Piirros on asiantuntijan lahja maailmalle

Asiantuntijoiden kannattaa avata ajatuksiaan kuvioiksi. Piirros mahdollistaa monta asiaa.

Esimerkki: Tietojärjestelmän ylläpitäjänä tiedät, miten järjestelmä on rakennettu. Tiedät mistä palasista kokonaisuus muodostuu, miten tieto liikkuu palasten välillä ja mihin tieto lopulta päätyy.

Jossain vaiheessa tulee hetki, kun kokonaisuus on avattava muille. Syy voi olla esimerkiksi järjestelmäkokonaisuuden kehitystyö, perehdyttäminen, henkilövaihdokset tai ulkopuolisen asiantuntijan hyödyntäminen.

Olet melkoinen taikuri, jos pystyt selostamaan kokonaisuuden muille niin, että he ymmärtävät sen.

On monta hyvää syytä sille, että asiantuntijoiden päässä oleva tieto muutetaan tekstiksi tai kuvioksi.

Kuvauksen hyötyjä:

(no pakkohan tähän oli kuvio tehdä 🙂 )

Oman ajatuksen selkeyttäminen

Tietojärjestelmiin liittyvien asioiden pohdinta on usein monipuolisempaa, kun asiat kirjaa paperille. Ajatustasolla selvä juttu ei olekaan todellisuudessa niin selvä.

Huomaan tämän itse käytännön työssä. Olen havainnut, että piirtämisen yhteydessä tulee huomioitua myös sellaisia asioita, joita ei ajatustasolla osannut huomioida.

Olen kuullut sanottavan, että kirjoittaminen on ajattelua. Teksti on hyvä, mutta kuva on parempi. Piirtäminenkin on ajattelua!

Kuvaus mahdollistaa keskustelun

Asiaa on helpompi pohtia yhdessä, kun kaikki näkevät saman kuvauksen. On paljon helpompaa puhua yhteisestä kuvasta, kuin pelkästä tekstistä tai toisen selostuksesta. Kuvasta kohti keskustelua:

  • Miksi teemme asian noin?
  • Miksi tieto liikkuu tuota kautta?
  • Miksi samaa tietoa tallennetaan kahteen paikkaan?
  • Miksi tietoliikenne on salattu tuolla, mutta ei täällä?

Osaamisen jakaminen – toiminnan jatkuvuus

Hyvästä kuvasta saa nopeasti yleiskäsityksen organisaation tietojärjestelmistä ja niiden välisistä yhteyksistä. Kuvausta on mahdollista käyttää esimerkiksi uuden työntekijän perehdyttämisessä tai ulkopuolisen avun hyödyntämisessä. Konsultti kiittää ja apua saa nopeammin.

Erityisesti tietojärjestelmien osalta ei ole järkevää, että kaikki tieto on vain yhden henkilön päässä. Yrityksen kannalta on olennaista, että tieto on muidenkin hyödynnettävissä. Järjestelmästä vastaava asiantuntija voi esimerkiksi sairastua tai lähteä yrityksestä. Toisen henkilön on hankala ottaa kokonaisuutta haltuun, jos sitä ei ole kuvattu. Yksinkertainenkin kuvaus voi pelastaa yrityksen isoilta ongelmilta.

Piirtäkää perkele!

Vasara avuksi riskienhallintaan

Nurkissa pyöri muutama vanha kiintolevy, joille piti löytää uusi osoite. Eikun DBAN-sovellus pyörimään ja levyt täyteen random-dataa.

Kiintolevyn tiedostot tulee poistaa kunnolla, kun levy on lähdössä uudelle omistajalle tai kierrätykseen. Pelkkä käyttöjärjestelmän Poista-komento ei riitä.

Tiedoston poistaminen ei siis poista tiedostoa!

Ylen loistavassa Team Whack -hakkerisarjassa näytetään, mitä tietoa levyiltä on palautettavissa. Tavallisesti poistettujen tiedostojen palauttaminen on myös kotioloissa melko yksinkertaista.

Palautustoimenpiteitä vastaan voidaan suojautua usealla tavalla. Yritysmaailmaan vinkkejä voi ottaa esimerkiksi Kyberturvallisuuskeskuksen ohjeesta ”Kiintolevyjen elinkaaren hallinta – Ylikirjoitus ja uusiokäyttö

Yksi kiintolevyistäni oli sen verran huonossa kunnossa, että ylikirjoitus ei onnistunut luotettavasti. Riskinä oli, että tiedostot voidaan palauttaa kotikonstein. Tämän takia edellä mainittua kirjainyhdistelmää piti hieman soveltaa:

Drill, Bang and Neutralize.

kiintolevyn tuhoaminen

Riskiarvio oikaistiin vasaralla.

Digiturvatyö on vaikuttamista

Pitkittynyt erikoistilanne on antanut mahdollisuuden arvioida digiturvatyötä eri näkökulmista. Työympäristöt ja työn tekeminen muuttuu, ihmiset vaihtuvat ja järjestelmät kehittyy. Pitkä etätyöjakso voi kuitenkin johtaa siihen, että yksittäinen aihealue ja asiantuntija muuttuu näkymättömäksi, jos hän ei tee itseään ja asiaansa näkyväksi.

Edellinen opetti tärkeän asian: digiturvatyö on vaikuttamista.

Ja se on sitä, vaikka erikoistilannetta tai pitkiä etätöitä ei olisikaan.

Digiturvatyössä vaikuttaminen on viestintää, jolla tavoitellaan digiturvallisempaa ympäristöä. Tässä ei ole mitään uutta. Klassisen tietoturvan osa-alueiden jaottelun kautta kyseessä on tietoturvatietoisuuden nostaminen ja tietoturvaviestintä.

Ohessa muutamia esimerkkejä, miksi eri kohderyhmille suunnattu viestintä ja vaikuttaminen on tärkeää.

Ylin johto, johtajat, päälliköt jne.
Täällä majailee se kuuluisa ”ylimmän johdon tuki”. On mukavampi tehdä hommia, kun huomaa, että ylin johto on kiinnostunut aiheesta. He antavat digiturvatyölle ajatuksia, aikaa ja tekijöitä.

He toimivat esimerkkinä päivittäisissä digiturva-asioissa, huomioivat digiturvallisuuden omilla vastuualueillaan ja huolehtivat työntekijöidensä osaamisesta.

Johdon on ymmärrettävä, miten tietoturvallisuus – tai tietoturvattomuus – voi vaikuttaa yrityksen toimintaan. Ymmärrystä voi lisätä viestimällä mahdollisuuksista, riskeistä ja tilannekuvasta.

Työntekijät
Henkilöstön osaaminen ja toiminta vaikuttavat suoraan yrityksen digiturvan toteutumiseen. On tärkeää ymmärtää arjen asioita:

  • miksi verkkorikolliset ovat kiinnostuneet myös tästä yrityksestä,
  • mihin käyttäjätunnuksen kaappaaminen käytännössä johtaa,
  • miksi samaa salasanaa ei saa käyttää vapaa-ajan ja työpaikan järjestelmissä,
  • miten tiedostot kannattaa jakaa kollegalle?

Digiturvallisuus kuuluu kaikille ja se on läsnä jokaisen työtehtävissä, oli sitten työntekijä tai johtaja. Kokeneemmat työntekijät toimivat esimerkkinä uusille työntekijöille. Uudet työntekijät saadaan heti mukaan turvallisuuskulttuurin ylläpitämiseen.

Ymmärryksen muuttuminen voi johtaa haluttuun lopputulokseen, eli käytännössä digiturvallisempaan kokonaisuuteen. Ja se mahdollistaa yrityksen toiminnan ja asiakkaiden tarpeiden täyttämisen.

Digiturvatyö on vaikuttamista.

Rakkaudesta lajiin

Perustin tämän tietojesiturvaksi.fi blogin 10 vuotta sitten. Käsittelen tässä 10v postauksessa nyt sellaisia aiheita, jotka ovat puhutelleet minua jollain tavalla viimeisten vuosien aikana. Aiheet ei liity suoraan tietoturvaan, vaan bloggaamiseen.

Tämä postaus ei ole vuodatus. Tämä on oman toiminnan ja ajattelun tarkastelua. Oppimista. Ehkä näistä huomioista ja pohdinnoista on hyötyä tulevaisuudessa – sinullekin?

Tämä ei ole blogi! Eikä varsinkaan henkilöbrändäystä!

Muistaakseni blogit oli 2010 aikoihin kova juttu. Kieltäydyin kuitenkin kutsumasta sivustoani blogiksi. Sen sijaan se oli vain sivusto tai tietoturva-aiheinen nettisivu.

En halunnut puhua blogista, koska se olisi tehnyt minusta bloggaajan. Ja bloggaajia pidettiin turhanpäiväisinä huutelijoina, jotka esittävät ”asiantuntijaa”. Mokomatkin itsensä jalustalle nostajat! Nykyäänhän samat manaukset kohdistetaan henkilöbrändäykseen.

Parin vuoden ”sivuston” pitämisen jälkeen minulle tylytettiin päin naamaa, että onhan se blogi. No prkl, niinhän se on! Olisi myös tietämättömyyttä tai suoranaista valehtelua todeta, että tässä ei samalla rakennettaisi henkilöbrändiä.

Täydellisen tekstin tavoittelu

Blogipostausten kirjoittamisessa minulla on yksi törkeän iso ongelma: yksittäisen postauksen tekeminen vie aivan liikaa aikaa ja energiaa. Taustalla piinaa jonkinlainen täydellisen tekstin tavoittelu.

Ongelma muodostuu tällaisen ajatusprosessin läpikäymisestä:

  1. Olenhan huomioinut kaiken olennaisen?
  2. Saisikohan tästä sittenkin useamman postauksen?
  3. Onhan teksti ymmärrettävää, selkeää ja sujuvaa?
  4. Mitäköhän tästä nyt ajatellaan, enhän tee itsestäni täysin pelleä?
  5. Muistinhan kaikki olennaiset hakukonekikkailut?

Voitte vain kuvitella, miten asiat konkretisoitui tässä pitkässä 10v postauksessa. Meni aikaa ja energiaa. Hävettää jo valmiiksi, vaikka en ole julkaissut vielä mitään.

Sinun blogi – sinun juttusi!

Tietoturvasta ja tietosuojasta julkaistaan nykyään valtavasti erilaista materiaalia. On blogeja, videoita, podcasteja, kirjallisuutta, viranomaisohjeita ja laadukasta uutisointia. Minun on ihan turha lähteä uutisoimaan tai analysoimaan jotain tietoturvatapausta, koska monet muut tahot (asiantuntijat, mediatalot, ammattibloggaajat jne) ovat sen jo tehneet – nopeammin ja laadukkaammin.

Unohda yllä oleva – keskity omaan juttuusi.

Vanhat sisällöt on historian taakkaa?

Blogin pitämiseen kuuluu se, että vanhatkin postaukset jäävät muiden luettavaksi. Tästä on toki merkittävää hyötyäkin, mutta itse koen tämän jonkinlaisena taakkana: voiko asiantuntijan blogissa olla vastavalmistuneen opiskelijan tuottamaa materiaalia?

Välissä on toki vierähtänyt 10 vuotta, mutta huomioihan lukija sen?

Onhan tavoitteet, toiminta ja tunteet linjassa?

Blogi voi olla harrastus tai asiantuntijuuden markkinointikanava. Jos tavoitteenasi on tuoda asiantuntemusta esille, myydä asiantuntijapalveluita tms. niin toimi sitten tavoitteiden edellyttämällä tavalla. Toiminta! Luo aiheeseen liittyvää laadukasta sisältöä tarpeeksi usein.

En kirjoita blogia työkseni enkä saa tekemisestä rahaa, mutta koen silti pienimuotoista syyllisyyttä siitä, että en julkaise tarpeeksi usein. Ehkä omat tavoitteet, toiminta ja tunteet eivät ole linjassa.

Blogisi pakottaa sinua toimimaan esimerkillisesti?

Jos pidät asiantuntijablogia valokuvauksesta, muodista, ruuanlaitosta tms. niin lukija varmasti olettaa, että sivustollasi on hienoja valokuvia, muodikkaita vaatteita ja hyviä reseptejä jne.

Koska puhun tietosuojasta, onko kaksinaamaista, jos minulla ei ole lisäksi viimeisen päälle hyvä tietosuojaseloste, tietosuojaa kunnioittava analytiikkasovellus ja somenapit sekä hienot evästehärpäkkeet?

Analytiikkaohjelmisto heiluttaa koiraa

Seurasin aikoinaan hyvinkin aktiivisesti blogin lukijamääriä ja muita tilastotietoja erilaisilla analytiikkaohjelmistoilla (Google Analytics, Piwik/Matomo).

Analytiikka on tärkeää, mutta sen kanssa on oltava varovainen. Huomasin jossain vaiheessa, että minua kiinnosti enemmän numerot kuin uusien postausten kirjoittaminen.

Tuntui jotenkin vapauttavalta, kun poistin koko analytiikkasovelluksen käytöstä. Pakottaa keskittymään olennaiseen.

Jätä ylläpitohommat ammattilaisille

Jätä blogialustan tekninen ylläpito ammattilaiselle, jolla on osaamista ja aikaa. Siis molempia: osaamista ja aikaa.

Ylläpidin itse blogialustaani teknisesti useita vuosia. Tämä kahlitsee melkoisesti. Kun blogialustasta löytyy tietoturvareikä, verkkorikolliset hyökkäävät siihen automaattisesti. Siinä on sitten kiva miettiä arkena, viikonloppuna ja ennen kesälomamatkaa, että kukas sitä palvelua päivittelee poissaolosi aikana.

Tosin, ylläpitämällä itse oppii paljon erilaisia asioita. Opit myös arvostamaan sitä, kun joku muu tekee työn puolestasi.

Miten saan blogiini kommentteja?

Hanki ensin lukijoita. Saat lukijoilta kommentteja kolmella tavalla:

  1. Tuota hyvää sisältöä.
  2. Ärsytä ihmisiä.
  3. Jätä kommenttitoiminnon tietoturva huomioimatta.

Oli aika, kun en ollut huomioinut kommenttikentän tietoturvaa. Sitten tuli botti ja roskapostitti kommenttikentät täyteen pornoa ja pillereitä.

Miten saan blogiini lukijoita?

Lukijoiden määrä on suoraan verrannollinen siihen työmäärään, jonka blogiisi eteen teet. Googleta ”markkinointi”.

Ehkä tästä on jollekin hyötyä?

Perustin tietojesiturvaksi.fi alunperin nettisivuksi, jossa tarjotaan yleistä tietoturvatietoa. Pääsisältö muodostui juuri valmistuneen AMK-opinnäytetyöni teksteistä ja teknisistä ohjeista. Uskoin tuolloin, että näistä olisi hyötyä ja apua muillekin.

Uskon edelleen, että suomenkieliselle digiturvatiedolle on käyttöä.

Huomaan kuitenkin yhä useammin pohtivani: miksi teen tätä? Miksi käytän tähän aikaa, rahaa ja energiaa? Kysymykset ovat ihan aiheellisia.

Toistaiseksi, vastaus löytyy otsikosta – rakkaudesta lajiin!

Tapahtumien tietosuoja – 11 kysymystä suunnittelun avuksi

Tapahtumien tietosuoja muodostuu monesta asiasta. Suunnitelmallisuus on tärkeää, sillä iso osa tapahtuman tietosuojatyöstä tehdään jo ennen ilmoittautumisen avaamista. Suunnittele tapahtumien tietosuoja seuraavien kysymysten avulla:

  1. Miksi tapahtuman järjestäminen vaatii henkilötietojen käsittelyä?
  2. Mitä tietoja oikeasti tarvitaan?
  3. Millaista oheistoimintaa tapahtumassa järjestetään ja käsitelläänkö siinä henkilötietoja?
  4. Miten osallistujien tietoja halutaan hyödyntää myöhemmin?
  5. Miten ulkopuolisia palveluntarjoajia hyödynnetään tapahtuman järjestämisessä?
  6. Millaisia valokuvia tapahtumassa otetaan ja missä niitä julkaistaan?
  7. Mille tahoille osallistujien tietoja luovutetaan?
  8. Miten tapahtuman materiaalit lähetetään osallistujille?
  9. Miten ja minne tarpeelliset tiedot otetaan talteen?
  10. Mitä muille tiedoille tehdään tapahtuman jälkeen?
  11. Missä osallistujalle kerrotaan henkilötietojen käsittelystä?

Aihetta on käsitelty laajemmin Talk-verkkolehdessä: Tietosuoja tapahtumissa – mitä pitää huomioida?

Tapahtumien tietosuojan suunnittelussa voi auttaa myös tietovirtojen kuvaaminen.