Yhä useampi on kiinnostunut IT-alasta ja haluaa työskennellä alalla. IT-alalle suuntaavilla on usein mielessä ohjelmistokehitys, vaikka ala tarjoaa monia muitakin vaihtoehtoja. Yksi tuntemattomampi vaihtoehto on tietoturva. Tietoturvan koulutusohjelmat korkeakouluissa ovat vasta viime vuosina saaneet jalansijaa, mikä saattaa osaltaan selittää alalle päätyvien vähäistä määrää. Monet tietoturvassa työskentelevät ovatkin päätyneet alalle muulla tavoin, usein ohjelmistokehityksen kautta.
Molemmat alat ovat tärkeitä, mutta erityisesti tekninen tietoturva voi tuntua monista vaikeasti lähestyttävältä. Tässä blogipostauksessa tarkastelen samankaltaisuuksia, joita molemmissa aloissa on, kuinka alat tukevat toisiaan ja myös mitä eroja aloilla on! Olen itse aloittanut urani ohjelmistokehittäjänä ja siirtynyt myöhemmin teknisen tietoturvan pariin, joten kokemusta ja näkökulmaa kumpaankin alaan löytyy. Voit lukea urapolustani tietoturvan pariin aiemmasta blogistani.
Mitä on tekninen tietoturva?
Teknistä tietoturvaa kutsutaan usein eettiseksi hakkeroinniksi tai tietoturvatestaamiseksi. Ero eettisen hakkerin ja pahantahtoisen hakkerin välillä on lähinnä se, että eettisellä hakkerilla on lupa yrittää hakkeroitua asiakkaan järjestelmiin. Molemmat käyttävät samankaltaisia menetelmiä haavoittuvuuksien löytämiseen, mutta tietoturvatestauksen tavoite on löytää mahdolliset tietoturvapuutteet ja korjata ne ennen kuin niitä voidaan hyväksikäyttää esimerkiksi tietomurroissa. Mainittakoon vielä, että eettinen hakkerointi on täysin laillista toimintaa ja eettinen hakkerointi toteutetaan yleensä esimerkiksi yrityksen tilauksesta.
Tietoturvatestaus vs. ohjelmistokehitys
Äkkiseltään voisi kuvitella, että nämä alat ovat todella erilaisia, ja niin ne toki osittain ovatkin. Silti molemmissa on paljon samankaltaisuuksia, mikä mahdollistaa helpon siirtymisen ohjelmistokehityksestä teknisen tietoturvan pariin ja päinvastoin.
Tässä muutamia samankaltaisuuksia:
Ongelmanratkaisukyky: Sekä ohjelmistokehittäjät että tietoturvatestaajat tarvitsevat kykyä ratkaista ongelmia. Molemmat etsivät bugeja koodista tai toiminnallisuuksista ja käyttävät luovuutta ongelmien ratkaisemiseen.
Jatkuva oppiminen: IT-alalla on aina tärkeää pysyä ajan tasalla omaan alaan liittyvissä asioissa, ja ohjelmistokehityksessä sekä tietoturvatestauksessa työ onkin jatkuvaa taitojen kehittämistä ja uuden oppimista.
Viestintätaidot: Molemmilla aloilla on keskeistä osata kommunikoida selkeästi ja tehokkaasti. Ohjelmistokehitys on usein tiimityöskentelyä, jossa hyvä kommunikaatio on avain projektin onnistumiseen. Teknisessä tietoturvassa usein työskennellään yksin, mutta hyvä kommunikointi oman firman myyjien ja projektipäälliköiden sekä asiakkaiden kanssa on välttämätöntä. On myös tärkeää osata kommunikoida mahdolliset löydetyt haavoittuvuudet asiakkaalle.
Ymmärrys koodaamisesta: Vaikka tämä ei ole välttämätöntä teknisessä tietoturvatestauksessa, koodaamisen ymmärtämisestä voi olla paljon hyötyä. Testauksen aikana näkee runsaasti koodia ja oppii joka tapauksessa ymmärtämään sitä ajan myötä. On myös mahdollista kehittää apuvälineitä tai automatisoida tehtäviä koodaamalla.
Miten alat eroavat toisistaan?
Itse työntekeminen on molemmilla aloilla sinänsä aika samankaltaista: istutaan koneen ääreen, katsotaan mitä on tehtävälistalla ja suoritetaan tarvittavat tehtävät. Yksi olennainen eroavaisuus on tekstin tuottamisessa. Ohjelmistokehittäjänä saatoin joskus kirjoittaa dokumentaatiota, mutta harvemmin tarvitsi sen kummempaa tekstiä kirjoittaa. Tietoturvatestaamisessa taas asiakkaalle projektin lopussa palautettava raportti on tärkeä lopputuote, jonka avulla asiakas tietää kuinka lähteä korjaamaan heidän järjestelmiään. Jokaisesta löydetystä haavoittuvuudesta siis kirjoitetaan selkeä korjaussuositus asiakkaalle.
Toinen isompi eroavaisuus on projektien pituuksissa. Kun ohjelmistokehittäjänä saatat työskennellä saman projektin kanssa useita kuukausia, tai jopa vuosia, on tietoturvatestaaminen usein maksimissaan pari viikkoa kestävä projekti. Poikkeuksiakin toki on, sillä tietoturva-asiantuntija voi olla myös yhdellä asiakkaalla pitkään, sen sijaan että vaihtaisi eri projektien välillä jatkuvasti.
Minulle suurin haaste oli kuitenkin kääntää ohjelmistokehityksen ajattelutapa hakkeroinnin ajattelutapaan. Tarkoitan tällä sitä, että ohjelmistokehittäjänä pyrkii rakentamaan sovelluksen, joka toimii oikein, kun taas hakkeroinnissa pyritään rikkomaan ja väärinkäyttämään näitä toimintoja. Koska taustani oli ohjelmistokehityksessä, minulla oli aluksi vaikeuksia ajattelutavan kääntämisessä.
Erilaisista taustoista on hyötyä tietoturvatestauksessa
Tekninen tietoturva ja ohjelmistokehitys ovat läheisesti toisiinsa liittyviä aloja, joissa on paljon samankaltaisuuksia. Ongelmanratkaisutaidot, jatkuva oppiminen ja hyvät viestintätaidot ovat keskeisiä kummassakin roolissa. Jos siirtyminen ohjelmistokehityksestä tekniseen tietoturvaan kiinnostaa, on tämä täysin mahdollista!
Erilaisista taustoista alalle tuleminen on hyödyksi, sillä aiemmin opitut taidot voivat tuoda uusia näkökulmia ja lähestymistapoja tietoturvahaasteisiin. Tämä monipuolisuus rikastuttaa tiimejä ja parantaa kykyä tunnistaa ja korjata haavoittuvuuksia tehokkaasti.
Minja Silvennoinen, Information Security Specialist, 2NS