Jokaisella tietoturva-asiantuntijalla ja -yrityksellä on oma tarkistuslistansa, prioriteettinsä ja näkemyksensä siitä, että mitä ja missä järjestyksessä on tietoturvallisuuden toteuttamiseksi yrityksen tai yksityishenkilön tehtävä. Politiikkojen, ohjeiden ja uhkakuvien sekä hyökkäysvektoreiden opiskelussa pystyy käyttämään päivänsä (ja yönsä) saavuttamatta kuitenkaan turvallisuudentunnetta. Usein jopa päinvastoin, lukemalla työasemasi turvaohjelmiston logia ja etsimällä jatkuvasti merkkejä hyökkäyksestä saattaa työtehosi merkittävällä tavalla kärsiä. En edes yritä listata tai priorisoida asioita, joita meidän kaikkien pitäisi tehdä tietoturvan vuoksi, vaan esitän ajatuksen tietoturva-asioiden lähestymistavaksi.
Nykyisissä monen pelaajan verkottuneissa peleissä on hyvin paljon samoja elementtejä kuin tietoturvallisuuden kanssa kamppailussa, eikä ole vaikeaa etsiä vertauskuvia todellisestakaan sodankäynnistä. Jos kerta toisensa jälkeen tulee omalle joukkueelle pataan kun vihollinen kiertää vasemmalta selustaan, niin sen sijaan, että investoi ilmatorjuntakalustoon huhujen perusteella, kannattaisi varmaan vahvistaa vasemman puolen tiedustelua. Jos kerta toisensa jälkeen henkilöstö klikkailee mukaDHL:n lähettämiä tekstiviestejä tai vastaa kalastelupuheluihin mukaMikrosoftilta, olisi syytä kouluttaa henkilöstöä tunnistamaan uhkia sen sijaan, että investoi uusimman sukupolven IoT-tietoisiin neuvotteluhuoneiden ikkunakalvoihin.
Tietoturvan ajatteleminen pelinä ainakin minulla helpottaa ajatusmaailman hahmottumista siihen, että mitä vihollinen (tietoturvarikollinen) tekee ja millä tavalla minä voin puolustautua ja tietysti myös ennakoida vihollisen liikkeitä. Minne sijoitan omat joukkoni vahvaan puolustukseen ja missä pystyn hoitamaan puolustautumisen tiedusteluryhmällä tai tarkka-ampujapartiolla. Ja kun tämän ajatusleikin jatkoksi muistetaan ja tiedetään, että taistelukenttä tai -areena muuttuu jatkuvasti esimerkiksi vaikka etätyön vuoksi tai uusien työkalujen julkaisujen johdosta, niin pelillistäminen auttaa keskittymään kokonaisuuteen ja armeijaan sen sijaan, että jää kiväärimieheksi puolustuslinjan keskivaiheilla olevaan poteroon huutamaan "Laukaus! Laukaus!".
Tiedän, että tässä tajunnanvirrassa ei ole konkreettisia työkaluja tai ohjeita ranskalaisilla viivoilla tietoturvasuojautumiseen, mutta toisinaan me kaikki tarvitsemme näkökulman muutoksen tai vaihdoksen ja aivomme pysyy virkeämpänä kun vaihdamme hetkeksi XSS-haavoittuvuuden vihollisen velhoksi tai peikoksi ja mietimme, että mikä spelli kannattaa sitä kohti castata, emmekä googlaa tuntikausia päivityspakettia käyttöjärjestelmäämme.
Jos ja kun tietoturvakeskustelu joskus ylikuormittaa, niin asiantuntijamme mielellään auttavat etsimään uusia näkökulmia ja laittamaan asioita perspektiiviin ennenkuin lopputaistelu pääpahista vastaan koittaa tulivuoren uumenissa.