| Mitä tarkoitetaan tietoturvakartoituksella? |
 |
|
| Tietoturvakartoitus tarkoittaa nykyisen tietoturvatason
selvittämistä yrityksen liiketoiminnassaan käyttämien
tietotekniikkaratkaisujen osalta. |
|
Miksi...?
Miten...?
Kenelle...? |
| Miksi
minä tarvitsen
kartoituksen? Mitä hyötyä siitä on juuri minulle? |
|
|
| Tämän päivän tietoturvariskit voivat vaikuttaa merkittävästi
yrityksen taloudelliseen ja liiketoiminnalliseen tulokseen, jopa
yritystoiminnan jatkuvuuden mahdollisuuteen. Kartoitukseen kuuluvan
testauksen avulla yritys saa käsityksen tietoverkkonsa nykyisestä
tietoturvatilasta sekä raportin sen parantamiseen suunnitelluista
räätälöidyistä ratkaisuista. Tarkoituksena on tietoisesti ja tehokkaasti
minimoida omat tietoturvariskit.
Täten yritys lisää luottamustaan oman tietoverkkonsa toimintaan,
ennaltaehkäisee riskien aiheuttamia potentiaalisia menetyksiä (kuten tuotto,
tilaisuus tai maine) sekä minimoi tietoisesti tietoturvaan sijoittamansa
pääoman. |
|
Tunnettuja tietoturvariskejä tiedon suhteen:
 |
hävittäminen |
|
|
varastaminen |
|
|
muuttaminen |
|
|
luvaton käyttö |
|
|
käytön estäminen |
Esim. virus voi aiheuttaa tiedon muutoksen tai menetyksen, tai kuormittaa
laitteita/työntekijöitä tarpeettomasti, haitaten normaalia työskentelyä.
Lisää riskeistä... |
| Miten
tietoturvakartoitus käytännössä toteutetaan? |
|
|
| Turvakartoitus räätälöidään jokaiselle yritykselle sopivaksi
ja tarkoituksenmukaiseksi. Kartoitus alkaa yrityksen fyysisen verkon
pohjalta suoritettavasta topologia analyysistä. Tästä ilmenee palomuurin ja
aktiivilaitteiden sijoitus/määrittelyt, käyttöjärjestelmät, palvelut sekä
mahdolliset hyökkäyksen havainnointi (IDS)-järjestelmät ja DMZ-alueen
julkiset palvelut. Yrityksen tietoturvaohje tarkastetaan ja voidaan joutua
päivittämään, kunhan se noudattaa yrityksen julkaistua
tietoturvapolitiikkaa. Turvakartoitukseen voidaan sisällyttää
haavoittuvuusanalyysi, joka käytännössä syntyy puolueettoman tahon
suorittaman tietomurtoyrityksen seurauksena (penetration testing). Tärkeä
osa analyysia on sen "suomentaminen" eli asiakkaan koulutus niiden asioiden
ymmärtämiseen mitä analyysissä on havaittu. |
|
Turvakartoituksen näkökulmia:
|
|
puolueettoman tahon suorittama
tietomurtoyritys vrt. sisäinen testi: paineet omasta osaamisesta,
työpaikasta |
|
|
paljastaa turva-aukot (unohdetut,
tuntemattomat, tiedostetut, rakenteelliset, suunnitelmista johtuvat,
vialliset) |
|
|
paljastaa järjestelmiin tunkeutumisen
mahdollisuuden ja tiedon näkyvyyden |
|
|
toistuva ja säännöllinen testaus tavaksi
(kerta ei riitä, jatkuva muutos luo aina uusia aukkoja) |
|
| Kenelle
tietoturvakartoitus on tarkoitettu? Soveltuuko se minun yritykselleni? |
|
|
| Kaikille yrityksille joilla tietotekniikka on olennainen osa
liiketoimintaa, koosta riippumatta. Jos yritys voi sanoa että sen
liiketoiminta jatkuu ilman tietotekniikkaa (esim. tuottojen tai tuottavuuden
kärsimättä kohtuuttomasti), pitää silti muistaa tiedon suojaaminen
valtuuttamattomalta käytöltä.
Mikään tietotekniikkaa hyödyntävä yritys ei voi teettää kartoitusta
turhaan, koska siitä selviää yrityksen mahdollinen tarve tietoturvalle
kohtuullisin kustannuksin. Asiantuntijan tekemänä kartoituksen tulokseen voi
luottaa, jolloin myös yrityksen johto/omistajat voivat nukkua yönsä
levollisemmin. |
|
Mitä jatkossa seurataan?
|
|
tietoturvapolitiikan ja siitä johdettujen
tietoturvaohjeiden noudatusta |
|
|
henkilökunnan asennetta tietoturvaan ja
sen toteuttamiseen yksilötasolla |
|
|
muutosten aiheuttamia potentiaalisia
haavoittuvuuksia |
|
|
päivityksiä käytettyihin järjestelmiin ja
sovelluksiin |
|
