Etätyön räjähdysmäisen kasvun ja kyberhyökkäyksien maailmanlaajuisen yleistymisen myötä yhä useampi yritys on alkanut katsoa liiketoimintansa turvaamista uusin silmin. Eikä syyttä, sillä työntekijöiden puutteelliset tietoturvataidot tai tietojärjestelmien heikko suojaus voivat aiheuttaa yrityksille mittavia tappioita.
– Yrityksen toiminta voi pysähtyä tietomurron vuoksi päiviksi tai jopa viikoiksi, jos järjestelmät eivät toimi. Hyvällä tietoturvallisuuden hallinnalla ja johtamisella voidaan turvata organisaation toiminnan jatkuvuus silloinkin, kun kyberhyökkäys osuu omalle kohdalle, kertoo tietoverkkojen asiantuntija Petri Markkanen Cinialta.
Kun oman yrityksen tietoturvallisuuden taso mietityttää, tietoturvakartoitus on hyvä keino selvittää, vastaako organisaation toiminta hyviä käytänteitä vai löytyykö järjestelmistä tai toimintatavoista heikkouksia, joihin tulisi puuttua.
Hallinnollisessa tietoturvakartoituksessa kiinnitetään huomiota erityisesti organisaation kyberturvallisuuden johtamiseen, tietoturvapolitiikkaan sekä turvallisuuden kehittämiseen. Siinä valitaan yleensä asiakkaan kanssa yhdessä jokin yleinen viitekehys, jota vasten yrityksen toimintaa peilataan. Tällaisena viitekehyksenä voi toimia esimerkiksi b2b-toimijoille tuttu ISO27001-sertifikaatti tai julkishallinnon toimijoille suunnattu Traficomin Kybermittari.
– Hallinnollinen arviointi paljastaa, täyttääkö yrityksen toiminta valitun arviointimittariston asettamat vaatimukset, sekä auttaa tunnistamaan ne kohdat, joissa yrityksen pitäisi vielä kehittyä. Yrityksen ohjeistuksissa työntekijöille tai vastuunjaoissa voi löytyä huomattaviakin puutteita, kuvailee Markkanen.
Teknisessä arvioinnissa pureudutaan vuorostaan asiakkaan organisaation teknisiin järjestelyihin ja niiden toteuttamiseen. Siinä tutkitaan, onko esimerkiksi tietojen käsittelyssä, suojaamisessa tai salaamisessa puutteita.
– Tyypillinen tarkastelun kohteena oleva kokonaisuus on monen yrityksen käyttämä Microsoftin 365-palvelu, joka pitää sisällään monenlaisia sovelluksia. Arvioinnissa varmistetaan, että järjestelmien tietoturva-asetukset sekä käyttäjien käytänteet ovat palvelun käytön osalta kunnossa, kertoo Markkanen esimerkkinä.
Koska markkinoilla on tarjolla monenlaisia tietoturva-arviointeja tekeviä toimijoita, antaa Markkanen vielä muutaman vinkin tietoturvakartoituksen ostamista suunnitteleville:
– Tarjolla on hyvin kevyitä kartoituksia, joissa tehdään vain pintaraapaisu yrityksen järjestelmiin, sekä kattavampia, luotettavia mittaristoja hyödyntäviä kartoituksia. Kattavat kartoitukset tehdään usein työpajoina tai konsultaationa niin, että asiakas on itse aktiivisesti mukana prosessissa ja on valmis kehittämään toimintaansa saatujen tuloksien perusteella. Tarvittaessa asiakkaalle voidaan tarjota myös tukea ja resursseja toiminnan kehittämiseen. Esimerkiksi me Cinialla pystymme tarjoamaan asiakkaalle jopa 24/7-tuen tietoturvan valvontaan sekä eri järjestelmien suojauksen. Kannattaa siis vertailla eri vaihtoehtoja ja selvittää, mitä kartoitukset pitävät sisällään.