Tietoturvapäällikön rekrytointi, havaintoja osa 2: tiedot, taidot ja työkokemus

Tarkastelin tietoturvapäälliköiden rekrytointi-ilmoituksia. Tässä blogisarjan toisessa osassa kerron havaintoja tietoturvapäällikön tehtävässä tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen. Ensimmäisessä osiossa esitin havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla.

Mitä tietoturvapäällikön pitäisi tietää?

Tietoturvan perusteiden lisäksi siis…

Korkeakoulututkinto mainittiin monessa ilmoituksessa. Mielenkiintoinen havainto oli se, että soveltuvaa korkeakoulututkintoa on hankala yksilöidä. Mikään tietty korkeakoulututkinto ei ole edellytys tietoturvapäällikön tehtävälle. Toisessa paikassa IT-pohjainen koulutus on hyödyllisempi kuin toisessa.

Henkilökohtaiset tietoturvasertifioinnit (esim. CISSP, CISM, CISA jne.) nähdään etuna, mutta ei välttämättömyytenä.

Lainsäädännön sekä tietoturvan viitekehysten ja standardien tunteminen on olennaista. Mielestäni tässä kannattaa huomioida se, että tiettyä peruslainsäädäntöä kannattaa opetella. Ei mene hukkaan, jos opiskelet GDPR:n perusteita.

Monien ilmoitusten perusteella eduksi katsotaan, jos henkilöllä on osaamista tietotekniikasta ja tietojärjestelmistä. Lisäksi yksittäisissä ilmoituksissa tuodaan esille konkreettisia teemoja, kuten IAM, SIEM, SOC, M365, Azure, forensiikka, kryptaus, ohjelmointi, tietoturvateknologiat jne.

Millaisia työelämätaitoja tietoturvapäällikkö tarvitsee?

Esiintymistaidot ja yhteistyötaidot ovat äärimmäisen tärkeitä ominaisuuksia tietoturvapäällikölle.

Tietoturvapäällikkö nähdään tietoturvatyön johtajana ja kehittäjänä, joka hahmottaa kokonaisuuksia ja hänellä on kokonaisuus hallussa.

Erikoista oli se, että hyvää paineensietokykyä, jämäkkää persoonaa tai pitkäjänteistä työskentelytapaa tuotiin esille vain vähän. Mielestäni näitä ominaisuuksia pitäisi edellyttää kaikilta tietoturvapäälliköiltä.

Tietoturvapäälliköiden arjessa ilmenee paljon negatiivislähtöistä pohdintaa. On riskien arviointeja ja rikollisilta suojautumista. Arjen uutisointi on karua luettavaa. Siksi oli hyvä, että edes kahdessa ilmoituksessa arvostettiin positiivista mindsettiä 🙂

Millaista työkokemusta tietoturvapäälliköltä edellytetään?

Kokemusta edellytetään tietoturvatehtävistä. Tämä voi olla esimerkiksi tietoturvan suunnittelu- ja asiantuntijatehtäviä tai turvallisten ympäristöjen toteutusta. Työpaikan hakijan kannalta huojentavaa on se, että usean vuoden kokemusta tietoturvapäällikön tehtävistä ei laajasti edellytetty.

Kiinnostaako myös tietoturvapäällikön tehtävänkuva? Tutustu selvityksen ensimmäiseen osaan.

Tietoturvapäällikön rekrytointi, havaintoja osa 1: tehtävät

Innostuin tarkastelemaan tietoturvapäälliköiden rekrytointi-ilmoituksia. Koostin materiaalia* yhteen ja tein havaintoja. Esittelen tässä blogikirjoituksessa havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla. Kerron toisessa osassa havaintoja tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen.

Havaintoja on esitelty niin, että tästä saa hyötyä sekä tietoturvapäällikköä rekrytoivat organisaatiot kuin työpaikkaa hakevatkin.

Millaisiin tehtäviin tietoturvapäällikköä haetaan?

Tärkeimmät tietoturvapäällikön tehtävät rekrytointi-ilmoitusten perusteella:

  • Tietoturvatyön ohjaaminen ja koordinointi
  • Riskienhallinta
  • Tietoturvallisuuden arviointi
  • Tilannekuvan muodostaminen ja raportointi
  • Verkostoyhteistyö ja toimittajahallinta
  • Tietoturvatietoisuuden nostaminen
  • Dokumentaation laatiminen ja hallinta

Edellä listatut asiat ovat mielestäni tietoturvapäällikön perustehtäviä, jotka toistuvat jokaisessa organisaatiossa – oli ne sitten mainittu rekrytointi-ilmoituksessa tai ei.

Tehtäväkokonaisuudet tietysti vaihtelevat rekrytoivan organisaation mukaan. Tietoturvapäällikön tehtävät eivät kuitenkaan ole pelkästään hallinnollisia.

Esimerkiksi yhdessä ilmoituksessa korostettiin sekä IT-päällikön että tietoturvapäällikön tehtäviä, ja tekniikka painottui vaatimuksissa. Tämä on luonnollinen “tuplarooli” ja toisaalta hyvä esimerkki siitä, miten vaatimukset rekrytoitavaa kohtaan muuttuvat yrityksen tarpeiden perusteella.

Verkostoyhteistyö ja toimittajahallinta on nykyaikaisessa verkottuneessa toimintaympäristössä olennainen asia. Yhdessä ilmoituksessa oli mielenkiintoinen yksityiskohta tähän liittyen: tietoturvapäällikön tehtävänä nähtiin IT-palvelutoimittajien kouluttaminen tietoturvan osalta. Edistyksellistä!

Tietosuoja-asiantuntijan tehtävät mainittiin noin kolmanneksessa ilmoituksista. Mielestäni tätä pitäisi tuoda esille enemmänkin, koska tietoturvapäälliköllä on luontainen ja tärkeä rooli myös tietosuoja-asioiden edistämisessä. Jos organisaatiossa on tietoturvapäällikkö, tulee hänen osallistua myös tietosuojatyöhön.

Joissakin ilmoituksissa mainittiin myös yksityiskohtaisempia tehtäviä, kuten lokienhallinnan tehtävät, pääsynhallinta tai tietojärjestelmien tärkeysluokittelu tai tietosuojan vaikutustenarviointeihin osallistuminen. Lisäksi oli yksittäisiä mainintoja siitä, että tietoturvapäällikkö toimii tietosuojavastaavana, turvallisuuspäällikön sijaisena tai esihenkilönä.

*Taustamateriaalina käytin 25kpl vuonna 2022 julkaistuja työpaikkailmoituksia. Keskityin sellaisiin ilmoituksiin, joissa haettiin nimenomaan tietoturvavastaavaa, tietoturvapäällikköä tai kyberturvallisuuspäällikköä. Materiaalissa oli mukana sekä julkishallinnon että yksityisen puolen organisaatioita. Kyseessä on vapaamuotoinen oma selvitys eikä tieteellinen tutkimus.

Digiturvatyö on vaikuttamista

Pitkittynyt erikoistilanne on antanut mahdollisuuden arvioida digiturvatyötä eri näkökulmista. Työympäristöt ja työn tekeminen muuttuu, ihmiset vaihtuvat ja järjestelmät kehittyy. Pitkä etätyöjakso voi kuitenkin johtaa siihen, että yksittäinen aihealue ja asiantuntija muuttuu näkymättömäksi, jos hän ei tee itseään ja asiaansa näkyväksi.

Edellinen opetti tärkeän asian: digiturvatyö on vaikuttamista.

Ja se on sitä, vaikka erikoistilannetta tai pitkiä etätöitä ei olisikaan.

Digiturvatyössä vaikuttaminen on viestintää, jolla tavoitellaan digiturvallisempaa ympäristöä. Tässä ei ole mitään uutta. Klassisen tietoturvan osa-alueiden jaottelun kautta kyseessä on tietoturvatietoisuuden nostaminen ja tietoturvaviestintä.

Ohessa muutamia esimerkkejä, miksi eri kohderyhmille suunnattu viestintä ja vaikuttaminen on tärkeää.

Ylin johto, johtajat, päälliköt jne.
Täällä majailee se kuuluisa ”ylimmän johdon tuki”. On mukavampi tehdä hommia, kun huomaa, että ylin johto on kiinnostunut aiheesta. He antavat digiturvatyölle ajatuksia, aikaa ja tekijöitä.

He toimivat esimerkkinä päivittäisissä digiturva-asioissa, huomioivat digiturvallisuuden omilla vastuualueillaan ja huolehtivat työntekijöidensä osaamisesta.

Johdon on ymmärrettävä, miten tietoturvallisuus – tai tietoturvattomuus – voi vaikuttaa yrityksen toimintaan. Ymmärrystä voi lisätä viestimällä mahdollisuuksista, riskeistä ja tilannekuvasta.

Työntekijät
Henkilöstön osaaminen ja toiminta vaikuttavat suoraan yrityksen digiturvan toteutumiseen. On tärkeää ymmärtää arjen asioita:

  • miksi verkkorikolliset ovat kiinnostuneet myös tästä yrityksestä,
  • mihin käyttäjätunnuksen kaappaaminen käytännössä johtaa,
  • miksi samaa salasanaa ei saa käyttää vapaa-ajan ja työpaikan järjestelmissä,
  • miten tiedostot kannattaa jakaa kollegalle?

Digiturvallisuus kuuluu kaikille ja se on läsnä jokaisen työtehtävissä, oli sitten työntekijä tai johtaja. Kokeneemmat työntekijät toimivat esimerkkinä uusille työntekijöille. Uudet työntekijät saadaan heti mukaan turvallisuuskulttuurin ylläpitämiseen.

Ymmärryksen muuttuminen voi johtaa haluttuun lopputulokseen, eli käytännössä digiturvallisempaan kokonaisuuteen. Ja se mahdollistaa yrityksen toiminnan ja asiakkaiden tarpeiden täyttämisen.

Digiturvatyö on vaikuttamista.

Rakkaudesta lajiin

Perustin tämän tietojesiturvaksi.fi blogin 10 vuotta sitten. Käsittelen tässä 10v postauksessa nyt sellaisia aiheita, jotka ovat puhutelleet minua jollain tavalla viimeisten vuosien aikana. Aiheet ei liity suoraan tietoturvaan, vaan bloggaamiseen.

Tämä postaus ei ole vuodatus. Tämä on oman toiminnan ja ajattelun tarkastelua. Oppimista. Ehkä näistä huomioista ja pohdinnoista on hyötyä tulevaisuudessa – sinullekin?

Tämä ei ole blogi! Eikä varsinkaan henkilöbrändäystä!

Muistaakseni blogit oli 2010 aikoihin kova juttu. Kieltäydyin kuitenkin kutsumasta sivustoani blogiksi. Sen sijaan se oli vain sivusto tai tietoturva-aiheinen nettisivu.

En halunnut puhua blogista, koska se olisi tehnyt minusta bloggaajan. Ja bloggaajia pidettiin turhanpäiväisinä huutelijoina, jotka esittävät ”asiantuntijaa”. Mokomatkin itsensä jalustalle nostajat! Nykyäänhän samat manaukset kohdistetaan henkilöbrändäykseen.

Parin vuoden ”sivuston” pitämisen jälkeen minulle tylytettiin päin naamaa, että onhan se blogi. No prkl, niinhän se on! Olisi myös tietämättömyyttä tai suoranaista valehtelua todeta, että tässä ei samalla rakennettaisi henkilöbrändiä.

Täydellisen tekstin tavoittelu

Blogipostausten kirjoittamisessa minulla on yksi törkeän iso ongelma: yksittäisen postauksen tekeminen vie aivan liikaa aikaa ja energiaa. Taustalla piinaa jonkinlainen täydellisen tekstin tavoittelu.

Ongelma muodostuu tällaisen ajatusprosessin läpikäymisestä:

  1. Olenhan huomioinut kaiken olennaisen?
  2. Saisikohan tästä sittenkin useamman postauksen?
  3. Onhan teksti ymmärrettävää, selkeää ja sujuvaa?
  4. Mitäköhän tästä nyt ajatellaan, enhän tee itsestäni täysin pelleä?
  5. Muistinhan kaikki olennaiset hakukonekikkailut?

Voitte vain kuvitella, miten asiat konkretisoitui tässä pitkässä 10v postauksessa. Meni aikaa ja energiaa. Hävettää jo valmiiksi, vaikka en ole julkaissut vielä mitään.

Sinun blogi – sinun juttusi!

Tietoturvasta ja tietosuojasta julkaistaan nykyään valtavasti erilaista materiaalia. On blogeja, videoita, podcasteja, kirjallisuutta, viranomaisohjeita ja laadukasta uutisointia. Minun on ihan turha lähteä uutisoimaan tai analysoimaan jotain tietoturvatapausta, koska monet muut tahot (asiantuntijat, mediatalot, ammattibloggaajat jne) ovat sen jo tehneet – nopeammin ja laadukkaammin.

Unohda yllä oleva – keskity omaan juttuusi.

Vanhat sisällöt on historian taakkaa?

Blogin pitämiseen kuuluu se, että vanhatkin postaukset jäävät muiden luettavaksi. Tästä on toki merkittävää hyötyäkin, mutta itse koen tämän jonkinlaisena taakkana: voiko asiantuntijan blogissa olla vastavalmistuneen opiskelijan tuottamaa materiaalia?

Välissä on toki vierähtänyt 10 vuotta, mutta huomioihan lukija sen?

Onhan tavoitteet, toiminta ja tunteet linjassa?

Blogi voi olla harrastus tai asiantuntijuuden markkinointikanava. Jos tavoitteenasi on tuoda asiantuntemusta esille, myydä asiantuntijapalveluita tms. niin toimi sitten tavoitteiden edellyttämällä tavalla. Toiminta! Luo aiheeseen liittyvää laadukasta sisältöä tarpeeksi usein.

En kirjoita blogia työkseni enkä saa tekemisestä rahaa, mutta koen silti pienimuotoista syyllisyyttä siitä, että en julkaise tarpeeksi usein. Ehkä omat tavoitteet, toiminta ja tunteet eivät ole linjassa.

Blogisi pakottaa sinua toimimaan esimerkillisesti?

Jos pidät asiantuntijablogia valokuvauksesta, muodista, ruuanlaitosta tms. niin lukija varmasti olettaa, että sivustollasi on hienoja valokuvia, muodikkaita vaatteita ja hyviä reseptejä jne.

Koska puhun tietosuojasta, onko kaksinaamaista, jos minulla ei ole lisäksi viimeisen päälle hyvä tietosuojaseloste, tietosuojaa kunnioittava analytiikkasovellus ja somenapit sekä hienot evästehärpäkkeet?

Analytiikkaohjelmisto heiluttaa koiraa

Seurasin aikoinaan hyvinkin aktiivisesti blogin lukijamääriä ja muita tilastotietoja erilaisilla analytiikkaohjelmistoilla (Google Analytics, Piwik/Matomo).

Analytiikka on tärkeää, mutta sen kanssa on oltava varovainen. Huomasin jossain vaiheessa, että minua kiinnosti enemmän numerot kuin uusien postausten kirjoittaminen.

Tuntui jotenkin vapauttavalta, kun poistin koko analytiikkasovelluksen käytöstä. Pakottaa keskittymään olennaiseen.

Jätä ylläpitohommat ammattilaisille

Jätä blogialustan tekninen ylläpito ammattilaiselle, jolla on osaamista ja aikaa. Siis molempia: osaamista ja aikaa.

Ylläpidin itse blogialustaani teknisesti useita vuosia. Tämä kahlitsee melkoisesti. Kun blogialustasta löytyy tietoturvareikä, verkkorikolliset hyökkäävät siihen automaattisesti. Siinä on sitten kiva miettiä arkena, viikonloppuna ja ennen kesälomamatkaa, että kukas sitä palvelua päivittelee poissaolosi aikana.

Tosin, ylläpitämällä itse oppii paljon erilaisia asioita. Opit myös arvostamaan sitä, kun joku muu tekee työn puolestasi.

Miten saan blogiini kommentteja?

Hanki ensin lukijoita. Saat lukijoilta kommentteja kolmella tavalla:

  1. Tuota hyvää sisältöä.
  2. Ärsytä ihmisiä.
  3. Jätä kommenttitoiminnon tietoturva huomioimatta.

Oli aika, kun en ollut huomioinut kommenttikentän tietoturvaa. Sitten tuli botti ja roskapostitti kommenttikentät täyteen pornoa ja pillereitä.

Miten saan blogiini lukijoita?

Lukijoiden määrä on suoraan verrannollinen siihen työmäärään, jonka blogiisi eteen teet. Googleta ”markkinointi”.

Ehkä tästä on jollekin hyötyä?

Perustin tietojesiturvaksi.fi alunperin nettisivuksi, jossa tarjotaan yleistä tietoturvatietoa. Pääsisältö muodostui juuri valmistuneen AMK-opinnäytetyöni teksteistä ja teknisistä ohjeista. Uskoin tuolloin, että näistä olisi hyötyä ja apua muillekin.

Uskon edelleen, että suomenkieliselle digiturvatiedolle on käyttöä.

Huomaan kuitenkin yhä useammin pohtivani: miksi teen tätä? Miksi käytän tähän aikaa, rahaa ja energiaa? Kysymykset ovat ihan aiheellisia.

Toistaiseksi, vastaus löytyy otsikosta – rakkaudesta lajiin!

Asenneopintojen koonti: olen ollut asennejankuttaja!

Minulla oli pitkään aikomuksena tutkia ja opiskella tietoturvaan liittyviä asennekysymyksiä. Lopulta otin haasteen vastaan. Nopeasti tajusin, että kyseessä on hieman monipuolisempi ja syvällisempi kokonaisuus kuin osasin ajatellakaan.

Kokosin lyhyet ja epäviralliset asenneopintoni viiteen blogipostaukseen:

Ensimmäiseksi selvitin asenteen käsitettä. Halusin tietää mitä asenteen taustalla on. Laaja aihealue josta löytyy paljon mielenkiintoisia tutkimuksia. Asenne on tietoa, tunnetta ja toimintaa.

Toisessa osassa kokosin yhteen alustavia ajatuksiani tietoturva-asenteisiin vaikuttamisesta. Ymmärsin, että asiaa pitää selvittää lisää. Selvisi, että asenteisiin voidaan vaikuttaa suostuttelevalla viestinnällä sekä pakon ja kannustinten avulla.

Kolmanneksi selvitin lisää suostuttelevasta viestinnästä. Selvisi mm. se, että asennemuutokseen tähtäävässä tietoturvakoulutuksessa kouluttajalla on merkittävä rooli.

Neljännessä osiossa selvittelin asennemuutosta pakon ja kannustinten avulla. Esimerkiksi lainsäädäntö, kuten EU:n tietosuoja-asetus, voi johtaa positiiviseen asennemuutokseen.

Tämän viidennen osan piti koota asenneopintojen aikana muodostuneita ajatuksia yhteen ja tarjota vielä lisää järkevää faktatietoa aiheesta. Sen sijaan tästä muodostuikin henkilökohtainen ahaa-elämys: olen ollut asennejankuttaja!

Asenteeni asenteita kohtaan muuttui

Päädyin lopulta pohtimaan, korostaako huonoista asenteista puhuminen henkilön omaa asennetta? Totesin aikaisemmin blogini esittelytekstissä, että tavoitteenani on muuttaa suomalaisten vääristyneet tietoturva-asenteet. Nyt hieman hävettää ja nolottaa, koska onhan se nyt *** ylimielistä todeta tuollaista! Hyvä tarkoitusperä muuttui helposti haitalliseksi ajatusmalliksi:

Halu auttaa + oma väärä asenne = Asennejankuttaja

Hyvän asenteen tunnistaa kaikki. Huonoja asenteita ei ole tarvetta korostaa. Jos asenne on tunnetta, tietoa ja toimintaa, niin asenne ei muutu asenteista jankuttamalla. Sen sijaan on tarjottava tietoa, mahdollistettava oppiminen ja oikea toiminta. Asenteet kyllä muuttuvat itsekseen, kun olosuhteet sen sallivat. Näin kävi nytkin!

Huh. Tulipahan opittua asiaa asenteista.


Tämä oli – tällä erää – viimeinen osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Muut osat:

  1. Mitä on asenne tietoturvassa?
  2. Tietoturva-asenteisiin vaikuttaminen
  3. Asiantuntija muuttaa asenteita
  4. Asennemuutos tietosuoja-asetuksen avulla?
  5. Asennejankuttajalla on väärä asenne