22.04 2021

Onko yrityksesi kyberturvallisuus standardien mukainen ja onko riskejä lievennetty?

Esimiehistä saattaa usein tuntua, että heidän yrityksensä tai organisaationsa kyberturvallisuustaso on sellainen kuin sen pitääkin olla. Valitettavasti usein tulee huonona yllätyksenä, että tämä on väärinkäsitys ja tilanne ei ole aivan riittävän hyvä.

Verkossa tehdään kaikenlaista toimintaa lähes kaikilla aloilla ja sen takia kysymys siitä, ovatko kaikki tiedot turvassa uteliailta silmiltä, on yrityksissä yhä tärkeämpää.

Kyberturvallisuuden kypsyystason arviointi auttaa näkemään kokonaisuuden

Tässä voi olla apua kyberturvallisuuden kypsyystason arvioinnista (ingl k Cyber MaturIty Assessment ehk CMA) – se auttaa havaitsemaan yrityksen mahdollisia tietoturva-aukkoja ja ymmärtämään mitä voidaan tehdä paremmin turvallisuuden varmistamiseksi.

KPMG:n kyberturvallisuusasiantuntijan Igmar Ilvesin mukaan CMA:n osalta ei ole väliä, tehtaanko se pienessä yrityksessä vai suuressa organisaatiossa.

"Sitä ajatellaan usein, että jos talossa on ainakin yksi It-asiantuntija, kyberturvallisuus on taattu. Itse asiassa on mietittävä tulevaisuutta ja kysyttävä, mitä seurauksia voi olla sillä, että yrityksesi ainoalla It-ammattilaisella ei ole riittävästi osaamista kyberturvallisuuden alalla tai mitä tapahtuu, jos asiantunteva It-ammattilaisesi päättää yhtäkkiä vaihtaa työpaikkaa", hän selitti.

Tämä ei kuitenkaan välttämättä tarkoita, että yrityksen pitäisi palkata toinenkin It-asiantuntija. "On muitakin tapoja lieventää riskejä – esimerkiksi pidä dokumentaatiosi ajan tasalla", Ilves huomautti. Tämä tarkoittaa, että tiettyjä salasanoja tai yrityksen omistamia tietokoneita koskevien tietojen tulee olla riittävän yksityiskohtaisia ja selkeitä.

Nykytilanteen kartoitus alkaa asiakkaan haastattelulla

Arvioidakseen paremmin yrityksen tai organisaation tietoturvatilannetta KPMG:n Viron yrityksen tiimi on kehittänyt edullisen palvelun, joka antaa yleiskatsauksen organisaation kyvyistä suojata tietovarojaan ja reagoida kyberuhkiin.

Ilves korosti, että kyseessä ei ole perinteinen It-auditointi, vaan palvelu, joka keskittyy monenlaisiin tietoturvanäkökohtiin asiakkaan erityispiirteiden ja heiltä kerättyjen tietojen perusteella. Tilanteen kartoittamiseksi haastatellaan asiakkaan toimihenkilöjä, joilta kysytään yrityksen nykyisistä suojatoimista.

Ilves korosti, että tärkeintä on vastata kysymyksiin mahdollisimman rehellisesti ja kuvata tilanne täsmälleen sellaisena kuin se on, sillä tämä auttaa luomaan selkeän ja konkreettisen kuvan yrityksen nykyisestä tietoturvatilanteesta, varsinkin kun todisteita kuvattujen toimintojen tai vastausten tueksi ei ole tarpeen esittää.

Suunnittele, suojaa ja ehkäise

Näin ollen arvioinnin keskeinen toiminto on asiakkaan haastattelu, joka kestää yleensä puolestatoista tunnista kahteen tuntiin ja keskittyy neljään painopistealueeseen.

Ensimmäinen alue on suunnittelu, missä keskitytään yrityksen tieto- ja kyberturvallisuustoiminnan suunnitteluun, tietoisuuden kasvattamiseen kyberturvallisuudesta sekä johdon ja muiden avainhenkilöiden vastuisiin.

Seuraavaksi tarkastellaan suojeluun ja ennaltaehkäisyyn liittyviä erityistoimenpiteitä yhtiön tärkeimpien varojen turvaamiseksi.

Havaitsemista ja reagointia koskevilla kysymyksillä pyritään selvittämään, onko kyberhyökkäysten ja muiden uhkien havaitsemiseksi toteutettu toimenpiteitä ja mitä ne ovat.

Palauttamista käsittelevässä osiossa tarkastellaan, mitä toimenpiteitä on olemassa yrityksen liiketoiminnan palauttamiseksi mahdollisen kyberhyökkäyksen tai muun odottamattoman luonteeltaan negatiivisen tapahtuman jälkeen.

Arvioinnin perusteella voidaan tehdä johtopäätöksiä

Igmar Ilves korosti, että kaikki haastattelukysymykset perustuvat alalla käytettäviin kansainvälisiin standardeihin ja menetelmiin, jolloin kullekin painopistealueelle tehdään erillinen arviointi ja lasketaan yhteenlaskettu tulos.

"Nimiä mainitsematta annamme asiakkaalle myös käsityksen, mikä hänen yrityksensä tilanne on verrattuna muihin Viron yrityksiin", Ilves sanoo.

Asiantuntijan mukaan arvioinnissa pärjäävät paremmin yritykset, jotka suorittavat It-auditointeja ja -testauksia säännöllisesti ja ovat jo ottaneet käyttöön tietyt standardit ja tietoturvakehykset.

"Yleensä asiakkaat ajattelevat, että heidän yrityksensä tilanne on parempi kuin se todellisuudessa on. Kyberturvallisuuden kypsyystason arvioinnin tulokset kuitenkin usein vahvistavat päinvastaista," Ilves sanoi.

Ongelmat ovat pitkälti samanlaisia

Ilves mainitsi pääasiallisina syinä siihen, että yritysten yhteenlaskettu tulos on usein odotettua alhaisempi, vankkojen suojatoimien epäriittävyyden ja riskilähtöisen lähestymistavan sekä säännöllisten It-auditointien puuttumisen.

"Yritykseltä puuttuu usein myös selkeä ja yksinkertainen yleiskuva tietovaroistaan eli vakiodokumentaatio. Se sisältää usein vanhentuneita tietoja", hän sanoi.

"Jos joku avainhenkilö eroaa ja hänen tilalleen tulee uusi toimihenkilö, hän ei usein tiedä, missä tietyt tiedot on tallennettu. Tämä ongelma voitaisiin välttää sisäisillä säännöillä ja ajantasaisella dokumentaatiolla", Ilves lisäsi.

Arvioinnissa otetaan huomioon yrityksen erityispiirteet

Ongelmat alkavat usein tietoturvan heikommasta lenkistä eli ihmisestä, joten haastatteluun kannattaa ottaa mukaan kaikki kyberturvallisuusalan päivittäisistä asioista perillä olevat toimihenkilöt. Tämän varmistamiseksi arvioija lähettää kysymykset yritykselle jo ennen haastattelua.

Kyberturvallisuuden kypsyystason arviointeja tehtäessä olemme tietoisia siitä, että jokainen yritys ja organisaatio on erilainen ja tämä huomioidaan arvioinnissa.

"Tavoitteena on kartoittaa todellinen tilanne, jotta ymmärrettäisiin, missä asioissa voitaisiin parantaa ja mitkä ovat suurimmat riskit", kyberturvallisuusasiantuntija selitti.

Arvioinnin jälkeen tuloksista esitellään analyysi yrityksen edustajille ja laaditaan raportti, joka sisältää arvioinnin lisäksi toimenpidesuunnitelman tilanteen parantamiseksi.

"On tärkeää ymmärtää, että kyseessä ei ole syvällinen analyysi tai It-auditointi, vaan yleinen ja kattava arvio, joka riippuu pitkälti asiakkaalta saaduista tiedoista", Ilves korosti.

Vaikka ihmiset ovatkin heikoin lenkki tietoturvassa, he ovat myös erittäin arvokkaita, koska heidän tarjoamansa tieto on olennaista kyberturvallisuusriskien pienentämisessä.


Igmar Ilves
Vanhempi kyberturvallisuusneuvoja
KPMG Baltics OÜ

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

Käyttäjäanalyysi

Käyttäjäanalyysi keskittyy kyberturvallisuuden heikoimman lenkin - käyttäjän, toimihenkilön — osaamisen kartoittamiseen ja lisäämiseen.

Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.

Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.

Email again: