Jututin kyberturvaliiketoiminnan johtajaamme Markus Asikaista ja kahta kyberturvakonsulttiamme siitä, miten kyberturvaosaaja toimii vastuullisesti omassa työssään ja miten Goforella tätä osaajien tärkeää työtä tuetaan.
Digitalisaatio muokkaa väistämättä yhteiskuntaamme ja liiketoimintamallejamme. Sen edistäminen tarjoaa lukuisia mahdollisuuksia, mutta samalla se herättää eettisiä kysymyksiä. Kyberturvatoimet ovat keskeinen osa eettistä digitalisaatiota, sillä kyberturvaosaajan toiminta vaikuttaa suoraan asiakkaiden ja käyttäjien turvallisuuteen ja yksityisyyteen.
Vastuu korostuu etenkin oikeita hyökkäyksiä simuloivissa kyberturvatestauksissa/-harjoituksissa, joissa testaaja löytää usein vakaviakin kyberturvahaavoittuvuuksia ja saattaa päästä käsiksi tietoihin, joita ei ole hänelle tarkoitettu. Tällaisille harjoituksille on ominaista se, että suurin osa ei edes tiedä olevansa mukana harjoituksessa, mikä lisää kyberturvaosaajan vastuuta entisestään. Harjoituksessa mukana oleville ei koskaan saa aiheuttaa tarpeetonta haittaa, ja mikäli heitä käytetään hyväksi esimerkiksi tietomurron suorittamisessa, tulee tämä käsitellä ammattitaitoisesti viimeistään harjoituksen purkutilaisuudessa.
Kyberturvatyö on ollut jo pidemmän aikaa merkittävässä roolissa julkishallinnon organisaatioissa, joissa palvelujen turvallisuus ja luotettavuus ovat ensisijaisen tärkeitä. Kuitenkin myös teollisuuden puolella kyberturvan ja sen eettisyyden merkitys kasvaa jatkuvasti. Miten kyberturvaosaaja sitten voi toimia mahdollisimman vastuullisesti?
1. Sovi asiakkaan kanssa selkeät pelisäännöt
Etenkin teknisen kyberturvaosaajan työssä on oltava tarkka ja suunnitelmallinen. Ennen työn aloittamista on tärkeää käydä asiakkaan kanssa huolellinen suunnitteluvaihe, jossa määritellään selkeästi, mitä asiakkaan järjestelmissä saa tehdä ja mitä ei. Tällä tavoin varmistetaan, että työ tehdään laillisin perustein ja eettisesti kestävällä tavalla.
2. Varaudu etukäteen mahdollisiin ongelmatilanteisiin
Asiakkaan kanssa sovittujen pelisääntöjen ja reunaehtojen lisäksi on tarpeen varautua yhdessä etukäteen myös mahdollisiin ongelmatilanteisiin ja niistä palautumiseen. Mikäli jotain menee pieleen, on asiasta viestittävä avoimesti ja rehellisesti vahingon edellyttämällä laajuudella. Kyberturvaosaajan onkin oltava valmis ottamaan vastuuta omista toimistaan ja niiden seurauksista.
”Toimivan vuorovaikutuksen ja hyvän yhteistyön avulla kehitetään turvallisia digitaalisia palveluita yhdessä asiakkaiden kanssa.”
3. Muista vastuullisuus myös vapaa-ajalla
Etenkin teknisen kyberturvaosaajan on kyettävä hahmottamaan oman toimintansa vaikutukset laaja-alaisesti ja toimimaan sen myötä ammattimaisesti turhia haittoja välttäen. Vastuu ulottuu myös vapaa-ajalle – eettisesti toimiva kyberturvaosaaja ei käytä osaamistaan väärin työajan päätyttyäkään. Kuten konsultoinnissa yleisestikin, ei toimeksiannoissa nähdyistä asioista myöskään puhuta toimeksiantojen ulkopuolella.
4. Pysy ajan tasalla kehittämällä osaamistasi
Myös osaamisen kehittäminen on keskeinen osa eettistä kyberturvatyötä. Kyberturvaosaajan on pysyttävä ajan tasalla muuttuvassa uhkaympäristössä ja teknologian kehityksessä, sekä tiedostettava niihin liittyvät mahdollisuudet ja toisaalta haasteet. Esimerkiksi kehittyvä teknologia, kuten tekoäly, voi toimia tehokkaana työkaluna, mutta samalla sen käyttö tuo mukanaan omat eettiset pulmansa.
Miten työnantaja voi tukea kyberturvaosaajan työtä?
Goforella pyrimme tukemaan kyberturvaosaajiamme tekemään eettisiä valintoja omassa työssään muun muassa tässä listatuin tavoin:
- Lähtökohtana on aina, että osaajamme voivat seisoa asiakasyrityksen arvomaailman takana. Esihenkilöt ja kollegat tukevat osaajia arvioimaan toimeksiantoja myös eettisestä näkökulmasta varsinaisen eettisyysarviointimme lisäksi.
- Esihenkilöt ja liiketoimintavastuulliset kantavat vastuuta siitä, että yksittäisen kyberturvaosaajan eettisesti kestävän työn tekemisen edellytykset ovat olemassa.
- Meillä on matalan kynnyksen tiedonvaihtokanavat, joissa kollegat voivat jakaa tietoa ajankohtaisista ilmiöistä.
- Alan tulevaisuuden näkymien ja liiketoiminnan prioriteettien pohjalta koulutamme osaajiamme esimerkiksi muuttuvan regulaation ja kehittyvän teknologian tuomiin uusiin vaatimuksiin ja siihen, miten nämä näkyvät asiakkailla. Etenkin pitkissä asiakkuuksissa myös asiakas kouluttaa ja opastaa omaan toimintaansa liittyvissä muutoksissa.
Kokonaisuudessaan eettinen digitalisaatio edellyttää kyberturvaosaajilta tarkkaa harkintaa, vastuullista toimintaa ja jatkuvaa oppimista. Yhdessä varmistamme, että voimme palvella asiakkaitamme parhaalla mahdollisella tavalla, samalla kun kannamme eettistä vastuuta omasta toiminnastamme ja sen vaikutuksista yhteiskuntaan.
Lue myös blogisarjan aikaisempi osa: