Security Advisor Petri Heinosta kiinnostaa johdon tietoturvaymmärryksen kehittäminen ja tietoturvan hallintomallien vaikuttavuus.
Kerro taustastasi.
Olen työskennellyt IT-alalla vuodesta 1998 lähtien, pääsääntöisesti tietoliikenne- ja tietoturvafirmoissa. Pisimpään olin Cygatella, joka on osa Telia-konsernia. Roolini ovat vaihdelleet lähes vuosittain. Olen ollut myyjänä, tuotepäällikkönä, vetänyt erilaisia myyntitiimejä, tuotehallintatiimejä ja liiketoiminta-alueita, sekä ollut myös kolmen eri tietoliikenne- tai tietoturvafirman johtoryhmissä. Koulutukseltani olen tuotantotalouden DI.
Miten päädyit Secure Cloudille?
Olin ollut pitkään linjaorganisaatiossa, joten oli aika saada vaihtelua. Aloitin Secure Cloudilla kolme ja puoli vuotta sitten asiakasvastaavan roolissa. Tällä hetkellä teen tietoturvaneuvonantajapalveluita NIS2-direktiiviin ja kyberturvallisuuslakiin liittyen, sekä ISO27000-neuvonantoa. Olen pienosakas firmassa, joten yrityksen menestyksen eteen työskenteleminen ja arvonnousu innostavat.
Mikä tietoturvan alue kiinnostaa sinua eniten ja miksi?
Olen generalisti, vaikka tiedänkin paljon teknisestä tietoturvasta ja ratkaisuista. Voisin ehkä sanoa, että hallinnollinen tietoturva, NIS2, kyberturvalaki ja ISO27000 ovat nyt oma spesialiteettini. Keväällä hankin akkreditoinnin, jotta voin tehdä ulkoisia ISO27000-auditointeja tiimin jäsenenä (en pääauditoijana) ja sisäisiä auditointeja itsenäisesti.
Minua kiehtoo se, miten tietoturvan hallintomallit ja määrätietoinen työ lisäävät yrityksen tietoturvallisuutta. Tietoisuuden parantaminen ja johdon ymmärryksen kehittäminen kiinnostavat myös. Enää ei ole niin, että tietoturvapäällikkö yksin hoitaa, vaan johdon pitää ymmärtää ja pystyä seuraamaan tietoturva-asioita aktiivisesti ja läheltä.
Miten tietoturvakenttä on kehittynyt urasi aikana?
Viimeisen 25–30 vuoden aikana on tapahtunut dramaattinen muutos. 2000-luvun alussa asiat olivat yksinkertaisia, palomuureihin ja virusturvaan liittyviä juttuja. Nyt tietoturva on yritysten elinehto.
Kyberrikollisuus ja valtiollisten toimijoiden toimet ovat jatkuvia ja niin vaikuttavia, ettei kukaan voi olla huomioimatta tietoturvaa. Mikä tahansa yritys voi joutua kyberhäiriön tai -hyökkäyksen kohteeksi, mistä voi seurata liiketoiminnan täydellinen halvaantuminen.
Ihmiset ovat nykyään tietoisempia, koska mediassa pyörii jatkuva uutisvirta kyberhäiriöistä. Tekoäly tuo uusia tietosuojaan ja tietoturvaan liittyviä asioita, hyvässä ja pahassa. Aivot täytyy pitää kirkkaina, että pysyy mukana.
Miten ylläpidät osaamistasi?
Nykyroolini on ollut minulle uudistumisen ja tietoturvaan keskittymisen aikaa, ja olen pystynyt ylläpitämään ja kehittämään osaamistani hyvin. Seuraan tietoturvayhteisöjen blogeja, postituslistoja ja uutisvirtaa, ja osallistun kiinnostavimpiin webinaareihin. Minulla on tapana perehtyä esimerkiksi direktiiveihin ja lakeihin perusteellisesti. Tutkin, ja palaan tietolähteen äärelle. Käytän asiantuntemukseni ylläpitämiseen ja kehittämiseen vähintään puoli tuntia joka päivä. Se on mielestäni välttämätöntä.
Mitkä ovat yritysten suurimmat tietoturvahaasteet tänä päivänä?
Tekijäpula ja johdon sitoutumattomuus. Tietoturvaa ajatellaan kululähtöisesti ymmärtämättä, että se on yksi ydintekijöistä, jotka mahdollistavat liiketoiminnan. Uutisten vaikkapa kiristyshaittaohjelmista pitäisi herätellä yritysjohtoa ajattelemaan asiaa. Nythän kyberturvalaki pakottaa laittamaan tietoturvan kuntoon, koska viranomaisilla on auditointioikeudet ja sanktiot ovat kovia. Samalla tavalla GDPR toi ymmärrystä tietosuojan puolelle. Kyberturvalaissa todetaan suoraan, että ylin johto on vastuussa tietoturvasta. Johdon pitää ymmärtää tietoturvasta enemmän, koska vastuuta ei voi sysätä tietoturvapäällikön, IT-päällikön tai CISOn harteille.
Miten tietoturva-ammattilaisten pitäisi auttaa yrityksiä näissä haasteissa?
Tietoturva-ammattilaisten pitäisi olla yritysten johtoryhmissä, jotta yhteinen kieli muodostuisi. Vika on meissä tietoturvaihmisissäkin, koska käytämme vaikeaselkoisia akronyymeja. Ammattilaisilla on parantamisen varaa siinä, että perustelemme asiat johdolle liiketoimintatermein, liiketoiminnan jatkuvuuteen liittyen.
Mikä on parasta työssäsi? Entä haastavinta?
Itsenäisyys, asioiden aikaiseksi saaminen ja hyvä asiakaspalaute ovat merkityksellisiä asioita konkarillekin. Avuksi oleminen on mukavuusaluettani ja jotenkin kiinnitetty DNA:hani.
Haastavinta on resurssien puute. Mistä löytää ihmisiä, jotka ovat valmiita sitoutumaan ja joilla on riittävä ammattitaito tai halu perehtyä? Peräänkuulutan omistajuutta, koska muuten ei tapahdu mitään. Omistaja pitää löytyä sekä johtotasolta (accountable) että tekijätasolta (responsible), ja heillä on oltava riittävästi aikaa.
Tietoturvaan liittyy monimutkaisia juttuja, kuten erittäin monimutkaisia haittaohjelmia, forensiikkaa ja reverse engineeringiä, ne ovat erittäin tärkeitä asioita, mutta isossa kuvassa vain osa kokonaisuutta. Suurin osa tietoturva-asioista on yksinkertaisia ja helposti omaksuttavia. Meidän ammattilaisten pitäisi pyrkiä eroon mystifioinnista. Se on pahin asia, mitä voimme tehdä tietoturvalle.
Millaista on työskennellä Secure Cloudilla?
Secure Cloud on hyvin avoin ja demokraattinen asiantuntijaorganisaatio, jossa on kiva tehdä hommia. Tiimissä on paljon asiantuntijuutta, henki on hyvä ja tukea saa aina tarvittaessa. Omasta osuudesta tulee kantaa tietenkin vastuuta, mutta vastapainona on paljon vapauksia työn tekemisen tapojen sekä ajan ja paikan suhteen ainakin nykyisessä neuvonantajaroolissani.
Mitä teet vapaa-ajallasi?
Olen harrastanut kuntosalia armeijasta lähtien, ulkoilen useita kertoja päivässä koiran kanssa, pyöräilen, ja talvisin harrastan hiihtoa. Teen paljon kaikenlaista käsilläni: rakennan ja remontoin kesämökkiä, omakotitaloa, uutta ja vanhaa. Se on toinen elämäntyöni, jos tämä IT on toinen.
Mitä neuvoja antaisit uraa tietoturva-alalla harkitseville?
Tervetuloa alalle – töitä riittää. Kannustan perehtymään alaan laajasti. Ei kannata jäädä puuhastelemaan vain pienten, mystisten asioiden parissa. Tietoturvaa ei tehdä tietoturvan vuoksi, vaan organisaatioiden ydintoiminnan jatkuvuuden varmistamiseksi. Kompromissejakin joutuu tekemään. Pitää ymmärtää organisaation olemassaolon perimmäinen syy ja omaksua riskilähtöinen ajattelu. Kaikkea ei voi laittaa kerralla kuntoon, vaan on aloitettava isoimmista ja tärkeimmistä asioista.
