1.11.2021 11:50

Tietoturvakartoitus paljastaa organisaatiosi vahvuudet ja heikkoudet

Tietoturvakartoituksessa selvitetään tietoturvan käytännöt ja teknologiset järjestelyt, ja arvioidaan suojauksen tasoa. 

Etätyön räjähdysmäisen kasvun ja kyberhyökkäyksien maailmanlaajuisen yleistymisen myötä yhä useampi yritys on alkanut katsoa liiketoimintansa turvaamista uusin silmin. Eikä syyttä, sillä työntekijöiden puutteelliset tietoturvataidot tai tietojärjestelmien heikko suojaus voivat aiheuttaa yrityksille mittavia tappioita.

Yrityksen toiminta voi pysähtyä tietomurron vuoksi päiviksi tai jopa viikoiksi, jos järjestelmät eivät toimi tai jos niiden käytön turvallisuutta ei voida taata. Pahimmassa tapauksessa tästä voi seurata koko liiketoiminnan romahtaminen.

Hyvällä tietoturvallisuuden hallinnalla ja johtamisella organisaation toiminnan jatkuvuus voidaan kuitenkin turvata silloinkin, kun kyberhyökkäys osuu omalle kohdalle.

 

Pysy perillä organisaatiosi nykytilasta

Parhaimmassa tapauksessa organisaation tietoturvallisuutta ja sen tasoa seurataan ja kehitetään säännöllisesti. Jos näin ei kuitenkaan ole ja turvallisuuden nykytila alkaa mietityttämään, tietoturvakartoitus on hyvä keino selvittää, vastaako organisaation toiminta hyviä käytänteitä vai löytyykö järjestelmistä tai toimintatavoista heikkouksia, joihin tulisi puuttua.

Varsinkin jos laitteistoja tai henkilökunnan toimintaohjeita ei ole päivitetty vuosiin ja jos it-ympäristö ja sen hallinta on täysin ulkoistettua, organisaation tietoturvan taso on hyvä aika ajoin tarkistaa tai tarkistuttaa.

Tietoturvakartoitukset voivat keskittyä sekä toimintatapojen tarkasteluun että järjestelmien ja laitteiden arviointiin. Yleensä puhutaankin erikseen hallinnollisesta ja teknisestä tietoturvakartoituksesta.

 

Hallinnollinen tietoturvakartoitus seuloo tietoturvakäytännöt

Hallinnollisessa tietoturvakartoituksessa kiinnitetään huomiota erityisesti organisaation kyberturvallisuuden johtamiseen, tietoturvapolitiikkaan sekä turvallisuuden kehittämiseen.

Hallinnollisessa tietoturvakartoituksessa valitaan yleensä asiakkaan kanssa yhdessä jokin yleinen viitekehys, jota vasten yrityksen toimintaa peilataan. Tällaisena viitekehyksenä voi toimia esimerkiksi b2b-toimijoille tuttu ISO27001-sertifikaatti, julkishallinnon toimijoille suunnattu Traficomin Kybermittari tai vaikkapa EU:n tietosuoja-asetus GDPR.

Hallinnollinen arviointi paljastaa, täyttääkö yrityksen toiminta valitun arviointimittariston asettamat vaatimukset ja auttaa tunnistamaan ne kohdat, joissa yrityksen pitäisi vielä kehittyä. Esimerkiksi yrityksen ohjeistuksissa työntekijöille tai vastuunjaoissa voi löytyä huomattaviakin puutteita.

Nykyään monella toimialalla palveluiden tuottajilta vaaditaan kilpailutustilanteessa todistus hyvien tietoturvakäytänteiden noudattamisesta. Yritys, jolta löytyy takataskustaan ISO27001-serfikaatti, voi olla muihin toimijoihin verrattuna etulyöntiasemassa. Sen lisäksi, että tietoturvakartoitus itsessään on tärkeä työväline yritykselle, sen avulla saatu sertifikaatti voi tuoda mukanaan myös kaupallista hyötyä.

 

Tekninen tietoturvakartoitus pureutuu tietoturvan teknisiin järjestelyihin

Teknisessä tietoturva-arvioinnissa pureudutaan asiakkaan organisaation teknisiin järjestelyihin ja niiden toteuttamiseen. Siinä tutkitaan, onko esimerkiksi pääsynhallinnassa, verkkoarkkitehtuurissa, tietojen käsittelyssä, suojaamisessa tai salaamisessa puutteita.

Tyypillinen tarkastelun kohteena oleva kokonaisuus on monen yrityksen käyttämä Microsoftin 365 -palvelu, joka pitää sisällään monenlaisia sovelluksia. Arvioinnissa varmistetaan, että järjestelmien tietoturva-asetukset sekä käyttäjien käytänteet ovat palvelun käytön osalta kunnossa.

Toinen esimerkki teknisestä kartoituksesta on haavoittuvuuksien skannaus kaikista yrityksen laitteistoista ja järjestelmistä.

Lisäksi yritykselle voidaan tehdä yrityksen maineen arviointi ja selvittää, mitä yrityksestä ja sen palveluista keskustellaan sekä julkisessa internetissä että pimeässä verkossa.

 

Mihin kiinnittää huomiota tietoturvakartoituksen hankinnassa?

Markkinoilla on tarjolla niin kevyitä kartoituksia, joissa tehdään pintaraapaisu yrityksen järjestelmiin kuin kattavampia, tunnettuja mittaristoja hyödyntäviä kartoituksia.

Kattavat kartoitukset tehdään usein työpajoina tai konsultaationa niin, että asiakas on itse aktiivisesti mukana prosessissa ja on valmis kehittämään toimintaansa saatujen tuloksien perusteella. Tarvittaessa asiakkaalle voidaan tarjota myös tukea ja resursseja toiminnan kehittämiseen. 

Kannattaa siis vertailla tarjolla olevia vaihtoehtoja ja selvittää, mitä kartoitukset pitävät sisällään ja millaisesta kartoituksesta on tällä hetkellä kaikista eniten hyötyä oman organisaation toiminnan kehittämiseksi.

 

Tutustu Cinian tietoturvakartoitus- ja -arviointipalveluihin