Tietoturvapäällikön rekrytointi, havaintoja osa 2: tiedot, taidot ja työkokemus

Tarkastelin tietoturvapäälliköiden rekrytointi-ilmoituksia. Tässä blogisarjan toisessa osassa kerron havaintoja tietoturvapäällikön tehtävässä tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen. Ensimmäisessä osiossa esitin havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla.

Mitä tietoturvapäällikön pitäisi tietää?

Tietoturvan perusteiden lisäksi siis…

Korkeakoulututkinto mainittiin monessa ilmoituksessa. Mielenkiintoinen havainto oli se, että soveltuvaa korkeakoulututkintoa on hankala yksilöidä. Mikään tietty korkeakoulututkinto ei ole edellytys tietoturvapäällikön tehtävälle. Toisessa paikassa IT-pohjainen koulutus on hyödyllisempi kuin toisessa.

Henkilökohtaiset tietoturvasertifioinnit (esim. CISSP, CISM, CISA jne.) nähdään etuna, mutta ei välttämättömyytenä.

Lainsäädännön sekä tietoturvan viitekehysten ja standardien tunteminen on olennaista. Mielestäni tässä kannattaa huomioida se, että tiettyä peruslainsäädäntöä kannattaa opetella. Ei mene hukkaan, jos opiskelet GDPR:n perusteita.

Monien ilmoitusten perusteella eduksi katsotaan, jos henkilöllä on osaamista tietotekniikasta ja tietojärjestelmistä. Lisäksi yksittäisissä ilmoituksissa tuodaan esille konkreettisia teemoja, kuten IAM, SIEM, SOC, M365, Azure, forensiikka, kryptaus, ohjelmointi, tietoturvateknologiat jne.

Millaisia työelämätaitoja tietoturvapäällikkö tarvitsee?

Esiintymistaidot ja yhteistyötaidot ovat äärimmäisen tärkeitä ominaisuuksia tietoturvapäällikölle.

Tietoturvapäällikkö nähdään tietoturvatyön johtajana ja kehittäjänä, joka hahmottaa kokonaisuuksia ja hänellä on kokonaisuus hallussa.

Erikoista oli se, että hyvää paineensietokykyä, jämäkkää persoonaa tai pitkäjänteistä työskentelytapaa tuotiin esille vain vähän. Mielestäni näitä ominaisuuksia pitäisi edellyttää kaikilta tietoturvapäälliköiltä.

Tietoturvapäälliköiden arjessa ilmenee paljon negatiivislähtöistä pohdintaa. On riskien arviointeja ja rikollisilta suojautumista. Arjen uutisointi on karua luettavaa. Siksi oli hyvä, että edes kahdessa ilmoituksessa arvostettiin positiivista mindsettiä 🙂

Millaista työkokemusta tietoturvapäälliköltä edellytetään?

Kokemusta edellytetään tietoturvatehtävistä. Tämä voi olla esimerkiksi tietoturvan suunnittelu- ja asiantuntijatehtäviä tai turvallisten ympäristöjen toteutusta. Työpaikan hakijan kannalta huojentavaa on se, että usean vuoden kokemusta tietoturvapäällikön tehtävistä ei laajasti edellytetty.

Kiinnostaako myös tietoturvapäällikön tehtävänkuva? Tutustu selvityksen ensimmäiseen osaan.

Tietoturvapäällikön rekrytointi, havaintoja osa 1: tehtävät

Innostuin tarkastelemaan tietoturvapäälliköiden rekrytointi-ilmoituksia. Koostin materiaalia* yhteen ja tein havaintoja. Esittelen tässä blogikirjoituksessa havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla. Kerron toisessa osassa havaintoja tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen.

Havaintoja on esitelty niin, että tästä saa hyötyä sekä tietoturvapäällikköä rekrytoivat organisaatiot kuin työpaikkaa hakevatkin.

Millaisiin tehtäviin tietoturvapäällikköä haetaan?

Tärkeimmät tietoturvapäällikön tehtävät rekrytointi-ilmoitusten perusteella:

  • Tietoturvatyön ohjaaminen ja koordinointi
  • Riskienhallinta
  • Tietoturvallisuuden arviointi
  • Tilannekuvan muodostaminen ja raportointi
  • Verkostoyhteistyö ja toimittajahallinta
  • Tietoturvatietoisuuden nostaminen
  • Dokumentaation laatiminen ja hallinta

Edellä listatut asiat ovat mielestäni tietoturvapäällikön perustehtäviä, jotka toistuvat jokaisessa organisaatiossa – oli ne sitten mainittu rekrytointi-ilmoituksessa tai ei.

Tehtäväkokonaisuudet tietysti vaihtelevat rekrytoivan organisaation mukaan. Tietoturvapäällikön tehtävät eivät kuitenkaan ole pelkästään hallinnollisia.

Esimerkiksi yhdessä ilmoituksessa korostettiin sekä IT-päällikön että tietoturvapäällikön tehtäviä, ja tekniikka painottui vaatimuksissa. Tämä on luonnollinen “tuplarooli” ja toisaalta hyvä esimerkki siitä, miten vaatimukset rekrytoitavaa kohtaan muuttuvat yrityksen tarpeiden perusteella.

Verkostoyhteistyö ja toimittajahallinta on nykyaikaisessa verkottuneessa toimintaympäristössä olennainen asia. Yhdessä ilmoituksessa oli mielenkiintoinen yksityiskohta tähän liittyen: tietoturvapäällikön tehtävänä nähtiin IT-palvelutoimittajien kouluttaminen tietoturvan osalta. Edistyksellistä!

Tietosuoja-asiantuntijan tehtävät mainittiin noin kolmanneksessa ilmoituksista. Mielestäni tätä pitäisi tuoda esille enemmänkin, koska tietoturvapäälliköllä on luontainen ja tärkeä rooli myös tietosuoja-asioiden edistämisessä. Jos organisaatiossa on tietoturvapäällikkö, tulee hänen osallistua myös tietosuojatyöhön.

Joissakin ilmoituksissa mainittiin myös yksityiskohtaisempia tehtäviä, kuten lokienhallinnan tehtävät, pääsynhallinta tai tietojärjestelmien tärkeysluokittelu tai tietosuojan vaikutustenarviointeihin osallistuminen. Lisäksi oli yksittäisiä mainintoja siitä, että tietoturvapäällikkö toimii tietosuojavastaavana, turvallisuuspäällikön sijaisena tai esihenkilönä.

*Taustamateriaalina käytin 25kpl vuonna 2022 julkaistuja työpaikkailmoituksia. Keskityin sellaisiin ilmoituksiin, joissa haettiin nimenomaan tietoturvavastaavaa, tietoturvapäällikköä tai kyberturvallisuuspäällikköä. Materiaalissa oli mukana sekä julkishallinnon että yksityisen puolen organisaatioita. Kyseessä on vapaamuotoinen oma selvitys eikä tieteellinen tutkimus.

Etätyöskentely ja matkustaminen

Töitä voi tehdä turvallisesti eri paikoissa, kun huomioidaan näihin työskentelypaikkoihin liittyvät erityispiireet. Ohessa on lähestytty etätyön tietoturvaa kolmen näkökulman kautta:

Työskentely kotona

Kotona korostuu työntekijän oman osaaminen ja vastuu ympäristön ja laitteiden teknisestä suojaamisesta. Huomioitavaa:

  • Tee työt työpaikan laitteilla. Käytä omia laitteita vain omien asioiden hoitamiseen.
  • Suojaa laitteita fyysiseltä vahingolta. Sovi samassa taloudessa asuvien kanssa, että työlaitteisiin ei kosketa.
  • Lukitse tietokone ja puhelin, kun poistut työpisteeltä.
  • Säilytä laitteita suojassa työpäivän jälkeen.
  • Varmista, että kotona käytössäsi oleva langaton WLAN-verkko on suojattu esimerkiksi WPA2-salauksella.
  • Vaihda verkkolaitteen oletussalasana ja huolehdi verkkolaitteiden tietoturvapäivityksistä.
  • Suojaa samalla tavalla myös kodin muut älylaitteet, jotta niiden mahdolliset tietoturvaongelmat eivät vaikuta työlaitteisiin.

Muualla työskentely

Ohessa asioita, jotka tulee huomioida, kun työskentelee muualla. Huomioitavaa:

  • Harkitse tarkkaan, mihin työlaitteet voi jättää vartioimatta.
  • Sammuta tai lukitse tietokoneesi, jos joudut poistumaan sen luota.
  • Älä kiinnitä työkoneeseesi muilta saatuja virtalähteitä, USB-muisteja tai ulkoisia kovalevyjä.
  • Pidä laite itselläsi – älä lainaa omaa työlaitettasi muille.
  • Älä kirjaudu yrityksesi IT-palveluihin muiden laitteilta tai yleisillä koneilla kirjastossa, hotellissa jne.
  • Käytä vain luotettavia WLAN-verkkoja. Vältä lentokentän, hotellin, kirjaston jne. yleisiä verkkoja.
  • Käytä näytön tietoturvasuojaa.
  • Puheääni kantautuu pitkälle. Huomioi tämä, kun puhut puhelimessa tai osallistut etäpalaveriin.

Menossa ulkomaille?

Matkalla ja ulkomailla työskentely on turvallista, kun huomioi aikaisemmin mainitut asiat kohdasta ”Muualla työskentely” sekä seuraavat lisähuomiot:

  • Harkitse tarkkaan, tarvitsetko kaikkia työlaitteita matkalle mukaan.
  • Poista tai suojaa laitteilla olevat tiedot, jotka eivät saa vaarantua esim. jos kone katoaa.
  • Tarkista lentoyhtiöltä, mitä laitteita voit ottaa lennolle mukaan.
  • Tiedosta, että tulliviranomaisilla voi olla oikeus avata ja tutkia laitteesi osana turvatarkastusta.
  • Havaitsitko jotain epäilyttävää laitteisiin tai käyttäjätunnuksiin liittyen? Ilmoita asiasta välittömästi IT-tuelle.
  • Tutustu myös Suomen ulkoministeriön matkustusturvallisuutteen liittyvään sivustoon.

Tästä pääset pariin muuhun blogipostaukseen, jotka liittyvät etätyön tietoturvaan.

Tietosuoja on arjen tekoja

Tietosuoja muodostuu suunnitelmallisuudesta ja arjen valinnoista. Merkittävä määrä tietosuojatyötä tehdään ennen kuin yhtään henkilötietoa on kerätty. Kerroin aikaisemmassa blogipostauksessa tietosuojan suunnitelmallisuudesta. Tässä kuvataan, miten suunnitelma muuttuu arjen teoksi usealla eri tavalla:

Noudata ohjeita!

Noudata henkilötietojen käsittelyyn liittyvää suunnitelmaa ja ohjeita. Kerää vain niitä henkilötietoja, joita oikeasti tarvitaan. Älä kerää lisätietoja varmuuden vuoksi. Tallenna tiedot sovittuun paikkaan. Käsittele ja avaa vain niitä tietoja, joita työssäsi tarvitset. Poista tiedot, kun niitä ei enää tarvita. Jos olet epävarma, miten henkilötietoja tulee käsitellä, niin pyydä lisää ohjeita!

Käytä sovittuja järjestelmiä

Käsittele henkilötietoja niissä järjestelmissä, jotka on kyseistä tehtävää varten hankittu. Yksittäinen työntekijä ei saa käsitellä henkilötietoja esimerkiksi pilvipalveluissa tai muissa järjestelmissä, jos niiden käytöstä ei ole suunnitelmaa ja organisaatiossa tehtyä päätöstä.

Vältä turhia kopioita

Arjen tekeminen vaatii joskus, että henkilötiedoista tehdään listoja, joita käsitellään esim. taulukkolaskentaohjelmassa. Tallenna listaus sovittuun paikkaan. Vältä turhien kopioiden ottamista useaan paikkaan, esimerkiksi omalle koneelle, kotihakemistoon, yhteisille verkkolevyille tai sähköpostiin. Useampi kopio hankaloittaa henkilötietojen asianmukaista hallintaa ja altistaa tiedot myös erilaisille tietoturvariskeille.

Lähetä ja jaa tietoa turvallisesti

Henkilötiedon jakaminen muille tulee tehdä järkevästi ja turvallisesti. Älä lähetä tietoa perinteisellä sähköpostilla. Se muodostaa monia ongelmia. Perinteisessä sähköpostissa tieto liikkuu turvattomasti, tiedosta muodostuu turhia kopioita ja tieto saattaa päätyä väärälle vastaanottajalle. Jaa ennemmin linkki käyttöoikeuksilla rajattuun tiedostoon tai käytä turvasähköpostipalvelua.

Poista turhat tiedot

Henkilötiedot tulee lopulta poistaa, kun tiedolle ei ole enää tarvetta. Älä kuitenkaan poista tietoa heti, kun tieto on sinulle tarpeetonta. Noudata tässäkin organisaation ohjeita. Tiedoilla voi olla pitkiäkin säilytysaikoja. Varmista myös, hoitaako tietojärjestelmä tiedon poistamisen automaattisesti vai pitääkö sinun poistaa tietoa itse. Muista myös ne turhat kopiot! Paperinen materiaali toimitetaan tietosuojaroskikseen.

Auta rekisteröityä

Rekisteröidyllä on monia tietosuojaoikeuksia, mm. oikeus saada tietoa henkilötietojen käsittelystä ja tutustua omiin tietoihinsa. Jos rekisteröity pyytää tällaista, niin suhtaudu tilanteeseen asiakaspalveluhenkisesti. Noudata olemassa olevia ohjeita tai palaa asiaan, kun olet saanut organisaatiosta lisäohjeita.

Ilmoita havainnoista ja poikkeamista

Havaitsitko poikkeamia tai mahdollisia ongelmia henkilötietojen käsittelyyn, tietosuojaan tai tietoturvaan liittyen? Ilmoita tästä viipymättä eteenpäin. Nopean reagoinnin ansiosta isommilta ongelmilta on vielä mahdollista välttyä.

Suunnitelmallinen ja fiksu toiminta tekee henkilötietojen käsittelystä järkevää, vastuullista ja turvallista – arjen tietosuojaa parhaimmillaan!

Tietosuoja on suunnitelmallisuutta

Tietosuojakeskusteluissa korostuvat usein tietomurrot ja hallinnolliset sakot. Valitettavasti ne hämärtävät tietosuojaa kokonaisuutena ja ohjaavat ajattelemaan aihetta kapeasti, ulkoisten asioiden kautta.

Tietosuoja muodostuu suunnitelmallisuudesta ja arjen valinnoista. Merkittävä määrä tietosuojatyötä tehdään ennen kuin yhtään henkilötietoa on kerätty.

Henkilötietojen tietoturvaloukkaukset ja tietomurrot pyritään välttämään hyvällä suunnittelulla ja toteutuksella. Hallinnolliset sakot johtuvat siitä, että suunnitelmallisuutta, tietosuojaperiaatteita ja rekisteröidyn oikeuksia ei ole noudatettu.

Suunnittelu luo pohjan tietosuojalle

Henkilötietojen käsittelyn suunnittelua voi toteuttaa esimerkiksi seuraavien kysymysten kautta:

  1. Mitä olemme tekemässä?
  2. Miksi tarvitsemme henkilötietoja?
  3. Millaisia henkilötietoja oikeasti tarvitsemme?
  4. Miten tietoja tullaan käsittelemään?
  5. Ketkä kaikki tietoja tulevat käsittelemään?
  6. Mille osapuolille tietoja tullaan luovuttamaan?
  7. Miten tietoa tullaan keräämään?
  8. Minne tarpeelliset tiedot tallennetaan?
  9. Kauanko tietoa on tarpeellista säilyttää?
  10. Miten tieto lopulta poistetaan eri paikoista?
  11. Miten ja missä henkilötietojen käsittelystä kerrotaan rekisteröidylle?
  12. Miten ohjeistan muita työntekijöitä, jotta suunnitelma muuttuu käytännön teoiksi?

Miten listaa hyödynnetään käytännössä? Kts. esim. tapahtumien tietosuoja.

Kaikki työntekijät eivät välttämättä joudu suunnittelemaan henkilötietojen käsittelyä työpaikalla, mutta jokaisella henkilötietoja käsittelevällä on merkittävä rooli tietosuojan toteutumisessa. Tästä lisää tämän blogipostauksen toisessa osiossa, joka julkaistaan myöhemmin.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.