KPMG infoturbe ja küberturvalisuse küpsustaseme hindamine (ingl k Cyber Maturity Assessment ehk CMA) on lühikese aja jooksul teostatav, kompaktne ning laiahaardeline riskihinnang kliendi infovarade kaitsmise ja küberohtudele reageerimise võimekuse kohta.

CMA on turul ainulaadne teenus, mis võimaldab 2 tunnise intervjuu alusel lisaks tehnilisele küberturvalisuse võimekuse hindamisele, anda infoturbealase hinnangu ka töötajaid mõjutavatele aspektidele, protsessidele ja füüsilisele turvalisusele, et võimaldada meie kliendil mõista erinevaid ettevõtet hõlmavaid turvanõrkusi.

Infoturbe ja küberturvalisuse hetkeseisu ja küpsustaseme visualiseerimine aitab siduda tehnilist ja ärilist vaadet, võimaldab kompleksset infot esitleda lihtsustatud kujul ning pakub juhtkonnale head sisendit strateegiliste muudatuste juhtimiseks.

Teenusest lähemalt

KPMG CMA teenuse loomise peamiseks motivaatoriks oli sellise teenuse loomine, mis aitaks ettevõtte juhtkonnal lühikese ajaga ning vähese ressursi kaasamisel kaardistada infoturbe ja küberturvalisuse üldine seis ettevõttes ning mis annaks ülevaate olulisematest kitsaskohtadest. CMA tulemusel saab ettevõtte juhtkond vajaliku sisendi, mis kirjeldab prioriteetsuse järjekorras, kuidas peaks edaspidi infoturbe ning küberturvalisuse seisukohast ressursse planeerima. Selle sisendi alusel on ettevõttel tunduvalt lihtsam otsustada, kas oleks tarvis läbi viia täiendavaid IT-kontrolle ning millises järjekorras.

Teenuse kvaliteeti tagab kasutatav metoodika ning teenust osutavate spetsialistide kogemus:

1. CMA metoodika põhineb valdkonnas üldtunnustatud standarditel ja parimatel praktikatel – nt ISO/IEC 27000 seeria standardid, NIST Cybersecurity Framework, CCS CSC, COBIT 5 jm;
2. teenust viivad läbi pikaajalise kogemusega küberturvalisuse valdkonna tippspetsialistid – meie spetsialistidel on rahvusvaheliste projektide kogemus ning rahvusvaheliselt tunnustatud eriala sertifikaadid nagu CISM, CISA, CRISC, CGEIT, ISO/IEC 27001 Lead Auditor, GSEC, GMOB, GCCC, GPEN, GWAPT, OSCP, CEH jpm.

Hinnangu kujunemine

Infoturbe ja küberturvalisuse küpsustaset hinnatakse viie teema lõikes:

1. planeerimine
2. kaitsmine
3. avastamine
4. reageerimine
5. taastamine

Igale teemale antakse hinnang protsendiskaalal, kus kõrgeim võimalik hinnang on 100% ning madalaim 0%. Lisaks jaguneb protsendiskaala omakorda soorituspõhiselt neljaks kategooriaks: väga hea (90-100%), hea (75-89%), rahuldav (60-74%), puudustega (0-59%).

Iga teema jaguneb omakorda alamteemadeks (näiteks kaitsmise teema puhul on kasutusel sellised alamteemad nagu „Riist- ja tarkvara turvaline seadistamine“, „Pahavara tõkestamine“, „Andmete kaitse“ ja paljud teised). Lisaks põhilistele teemadele, saab klient ka ülevaate erinevate alamteemade hinnangute osas.

Viie teema hinnangute koosmõjul tekib CMA koondhinnang – analoogselt teemade hinnanguga on ka koondhinnang protsendiskaalal, kus kõrgeim võimalik koondhinnang on 100% ning madalaim 0% (koos vastava soorituspõhise kategooriaga).

Kliendile presenteeritakse tulemusi vastavasisulises raportis, milles kajastatakse lisaks hinnangutele ka olulisemaid probleemkohti ning KPMG soovitusi olukorra parandamiseks. KPMG soovituste seas on kajastatud ka ligikaudne hinnang paranduste keerukusele ning maksumusele. Täiendavalt toome välja kuhu paigutub kliendi CMA koondhinnang võrdluses sarnaste ettevõtete CMA hinnangutega.

Täiendav teave

Intervjuu kliendiga toimub reeglina Microsoft Teams keskkonnas, kuid oleme valmis teostama intervjuud ka kliendi poolt valitud füüsilises asukohas.

Toonitame siinkohal, et CMA on mõeldud esimese sammuna asutuse infoturbe ja küberturvalisuse kitsaskohtade kaardistamisel ning see ei asenda klassikalisi IT auditeid, IT riskianalüüse ning läbistusteste (ingl k Penetration Testing).