tms.
• Automaattiset muistutukset ja seuranta
• Simuloidut phishing-testit
• Hinta: 3–10 €/käyttäjä/kk

Koulutuksen aikataulu

Milloin	Mitä
Uuden työntekijän aloitus	Peruskoulutus (30 min)
Kvartaaleittain	Muistutus + ajankohtaiset uhat (10 min)
Vuosittain	Täydellinen kertaus
Tarpeen mukaan	Uusi uhka tai tapahtunut hyökkäys

Simuloidut phishing-testit

Lähetä "väärennetty" phishing-viesti ja seuraa kuka klikkaa. Tavoite ei ole nolata, vaan oppia:

• Klikkaajat saavat lisäkoulutusta (ei rangaistusta)
• Seuraa kehitystä ajan mittaan
• Tavoite: alle 5 % klikkausprosentti

Mitä välttää koulutuksessa

1. Pelottelu: "Hakkeri voi tuhota elämäsi" → ei motivoi, aiheuttaa ahdistusta
2. Tekninen jargon: "SQL-injektio", "man-in-the-middle" → puhu ymmärrettävästi
3. Liian pitkä: 2 tunnin luento → kukaan ei muista mitään
4. Kertaluonteinen: Yksi koulutus ja unohdetaan → toistoa tarvitaan
5. Syyllistäminen: "Jos klikkaat olet tyhmä" → estää ilmoittamista

Yhden sivun ohje tulostettavaksi

Usein kysytyt kysymykset

Miten saan johdon sitoutumaan?

Näytä euroissa: yksi onnistunut tietomurto maksaa keskimäärin 50 000–200 000 € pk-yritykselle. Koulutus maksaa murto-osan tästä.

Mitä jos työntekijät eivät jaksa kuunnella?

Lyhyt ja käytännöllinen > pitkä ja teoreettinen. Käytä esimerkkejä omasta toimialasta. Kerro oikeista tapauksista (anonyymisti).

Kuinka usein kouluttaa?

Peruskoulutus kerran + kvartaaleittain lyhyt muistutus (5–10 min sähköpostilla tai kokouksessa). Uhat muuttuvat – koulutuksenkin pitää.

Lue myös

• Tietoturvan peruspaketti 90 päivässä
• Phishing-viestien tunnistaminen
• Salasanakäytännöt 2026
• Tietoturva palveluna →