Kategoria: Tutkimusretket

Tietoturvapäällikön tehtäviin kuuluu paljon erilaista viestintää. Testasin, miten ChatGPT voisi olla avuksi näissä tehtävissä. Ja voihan se – tässä havaintoja.

Testasin ensin kolmea viestintätehtävää, kaikki omina pyyntöinä. Pyysin suomeksi, että kirjoita minulle:

• teksti, jossa varoitetaan yrityksen työntekijöitä meneillään olevasta huijausviestikampanjasta.
• muistutusviesti yrityksen työntekijöille siitä, että tietoturvasta pitää huolehtia myös loma-aikana.
• viestintäpohja tilanteeseen, jossa organisaatio on joutunut kiristyshaittaohjelmahyökkäyksen kohteeksi.

Tuotettu materiaali oli häkellyttävää. Omiin teksteihin verrattuna tulos oli monipuolisempi, täydellisempi ja jopa ystävällisempi – pahus!

Osa teksteistä oli kuitenkin hieman ”virallisen oloisia”. Toisaalta, jos viestin allekirjoittaa tietoturvavastaava tai tietoturvatiimi, niin kyllähän virallisuus on ilomme 🙂

Muutamia suomenkielisiä sanoja on muutettava, jotta tekstit ymmärrettävämpiä.

ChatGPT –  yksi tietoturvapolitiikka, kiitos.

Jälleen kattava listaus teemoja, joita pitää huomioida. Mutta ehkä jopa liian kattava. Itse olisin ehkä siirtänyt osan asioista erilliseen tietoturvaperiaatteet ja käytännöt -dokumenttiin, jotta tietoturvapolitiikasta ei tule niin massiivinen. Veikkaan, että sana tietoturvapolitiikka on tekoälyn käännöskoneessa ”information security policy”, joka voi olla hyvinkin laajasisältöinen. Perinteisesti Suomessa on suositeltu tekemään tiivis tietoturvapolitiikka.

Entäs tietoturvaohje?

Kun pyysin tietoturvaohjetta, niin tulos ei ollut enää niin valmista. ChatGPT tekee hyvää jälkeä otsikoinnin osalta, mutta muuten sisältö jäi erittäin tiiviiksi. Tästä saa kuitenkin hyvän rungon.

Lyhennykset haltuun nopeasti

Testasin myös, miten palvelusta saa ulos kuvauksia eri lyhennyksistä, joita vilisee tietoturvakentällä kohtuullisen paljon.

ChatGPT, mitä tarkoittaa EDR tietoturvassa?

Entäs XDR? SIEM? SOC? NDA? Kaikki kattavasti ja hienosti selitettynä!

Lopuksi vielä WTF? Ja sekin täysin nappiin: ”…on voimakas reaktio ilmaistaessa hämmennystä, ällistystä tai epäuskoa johonkin yllättävään tai käsittämättömään asiaan”

Jos googletan kaikki edellä olevat lyhenteet, niin saan yleensä IT-toimittajan sivuston asiasta, jossa he kertovat omaa tarinaansa ja mainostavat tuotettaan. Tekoälyn tuotos vaikuttaisi olevan puolueettomampi ja tiivistetympi.

ChatGPT tietoturvatyössä?

ChatGPT:stä on selkeästi apua tietoturvatyössä. Erityisesti silloin, kun halutaan saada kokonaiskuvaa jostain tietoturva-asiasta. Esimerkkinä vaikkapa tietoturvapolitiikan sisältöä jne. Palvelu tuottaa myös valmiita tekstirunkoja, jolloin ei tarvitse lähteä nollasta tekemään asioita. Auttaa siis materiaalin tuottamisessa, kuten tässä Ylen artikkelissakin todetaan.

Olin yllättynyt erityisesti siitä, että tämän blogipostauksen alussa mainitut kysymykset tuottivat niin hyviä mallipohjia. Tietoturvavastaavan tehtäväksi jää sovittaa viestit organisaatioon, jotta viestintä on mahdollisimman vaikuttavaa.

Tarkastelin tietoturvapäälliköiden rekrytointi-ilmoituksia. Tässä blogisarjan toisessa osassa kerron havaintoja tietoturvapäällikön tehtävässä tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen. Ensimmäisessä osiossa esitin havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla.

Mitä tietoturvapäällikön pitäisi tietää?

Tietoturvan perusteiden lisäksi siis…

Korkeakoulututkinto mainittiin monessa ilmoituksessa. Mielenkiintoinen havainto oli se, että soveltuvaa korkeakoulututkintoa on hankala yksilöidä. Mikään tietty korkeakoulututkinto ei ole edellytys tietoturvapäällikön tehtävälle. Toisessa paikassa IT-pohjainen koulutus on hyödyllisempi kuin toisessa.

Henkilökohtaiset tietoturvasertifioinnit (esim. CISSP, CISM, CISA jne.) nähdään etuna, mutta ei välttämättömyytenä.

Lainsäädännön sekä tietoturvan viitekehysten ja standardien tunteminen on olennaista. Mielestäni tässä kannattaa huomioida se, että tiettyä peruslainsäädäntöä kannattaa opetella. Ei mene hukkaan, jos opiskelet GDPR:n perusteita.

Monien ilmoitusten perusteella eduksi katsotaan, jos henkilöllä on osaamista tietotekniikasta ja tietojärjestelmistä. Lisäksi yksittäisissä ilmoituksissa tuodaan esille konkreettisia teemoja, kuten IAM, SIEM, SOC, M365, Azure, forensiikka, kryptaus, ohjelmointi, tietoturvateknologiat jne.

Millaisia työelämätaitoja tietoturvapäällikkö tarvitsee?

Esiintymistaidot ja yhteistyötaidot ovat äärimmäisen tärkeitä ominaisuuksia tietoturvapäällikölle.

Tietoturvapäällikkö nähdään tietoturvatyön johtajana ja kehittäjänä, joka hahmottaa kokonaisuuksia ja hänellä on kokonaisuus hallussa.

Erikoista oli se, että hyvää paineensietokykyä, jämäkkää persoonaa tai pitkäjänteistä työskentelytapaa tuotiin esille vain vähän. Mielestäni näitä ominaisuuksia pitäisi edellyttää kaikilta tietoturvapäälliköiltä.

Tietoturvapäälliköiden arjessa ilmenee paljon negatiivislähtöistä pohdintaa. On riskien arviointeja ja rikollisilta suojautumista. Arjen uutisointi on karua luettavaa. Siksi oli hyvä, että edes kahdessa ilmoituksessa arvostettiin positiivista mindsettiä 🙂

Millaista työkokemusta tietoturvapäälliköltä edellytetään?

Kokemusta edellytetään tietoturvatehtävistä. Tämä voi olla esimerkiksi tietoturvan suunnittelu- ja asiantuntijatehtäviä tai turvallisten ympäristöjen toteutusta. Työpaikan hakijan kannalta huojentavaa on se, että usean vuoden kokemusta tietoturvapäällikön tehtävistä ei laajasti edellytetty.

Kiinnostaako myös tietoturvapäällikön tehtävänkuva? Tutustu selvityksen ensimmäiseen osaan.

Innostuin tarkastelemaan tietoturvapäälliköiden rekrytointi-ilmoituksia. Koostin materiaalia* yhteen ja tein havaintoja. Esittelen tässä blogikirjoituksessa havaintoja siitä, millaisia tehtäviä tietoturvapäällikölle on organisaatioissa tarjolla. Kerron toisessa osassa havaintoja tarvittaviin tietoihin, taitoihin ja työkokemukseen liittyen.

Havaintoja on esitelty niin, että tästä saa hyötyä sekä tietoturvapäällikköä rekrytoivat organisaatiot kuin työpaikkaa hakevatkin.

Millaisiin tehtäviin tietoturvapäällikköä haetaan?

Tärkeimmät tietoturvapäällikön tehtävät rekrytointi-ilmoitusten perusteella:

• Tietoturvatyön ohjaaminen ja koordinointi
• Riskienhallinta
• Tietoturvallisuuden arviointi
• Tilannekuvan muodostaminen ja raportointi
• Verkostoyhteistyö ja toimittajahallinta
• Tietoturvatietoisuuden nostaminen
• Dokumentaation laatiminen ja hallinta

Edellä listatut asiat ovat mielestäni tietoturvapäällikön perustehtäviä, jotka toistuvat jokaisessa organisaatiossa – oli ne sitten mainittu rekrytointi-ilmoituksessa tai ei.

Tehtäväkokonaisuudet tietysti vaihtelevat rekrytoivan organisaation mukaan. Tietoturvapäällikön tehtävät eivät kuitenkaan ole pelkästään hallinnollisia.

Esimerkiksi yhdessä ilmoituksessa korostettiin sekä IT-päällikön että tietoturvapäällikön tehtäviä, ja tekniikka painottui vaatimuksissa. Tämä on luonnollinen “tuplarooli” ja toisaalta hyvä esimerkki siitä, miten vaatimukset rekrytoitavaa kohtaan muuttuvat yrityksen tarpeiden perusteella.

Verkostoyhteistyö ja toimittajahallinta on nykyaikaisessa verkottuneessa toimintaympäristössä olennainen asia. Yhdessä ilmoituksessa oli mielenkiintoinen yksityiskohta tähän liittyen: tietoturvapäällikön tehtävänä nähtiin IT-palvelutoimittajien kouluttaminen tietoturvan osalta. Edistyksellistä!

Tietosuoja-asiantuntijan tehtävät mainittiin noin kolmanneksessa ilmoituksista. Mielestäni tätä pitäisi tuoda esille enemmänkin, koska tietoturvapäälliköllä on luontainen ja tärkeä rooli myös tietosuoja-asioiden edistämisessä. Jos organisaatiossa on tietoturvapäällikkö, tulee hänen osallistua myös tietosuojatyöhön.

Joissakin ilmoituksissa mainittiin myös yksityiskohtaisempia tehtäviä, kuten lokienhallinnan tehtävät, pääsynhallinta tai tietojärjestelmien tärkeysluokittelu tai tietosuojan vaikutustenarviointeihin osallistuminen. Lisäksi oli yksittäisiä mainintoja siitä, että tietoturvapäällikkö toimii tietosuojavastaavana, turvallisuuspäällikön sijaisena tai esihenkilönä.

*Taustamateriaalina käytin 25kpl vuonna 2022 julkaistuja työpaikkailmoituksia. Keskityin sellaisiin ilmoituksiin, joissa haettiin nimenomaan tietoturvavastaavaa, tietoturvapäällikköä tai kyberturvallisuuspäällikköä. Materiaalissa oli mukana sekä julkishallinnon että yksityisen puolen organisaatioita. Kyseessä on vapaamuotoinen oma selvitys eikä tieteellinen tutkimus.

Pitkittynyt erikoistilanne on antanut mahdollisuuden arvioida digiturvatyötä eri näkökulmista. Työympäristöt ja työn tekeminen muuttuu, ihmiset vaihtuvat ja järjestelmät kehittyy. Pitkä etätyöjakso voi kuitenkin johtaa siihen, että yksittäinen aihealue ja asiantuntija muuttuu näkymättömäksi, jos hän ei tee itseään ja asiaansa näkyväksi.

Edellinen opetti tärkeän asian: digiturvatyö on vaikuttamista.

Ja se on sitä, vaikka erikoistilannetta tai pitkiä etätöitä ei olisikaan.

Digiturvatyössä vaikuttaminen on viestintää, jolla tavoitellaan digiturvallisempaa ympäristöä. Tässä ei ole mitään uutta. Klassisen tietoturvan osa-alueiden jaottelun kautta kyseessä on tietoturvatietoisuuden nostaminen ja tietoturvaviestintä.

Ohessa muutamia esimerkkejä, miksi eri kohderyhmille suunnattu viestintä ja vaikuttaminen on tärkeää.

Ylin johto, johtajat, päälliköt jne.
Täällä majailee se kuuluisa ”ylimmän johdon tuki”. On mukavampi tehdä hommia, kun huomaa, että ylin johto on kiinnostunut aiheesta. He antavat digiturvatyölle ajatuksia, aikaa ja tekijöitä.

He toimivat esimerkkinä päivittäisissä digiturva-asioissa, huomioivat digiturvallisuuden omilla vastuualueillaan ja huolehtivat työntekijöidensä osaamisesta.

Johdon on ymmärrettävä, miten tietoturvallisuus – tai tietoturvattomuus – voi vaikuttaa yrityksen toimintaan. Ymmärrystä voi lisätä viestimällä mahdollisuuksista, riskeistä ja tilannekuvasta.

Työntekijät
Henkilöstön osaaminen ja toiminta vaikuttavat suoraan yrityksen digiturvan toteutumiseen. On tärkeää ymmärtää arjen asioita:

• miksi verkkorikolliset ovat kiinnostuneet myös tästä yrityksestä,
• mihin käyttäjätunnuksen kaappaaminen käytännössä johtaa,
• miksi samaa salasanaa ei saa käyttää vapaa-ajan ja työpaikan järjestelmissä,
• miten tiedostot kannattaa jakaa kollegalle?

Digiturvallisuus kuuluu kaikille ja se on läsnä jokaisen työtehtävissä, oli sitten työntekijä tai johtaja. Kokeneemmat työntekijät toimivat esimerkkinä uusille työntekijöille. Uudet työntekijät saadaan heti mukaan turvallisuuskulttuurin ylläpitämiseen.

Ymmärryksen muuttuminen voi johtaa haluttuun lopputulokseen, eli käytännössä digiturvallisempaan kokonaisuuteen. Ja se mahdollistaa yrityksen toiminnan ja asiakkaiden tarpeiden täyttämisen.

Digiturvatyö on vaikuttamista.

Perustin tämän tietojesiturvaksi.fi blogin 10 vuotta sitten. Käsittelen tässä 10v postauksessa nyt sellaisia aiheita, jotka ovat puhutelleet minua jollain tavalla viimeisten vuosien aikana. Aiheet ei liity suoraan tietoturvaan, vaan bloggaamiseen.

Tämä postaus ei ole vuodatus. Tämä on oman toiminnan ja ajattelun tarkastelua. Oppimista. Ehkä näistä huomioista ja pohdinnoista on hyötyä tulevaisuudessa – sinullekin?

Tämä ei ole blogi! Eikä varsinkaan henkilöbrändäystä!

Muistaakseni blogit oli 2010 aikoihin kova juttu. Kieltäydyin kuitenkin kutsumasta sivustoani blogiksi. Sen sijaan se oli vain sivusto tai tietoturva-aiheinen nettisivu.

En halunnut puhua blogista, koska se olisi tehnyt minusta bloggaajan. Ja bloggaajia pidettiin turhanpäiväisinä huutelijoina, jotka esittävät ”asiantuntijaa”. Mokomatkin itsensä jalustalle nostajat! Nykyäänhän samat manaukset kohdistetaan henkilöbrändäykseen.

Parin vuoden ”sivuston” pitämisen jälkeen minulle tylytettiin päin naamaa, että onhan se blogi. No prkl, niinhän se on! Olisi myös tietämättömyyttä tai suoranaista valehtelua todeta, että tässä ei samalla rakennettaisi henkilöbrändiä.

Täydellisen tekstin tavoittelu

Blogipostausten kirjoittamisessa minulla on yksi törkeän iso ongelma: yksittäisen postauksen tekeminen vie aivan liikaa aikaa ja energiaa. Taustalla piinaa jonkinlainen täydellisen tekstin tavoittelu.

Ongelma muodostuu tällaisen ajatusprosessin läpikäymisestä:

1. Olenhan huomioinut kaiken olennaisen?
2. Saisikohan tästä sittenkin useamman postauksen?
3. Onhan teksti ymmärrettävää, selkeää ja sujuvaa?
4. Mitäköhän tästä nyt ajatellaan, enhän tee itsestäni täysin pelleä?
5. Muistinhan kaikki olennaiset hakukonekikkailut?

Voitte vain kuvitella, miten asiat konkretisoitui tässä pitkässä 10v postauksessa. Meni aikaa ja energiaa. Hävettää jo valmiiksi, vaikka en ole julkaissut vielä mitään.

Sinun blogi – sinun juttusi!

Tietoturvasta ja tietosuojasta julkaistaan nykyään valtavasti erilaista materiaalia. On blogeja, videoita, podcasteja, kirjallisuutta, viranomaisohjeita ja laadukasta uutisointia. Minun on ihan turha lähteä uutisoimaan tai analysoimaan jotain tietoturvatapausta, koska monet muut tahot (asiantuntijat, mediatalot, ammattibloggaajat jne) ovat sen jo tehneet – nopeammin ja laadukkaammin.

Unohda yllä oleva – keskity omaan juttuusi.

Vanhat sisällöt on historian taakkaa?

Blogin pitämiseen kuuluu se, että vanhatkin postaukset jäävät muiden luettavaksi. Tästä on toki merkittävää hyötyäkin, mutta itse koen tämän jonkinlaisena taakkana: voiko asiantuntijan blogissa olla vastavalmistuneen opiskelijan tuottamaa materiaalia?

Välissä on toki vierähtänyt 10 vuotta, mutta huomioihan lukija sen?

Onhan tavoitteet, toiminta ja tunteet linjassa?

Blogi voi olla harrastus tai asiantuntijuuden markkinointikanava. Jos tavoitteenasi on tuoda asiantuntemusta esille, myydä asiantuntijapalveluita tms. niin toimi sitten tavoitteiden edellyttämällä tavalla. Toiminta! Luo aiheeseen liittyvää laadukasta sisältöä tarpeeksi usein.

En kirjoita blogia työkseni enkä saa tekemisestä rahaa, mutta koen silti pienimuotoista syyllisyyttä siitä, että en julkaise tarpeeksi usein. Ehkä omat tavoitteet, toiminta ja tunteet eivät ole linjassa.

Blogisi pakottaa sinua toimimaan esimerkillisesti?

Jos pidät asiantuntijablogia valokuvauksesta, muodista, ruuanlaitosta tms. niin lukija varmasti olettaa, että sivustollasi on hienoja valokuvia, muodikkaita vaatteita ja hyviä reseptejä jne.

Koska puhun tietosuojasta, onko kaksinaamaista, jos minulla ei ole lisäksi viimeisen päälle hyvä tietosuojaseloste, tietosuojaa kunnioittava analytiikkasovellus ja somenapit sekä hienot evästehärpäkkeet?

Analytiikkaohjelmisto heiluttaa koiraa

Seurasin aikoinaan hyvinkin aktiivisesti blogin lukijamääriä ja muita tilastotietoja erilaisilla analytiikkaohjelmistoilla (Google Analytics, Piwik/Matomo).

Analytiikka on tärkeää, mutta sen kanssa on oltava varovainen. Huomasin jossain vaiheessa, että minua kiinnosti enemmän numerot kuin uusien postausten kirjoittaminen.

Tuntui jotenkin vapauttavalta, kun poistin koko analytiikkasovelluksen käytöstä. Pakottaa keskittymään olennaiseen.

Jätä ylläpitohommat ammattilaisille

Jätä blogialustan tekninen ylläpito ammattilaiselle, jolla on osaamista ja aikaa. Siis molempia: osaamista ja aikaa.

Ylläpidin itse blogialustaani teknisesti useita vuosia. Tämä kahlitsee melkoisesti. Kun blogialustasta löytyy tietoturvareikä, verkkorikolliset hyökkäävät siihen automaattisesti. Siinä on sitten kiva miettiä arkena, viikonloppuna ja ennen kesälomamatkaa, että kukas sitä palvelua päivittelee poissaolosi aikana.

Tosin, ylläpitämällä itse oppii paljon erilaisia asioita. Opit myös arvostamaan sitä, kun joku muu tekee työn puolestasi.

Miten saan blogiini kommentteja?

Hanki ensin lukijoita. Saat lukijoilta kommentteja kolmella tavalla:

1. Tuota hyvää sisältöä.
2. Ärsytä ihmisiä.
3. Jätä kommenttitoiminnon tietoturva huomioimatta.

Oli aika, kun en ollut huomioinut kommenttikentän tietoturvaa. Sitten tuli botti ja roskapostitti kommenttikentät täyteen pornoa ja pillereitä.

Miten saan blogiini lukijoita?

Lukijoiden määrä on suoraan verrannollinen siihen työmäärään, jonka blogiisi eteen teet. Googleta ”markkinointi”.

Ehkä tästä on jollekin hyötyä?

Perustin tietojesiturvaksi.fi alunperin nettisivuksi, jossa tarjotaan yleistä tietoturvatietoa. Pääsisältö muodostui juuri valmistuneen AMK-opinnäytetyöni teksteistä ja teknisistä ohjeista. Uskoin tuolloin, että näistä olisi hyötyä ja apua muillekin.

Uskon edelleen, että suomenkieliselle digiturvatiedolle on käyttöä.

Huomaan kuitenkin yhä useammin pohtivani: miksi teen tätä? Miksi käytän tähän aikaa, rahaa ja energiaa? Kysymykset ovat ihan aiheellisia.

Toistaiseksi, vastaus löytyy otsikosta – rakkaudesta lajiin!