Tietoturvapäällikön ja tietosuojavastaavan tehtävien vertailua

Kuvan taulukkoon on koottu keskeisiä tietoturvapäällikön ja tietosuojavastaavan tehtävien eroja.

Tietoturvapäällikön ja tietosuojavastaavan erot

Käytännössä tietosuojavastaava keskittyy henkilötietojen suojaan liittyviin näkökulmiin, kun taas tietoturvapäällikkö tarkastelee aihetta laajemmin. Tietosuojavastaavan tehtävänkuva on kerrottu GDPR:ssä, mutta molemmilla voi olla organisaation osoittamia (lisa)tehtäviä. Tietoturvapäällikön työ liittyy toteuttamiseen, tietosuojavastaavan tehtävät ovat riippumatonta ohjausta ja valvontaa.

Kts. myös aikaisempi postaus aiheesta: Mitä eroa on tietosuojavastaavalla ja tietoturvapäälliköllä?

Miten ChatGPT voi auttaa tietoturvatyössä?

Tietoturvapäällikön tehtäviin kuuluu paljon erilaista viestintää. Testasin, miten ChatGPT voisi olla avuksi näissä tehtävissä. Ja voihan se – tässä havaintoja.

Testasin ensin kolmea viestintätehtävää, kaikki omina pyyntöinä. Pyysin suomeksi, että kirjoita minulle:

  • teksti, jossa varoitetaan yrityksen työntekijöitä meneillään olevasta huijausviestikampanjasta.
  • muistutusviesti yrityksen työntekijöille siitä, että tietoturvasta pitää huolehtia myös loma-aikana.
  • viestintäpohja tilanteeseen, jossa organisaatio on joutunut kiristyshaittaohjelmahyökkäyksen kohteeksi.

Tuotettu materiaali oli häkellyttävää. Omiin teksteihin verrattuna tulos oli monipuolisempi, täydellisempi ja jopa ystävällisempi – pahus!

Osa teksteistä oli kuitenkin hieman ”virallisen oloisia”. Toisaalta, jos viestin allekirjoittaa tietoturvavastaava tai tietoturvatiimi, niin kyllähän virallisuus on ilomme 🙂

Muutamia suomenkielisiä sanoja on muutettava, jotta tekstit ymmärrettävämpiä.

ChatGPT –  yksi tietoturvapolitiikka, kiitos.

Jälleen kattava listaus teemoja, joita pitää huomioida. Mutta ehkä jopa liian kattava. Itse olisin ehkä siirtänyt osan asioista erilliseen tietoturvaperiaatteet ja käytännöt -dokumenttiin, jotta tietoturvapolitiikasta ei tule niin massiivinen. Veikkaan, että sana tietoturvapolitiikka on tekoälyn käännöskoneessa ”information security policy”, joka voi olla hyvinkin laajasisältöinen. Perinteisesti Suomessa on suositeltu tekemään tiivis tietoturvapolitiikka.

Entäs tietoturvaohje?

Kun pyysin tietoturvaohjetta, niin tulos ei ollut enää niin valmista. ChatGPT tekee hyvää jälkeä otsikoinnin osalta, mutta muuten sisältö jäi erittäin tiiviiksi. Tästä saa kuitenkin hyvän rungon.

Lyhennykset haltuun nopeasti

Testasin myös, miten palvelusta saa ulos kuvauksia eri lyhennyksistä, joita vilisee tietoturvakentällä kohtuullisen paljon.

ChatGPT, mitä tarkoittaa EDR tietoturvassa?

Entäs XDR? SIEM? SOC? NDA? Kaikki kattavasti ja hienosti selitettynä!

Lopuksi vielä WTF? Ja sekin täysin nappiin: ”…on voimakas reaktio ilmaistaessa hämmennystä, ällistystä tai epäuskoa johonkin yllättävään tai käsittämättömään asiaan”

Jos googletan kaikki edellä olevat lyhenteet, niin saan yleensä IT-toimittajan sivuston asiasta, jossa he kertovat omaa tarinaansa ja mainostavat tuotettaan. Tekoälyn tuotos vaikuttaisi olevan puolueettomampi ja tiivistetympi.

ChatGPT tietoturvatyössä?

ChatGPT:stä on selkeästi apua tietoturvatyössä. Erityisesti silloin, kun halutaan saada kokonaiskuvaa jostain tietoturva-asiasta. Esimerkkinä vaikkapa tietoturvapolitiikan sisältöä jne. Palvelu tuottaa myös valmiita tekstirunkoja, jolloin ei tarvitse lähteä nollasta tekemään asioita. Auttaa siis materiaalin tuottamisessa, kuten tässä Ylen artikkelissakin todetaan.

Olin yllättynyt erityisesti siitä, että tämän blogipostauksen alussa mainitut kysymykset tuottivat niin hyviä mallipohjia. Tietoturvavastaavan tehtäväksi jää sovittaa viestit organisaatioon, jotta viestintä on mahdollisimman vaikuttavaa.

Mitä eroa on tietosuojavastaavalla ja tietoturvapäälliköllä?

Tällainen keskustelu tulee käytyä yllättävän usein:
”Oletko sinä semmoinen tietosuojavastaava?”
”En, vaan olen tietoturvapäällikkö.”

Tyypillisesti kysyjänä on henkilö, joka ei ole tekemisissä IT-alan kanssa. Hänelle asiat näyttäytyvät arjessa yhtensä ja samana kokonaisuutena, joten miksi ihmeessä siihen tarvitaan kaksi eri tekijää?

Keskustelu jatkuu. Joko kysyjä esittää otsikossa mainitun jatkokysymyksen. Tai sitten innokas tietoturvapäällikkö kertoo loput itse 🙂

Tietosuojavastaavan tehtävänä on valvoa, että yritys käsittelee henkilötietoja tietosuojalainsäädännön edellyttämällä tavalla. Tietosuojatyön tarkoituksena on suojata ihmisten henkilötietoja ja niihin liittyviä oikeuksia. Ihmisillä on esimerkiksi oikeus tietää, miten yritykset ja organisaatiot käsittelevät heidän tietojaan. Lisäksi on mm. oikeus korjata vääriä tietoja, pyytää poistamaan tietoja jne.

Jokaisella on myös oikeus siihen, että tietojen turvallisuudesta huolehditaan. Eli tiedot eivät päädy ulkopuolisille, tai kukaan ei pääse urkkimaan niitä. Tämä on puolestaan sitä tietoturvaa ja tietoturvapäällikön tehtäväkenttää. Tietosuojavastaava on siis organisaation pääasiantuntija tietosuojaan ja henkilötietoihin liittyvissä asioissa.

Tietoturvapäällikkö on puolestaan asiantuntija tietoturvaan ja kyberturvallisuuteen liittyvissä asioissa. Tietoturvapäällikön tehtävänä on varmistaa, että tiedot ja järjestelmät pysyy turvallisina. Eli käytännössä pyritään suojelemaan ihmisiä ja järjestelmiä niin, että ei jouduta esimerkiksi kiristyshaittaohjelmien tai muiden kyberhyökkäysten uhriksi. Tai että organisaation tietoja ei pääse vuotamaan rikollisille.

Käytännössä siis huolehditaan käyttäjätunnuksista ja salasanoista, palomuureista, virustorjuntasovelluksista yms. teknisistä asioista. Lisäksi koulutetaan työntekijöitä toimimaan järkevästi netissä ja sähköpostissa jne. Sitten tehdään esimerkiksi tietoturvaan liittyviä ohjeita ja sääntöjä.

”Sä olet siis se henkilö, joka pakottaa käyttämään niitä hulluja salasanoja?”

… ehkä ei jatketa keskustelua tässä postauksessa 🙂

Älypuhelin on tärkeä – suojele sitä

Älypuhelimella on iso rooli jokaisen arjessa. Puhelin tekee arjesta sujuvampaa ja lisää turvallisuutta.

On tärkeää, että suojelemme tätä laitetta asianmukaisesti. Ohessa huomioita ja vinkkejä älypuhelimen turvalliseen käyttöön. Asioita voi soveltaa myös muihin mobiililaitteisiin, kuten tablet-tietokoneisiin.

Tiedosta älypuhelimen tärkeys ja toimi sen mukaisesti

Mieti mihin kaikkialle menetät pääsyn, jos puhelimesi hajoaa, katoaa tai varastetaan. Esimerkiksi jos käytät puhelintasi kaksivaiheisessa todennuksessa (MFA), niin saatat menettää hetkellisesti pääsyn näihin palveluihin. Puhelimen muistissa saattaa olla myös tietoja, tiedostoja tai kuvia, joita ei muualla ole. Huolehdi varmuuskopioista ja pidä käyttäjätunnukset tallella.

Mitä kaikkea ulkopuolinen saa haltuunsa, jos puhelimesi varastetaan? Entä mihin varas saa pääsyn puhelimesi kautta? Lukitse puhelin suojakoodilla, suojakuviolla tai sormenjälkitunnistuksella. Koodi on tärkeä suojamuuri ulkopuolisia vastaan. Harkitse myös viestien ja ilmoitusten piilottamista näytöltä. Jos menetät puhelimesi, niin tällöin ulkopuolinen ei pääse lukemaan ruudulta tärkeitä tietoja.

Harjoittele erikoistilanteiden varalle. Jos puhelimesi katoaa, miten löydät sen? Puhelimessa olevia paikannustoimintoja kannattaa testata – mielellään jo ennen puhelimen kadottamista. Entä jos yhtäkkiä tarvitset puhelimeen liittyvää käyttäjätunnusta ja salasanaa? Mistä ne löytyvät ja miten ne voi palauttaa? Työpaikan IT-tuella ei välttämättä ole keinoja päästä puhelimeen.

Sovelluksia vain tarpeen mukaan

Asenna laitteeseen vain työn tekemisen kannalta välttämättömät sovellukset. Ennen uuden sovelluksen asentamista on toki hyvä selvittää, onko laitteessa jo vastaava sovellus. Eli selvitä, tarvitsetko välttämättä mitään uutta sovellusta, vai pärjäisitkö laitteen omalla sovelluksella.

Asenna sovellukset aina virallisesta sovelluskaupasta. Selvitä etukäteen millaista sovellusta tarvitset, mitä vaihtoehtoja on olemassa ja millaisia arvosteluja sovellus on saanut. Kun tiedät minkä sovelluksen haluat, tarkista tarkkaan, että olet asentamassa oikean nimistä sovellusta oikealta julkaisijalta. Pyri suosimaan tunnettuja ja yleisesti käytössä olevia sovelluksia. Niissä mahdollisesti ilmenevät ongelmat tulevat todennäköisesti nopeammin esille.

Sovelluksen käyttöoikeuspyyntöjä kannattaa pohtia hetki. Jos sovellus pyytää käyttöoikeutta esimerkiksi laitteen tiedostoihin tai kameraan, niin anna oikeudet vain, jos pyyntö on mielestäsi aiheellinen. Jos sovelluksella ei ole tarkoitus ottaa kuvia, niin kameran käyttöoikeuksia ei tarvita.

Poista ylimääräiset sovellukset, kun niille ei ole enää tarvetta.

Huijausviestit ovat riski myös älypuhelimissa

Huijausviesteihin liittyvät riskit ovat olemassa myös älypuhelimissa. Riskit voivat olla puhelimissa jopa suurempia, koska laitteen näkymät ovat rajatumpia tietokoneeseen verrattuna. Rikollisen lähettämän linkin takaa mahdollisesti löytyvä huijaussivusto voi näyttää puhelimessa uskottavammalta kuin tietokoneen nettiselaimessa.

Sähköpostilla saapuneen linkin todellisen www-osoitteen selvittäminen on puhelimessa riskialttiimpaa kuin tietokoneella. Esimerkiksi tietokoneen sähköpostiohjelmassa voi viedä hiiren kursorin linkin päälle, jolloin linkin oikea osoite näkyy. Puhelimessa linkkiä pitää painaa pitkään, jolloin linkin todellinen osoite tulee näkyville. Vahinkoklikkauksen riski on puhelimessa suurempi kuin tietokoneella.

Älypuhelimen erikoisuus on se, että huijausviestejä ja haitallisia linkkejä voi tulla myös tekstiviestillä. Koska viestit saapuvat perinteisenä tekstiviestinä, ei sähköpostijärjestelmän roskapostisuodatin pysty niitä pysäyttämään. Rikolliset voivat lähettää viestejä niin, että viestit saapuvat samaan viestiketjuun oikeiden viestien kanssa. Puhelimen kautta avattavien viestien ja linkkien kanssa tuleekin olla todella tarkkana.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Miksi kaikista turvallisuuteen liittyvistä havainnoista kannattaa ilmoittaa?

Työntekijänä sinun kannattaa ilmoittaa kaikista turvallisuuteen liittyvistä havainnoista työpaikkasi turvallisuudesta vastaavalle henkilölle. Ilmoittaminen on tärkeä päätös. Kun päätät ilmoittaa havainnostasi, päätät samalla varoittaa muita. Se on päätös huolehtia yhteisestä turvallisuudesta.

Ei ole turhaa ilmoitusta

Käytetään esimerkkinä huijausviestiä.

Selkeästä huijausviestistä ilmoittaminen saattaa tuntua turhalta. Helposti ajattelee, että itsestäänselvyyksistä ei tarvitse ilmoittaa. Ilmoita silti, koska ilmoittaminen luo tärkeää tilannekuvaa. On hyvä ymmärtää, että samaa huijausviestiä ei välttämättä lähetetä kaikille työntekijöille. Älä huijaa itseäsi sillä, että joku muu on tästä jo ilmoittanut.

Ilmoittamalla tietoturvahavainnoista mahdollistat myös sen, että ongelmilta voidaan suojautua ennakkoon. Tai jo tapahtuneen vahingon vaikutukset saadaan minimoitua, kunhan toimitaan nopeasti. Kun ilmoitat, olet tehnyt päätöksen muiden auttamisesta.

Ilmoitus mahdollistaa oppimisen

Työntekijät ja asiantuntijat voivat yhdessä tutkia ja arvioida ilmoitettua tietoturvahavaintoa (esim. huijausviestiä), jolloin molemmat osapuolet hyötyvät. Työntekijä saa asiantuntijalta oppia siitä, mitkä asiat viestissä kertovat, onko kyseessä mahdollisesti huijausviesti vai ei. Työntekijä oppii esimerkiksi arvioimaan viestin lähettäjää, linkkejä ja viestin kontekstia. Samalla opit, millaisia huijausviestit voivat olla. Tai millainen viesti ei ole huijausviesti.

Asiantuntija oppii työntekijältä, millaisia viestejä työntekijät saavat. Asiantuntija saa tärkeää tilannetietoa, millaisia huijauksia juuri meidän yritykseen kohdistuu. Lisäksi asiantuntija oppii, miten erilaisiin viesteihin reagoidaan ja miten työntekijät tunnistavat ne huijausviesteiksi. Työntekijän ilmoitus ylläpitää asiantuntijankin osaamista!

Voimme opastaa toisiamme ja samalla oppia toisiltamme. Vahvistamme toinen toisiamme – ihan vain ilmoittamalla asioista!