Tietoturvakartoituksessa selvitetään organisaation tietoturvan käytännöt ja teknologiset järjestelyt sekä arvioidaan suojauksen tasoa.
Etätyön räjähdysmäisen kasvun ja kyberhyökkäyksien maailmanlaajuisen yleistymisen myötä yhä useammassa yrityksessä on alettu katsomaan liiketoiminnan turvaamista uusin silmin. Eikä syyttä, sillä tietomurron sattuessa yrityksen toiminta voi pysähtyä päiviksi tai jopa viikoiksi, jos järjestelmät eivät toimi tai niiden käytön turvallisuutta ei voida taata. Pahimmassa tapauksessa heikosta uhkiin suojautumisesta voi seurata koko liiketoiminnan romahtaminen.
Hyvällä tietoturvallisuuden hallinnalla ja johtamisella organisaation toiminnan jatkuvuus voidaan kuitenkin turvata silloinkin, kun kyberhyökkäys osuu omalle kohdalle.
Parhaimmassa tapauksessa organisaation tietoturvallisuutta ja sen tasoa seurataan ja kehitetään säännöllisesti. Jos näin ei kuitenkaan ole tai turvallisuuden nykytila alkaa mietityttämään, tietoturvakartoitus on hyvä keino selvittää, vastaako organisaation toiminta hyviä käytänteitä vai löytyykö järjestelmistä tai toimintatavoista heikkouksia, joihin tulisi puuttua.
Varsinkin jos laitteistoja tai henkilökunnan toimintaohjeita ei ole päivitetty vuosiin ja jos it-ympäristö ja sen hallinta on täysin ulkoistettua, organisaation tietoturvan taso on hyvä aika ajoin tarkistaa tai tarkistuttaa.
Tietoturvakartoitukset voivat keskittyä sekä toimintatapojen tarkasteluun että järjestelmien ja laitteiden arviointiin. Yleensä puhutaankin erikseen hallinnollisesta ja teknisestä tietoturvakartoituksesta.
Hallinnollisessa tietoturvakartoituksessa kiinnitetään huomiota erityisesti organisaation kyberturvallisuuden johtamiseen, tietoturvapolitiikkaan sekä turvallisuuden kehittämiseen.
Hallinnollisessa tietoturvakartoituksessa valitaan yleensä asiakkaan kanssa yhdessä jokin yleinen viitekehys, jota vasten yrityksen toimintaa peilataan. Tällaisena viitekehyksenä voi toimia esimerkiksi b2b-toimijoille tuttu ISO27001-sertifikaatti, julkishallinnon toimijoille suunnattu Traficomin Kybermittari tai vaikkapa EU:n tietosuoja-asetus GDPR.
Hallinnollinen arviointi paljastaa, täyttääkö yrityksen toiminta valitun arviointimittariston asettamat vaatimukset ja auttaa tunnistamaan ne kohdat, joissa yrityksen pitäisi vielä kehittyä. Esimerkiksi yrityksen ohjeistuksissa työntekijöille tai vastuunjaoissa voi löytyä huomattaviakin puutteita.
Nykyään monella toimialalla palveluiden tuottajilta vaaditaan kilpailutustilanteessa todistus hyvien tietoturvakäytänteiden noudattamisesta. Yritys, jolta löytyy takataskustaan ISO27001-serfikaatti, voi olla muihin toimijoihin verrattuna etulyöntiasemassa. Sen lisäksi, että tietoturvakartoitus itsessään on tärkeä työväline yritykselle, sen avulla saatu sertifikaatti voi tuoda mukanaan myös kaupallista hyötyä.
Lue lisää asiakkaallemme toteutetusta tietoturvakartoituksesta.
Teknisessä tietoturva-arvioinnissa pureudutaan asiakkaan organisaation teknisiin järjestelyihin ja niiden toteuttamiseen. Siinä tutkitaan, onko esimerkiksi pääsynhallinnassa, verkkoarkkitehtuurissa, tietojen käsittelyssä, suojaamisessa tai salaamisessa puutteita.
Tyypillinen tarkastelun kohteena oleva kokonaisuus on monen yrityksen käyttämä Microsoftin 365 -palvelu, joka pitää sisällään monenlaisia sovelluksia. Arvioinnissa varmistetaan, että järjestelmien tietoturva-asetukset sekä käyttäjien käytänteet ovat palvelun käytön osalta kunnossa.
Toinen esimerkki teknisestä kartoituksesta on haavoittuvuuksien skannaus kaikista yrityksen laitteistoista ja järjestelmistä.
Lisäksi yritykselle voidaan tehdä yrityksen maineen arviointi ja selvittää, mitä yrityksestä ja sen palveluista keskustellaan sekä julkisessa internetissä että pimeässä verkossa.
Markkinoilla on tarjolla sekä kevyitä kartoituksia, joissa tehdään pintaraapaisu yrityksen järjestelmiin, että kuin kattavampia, tunnettuja mittaristoja hyödyntäviä kartoituksia.
Kattavat kartoitukset tehdään usein työpajoina tai konsultaationa niin, että asiakas on itse aktiivisesti mukana prosessissa ja on valmis kehittämään toimintaansa saatujen tuloksien perusteella. Tarvittaessa asiakkaalle voidaan tarjota myös tukea ja resursseja toiminnan kehittämiseen.
Kannattaa siis vertailla tarjolla olevia vaihtoehtoja ja selvittää, mitä kartoitukset pitävät sisällään ja millaisesta kartoituksesta on tällä hetkellä kaikista eniten hyötyä oman organisaation toiminnan kehittämiseksi.