Työskentelen teknisenä tietoturvakonsulttina, ja pääasiallinen tehtäväni on suorittaa teknisiä tietoturvatarkastuksia. Tavoitteenani on tunnistaa mahdollisimman laajasti mahdollisia haavoittuvuuksia tarkastettavista järjestelmistä.
Yritän siis lähestyä järjestelmää niin kuin mahdollinen haittatoimija lähestyisi ja varmistaa ettei järjestelmää voi käyttää eri tavalla kuin on tarkoitettu. Työni ei siis rajoitu pelkästään järjestelmiin murtautumiseen, vaan painopiste on ymmärtää, miten turvallisuutta voitaisiin parantaa kokonaisvaltaisesti.
Tuen myös kehitystiimejä järjestelmien kehitysvaiheessa, arvioiden toteutuksen turvallisuutta ja antaen ehdotuksia mahdollisten riskien minimoimiseksi. Lisäksi osallistun prosessikehitykseen, esimerkiksi turvallisuustoiminnan ja käytönvalvonnan parantamiseen. Näin ollen projektini koostuvat usein samanaikaisesti lyhyemmistä testauskeikoista ja pitkäaikaisemmista neuvonantotehtävistä.
Luovuus ja ongelmanratkaisukyky työn kulmakivinä
Käytän työssäni erilaisia työkaluja riippuen tehtävästä. Testauspuolella hyödynnän penetraatiotestaukseen suunniteltuja työkaluja, kuten oman koneeni ja testattavan sovelluksen välisen liikenteen muokkaamiseen tarkoitettua välityspalvelinohjelmistoa, tai tiettyjen palveluiden ja protokollien testaamiseen tarkoitettuja ohjelmia. Tarvittaessa kirjoitan yksinkertaisia skriptejä itse, jos valmiit työkalut eivät riitä.
Neuvonantopuolella käytän enemmän perinteisiä työkaluja, kuten Wordia ja Exceliä. Suoritan myös koodikatselmointeja, joissa käytän samoja ohjelmistotyökaluja kuin kehittäjät.
Nautin eniten työni vaihtelevuudesta. Jokainen toimeksianto on erilainen ja haastaa minut pohtimaan, kuinka järjestelmiä voidaan käyttää toisin kuin alun perin on tarkoitettu. Työssä vaaditaan ongelmanratkaisukykyä ja luovuutta, mikä pitää sen mielenkiintoisena.
Olen myös huomannut, kuinka tärkeää on tehdä huolellisia muistiinpanoja. Kun projekteja on monta samanaikaisesti, on oleellista pysähtyä säännöllisesti ja dokumentoida tehdyt asiat, jotta kokonaisuus pysyy hallinnassa ja virheet tai unohdukset vältetään.
Tietoturvakonsultiksi alanvaihdon kautta
Goforella työskentelyssä parasta on ollut mahdollisuus alanvaihtoon. Ohjelmistokehitystaustani ansiosta minulle räätälöitiin siirtymä tietoturvakonsultin rooliin. Vaikka aloitin tietoturvan parissa niin sanotussa junioriroolissa, sain nopeasti vastuuta ja luottamusta. Tunsin, että aiempi kokemukseni otettiin huomioon, ja minulle annettiin tilaa kasvaa uudessa roolissa omaan tahtiin. Lisäksi tukea ja apua on aina saatavilla.
Tällä hetkellä minua kiinnostaa erityisesti tekoäly ja sen vaikutukset IT-alaan ja yhteiskuntaan. Tekoälyhypen myötä on tärkeää pohtia, millaisia riskejä laajempi tekoälyn käyttöönotto tuo mukanaan ja miten näitä riskejä voidaan hallita.