Tietoturvakoulutusta pidetään parhaimpana keinona ylläpitää henkilöstön tietoturvatietoutta, mutta siitä huolimatta tietoturvakoulutuksen kehittäminen ja vaikuttavuuden arviointi ovat jääneet alan kirjallisuudessa vähemmälle huomiolle. Osasyynä tähän on tietoturvakoulutukseen ja vaikuttavuuden arviointiin liittyvän teorian pirstaleisuus. Tässä pro gradu -tutkimuksessa laaditaan tietoturvakoulutuksen suunnittelun viitekehys, jota sovelletaan ensisijaisesti Poliisihallituksen tarpeisiin. Tietoturvakoulutussuunnitelman tavoitteena on tehdä tietoturvakoulutuksesta suunnitelmallisempaa sekä kohdennetumpaa erilaisille henkilöstöryhmille. Samalla tutkitaan sitä, miten tietoturvakoulutuksen vaikuttavuutta voidaan lisätä ja miten sitä mitataan.

Tutkimus on toteutettu design science -tutkimuksena käyttäen. Tutkimuksen artefakti, vaikuttavan tietoturvakoulutussuunnitelman viitekehys, rakentuu aikaisemman tutkimustiedon sekä Poliisihallituksen tietoturvavastaavien haastatteluiden pohjalta. Tietoturvakoulutussuunnitelman viitekehys pyrkii osaltaan vastaamaan tietoturvakoulutuksen suunnittelun pirstaleiseen teoriapohjaan sekä tuomaan vaikuttavuuden arviointia kiinteämmäksi osaksi organisaatioiden tietoturvakoulutusta.

Tutkimuksen lopputuloksena muodostunut viitekehys on tehty Poliisihallituksen tarpeet huomioiden, mutta se on hyödynnettävissä myös muihin organisaatioihin. Vaikuttavan tietoturvakoulutussuunnitelman tekeminen ja implementointi vaativat organisaatiolta resursseja, sillä vaikuttavan tietoturvakoulutuksen suunnittelu vaatii kohdeyleisönsä tuntemisen. Vaikka vaikuttavan tietoturvakoulutuksen suunnittelu vie organisaatiolta aikaa ja rahaa, niin koulutuksen vaikuttavuutta mittaamalla ja arvioimalla organisaatio saa jatkuvasti dataa siitä, miten koulutusta voisi kehittää entisestään.