Onko yrityksesi kyberturvallisuus standardien mukainen ja onko riskejä lievennetty?
Verkossa tehdään kaikenlaista toimintaa lähes kaikilla aloilla ja sen takia kysymys siitä, ovatko kaikki tiedot turvassa uteliailta silmiltä, on yrityksissä yhä tärkeämpää.
Kyberturvallisuuden kypsyystason arviointi auttaa näkemään kokonaisuuden
Tässä voi olla apua kyberturvallisuuden kypsyystason arvioinnista (ingl k Cyber MaturIty Assessment ehk CMA) – se auttaa havaitsemaan yrityksen mahdollisia tietoturva-aukkoja ja ymmärtämään mitä voidaan tehdä paremmin turvallisuuden varmistamiseksi.KPMG:n kyberturvallisuusasiantuntijan Igmar Ilvesin mukaan CMA:n osalta ei ole väliä, tehtaanko se pienessä yrityksessä vai suuressa organisaatiossa.
"Sitä ajatellaan usein, että jos talossa on ainakin yksi It-asiantuntija, kyberturvallisuus on taattu. Itse asiassa on mietittävä tulevaisuutta ja kysyttävä, mitä seurauksia voi olla sillä, että yrityksesi ainoalla It-ammattilaisella ei ole riittävästi osaamista kyberturvallisuuden alalla tai mitä tapahtuu, jos asiantunteva It-ammattilaisesi päättää yhtäkkiä vaihtaa työpaikkaa", hän selitti.
Tämä ei kuitenkaan välttämättä tarkoita, että yrityksen pitäisi palkata toinenkin It-asiantuntija. "On muitakin tapoja lieventää riskejä – esimerkiksi pidä dokumentaatiosi ajan tasalla", Ilves huomautti. Tämä tarkoittaa, että tiettyjä salasanoja tai yrityksen omistamia tietokoneita koskevien tietojen tulee olla riittävän yksityiskohtaisia ja selkeitä.
Nykytilanteen kartoitus alkaa asiakkaan haastattelulla
Arvioidakseen paremmin yrityksen tai organisaation tietoturvatilannetta KPMG:n Viron yrityksen tiimi on kehittänyt edullisen palvelun, joka antaa yleiskatsauksen organisaation kyvyistä suojata tietovarojaan ja reagoida kyberuhkiin.Ilves korosti, että kyseessä ei ole perinteinen It-auditointi, vaan palvelu, joka keskittyy monenlaisiin tietoturvanäkökohtiin asiakkaan erityispiirteiden ja heiltä kerättyjen tietojen perusteella. Tilanteen kartoittamiseksi haastatellaan asiakkaan toimihenkilöjä, joilta kysytään yrityksen nykyisistä suojatoimista.
Ilves korosti, että tärkeintä on vastata kysymyksiin mahdollisimman rehellisesti ja kuvata tilanne täsmälleen sellaisena kuin se on, sillä tämä auttaa luomaan selkeän ja konkreettisen kuvan yrityksen nykyisestä tietoturvatilanteesta, varsinkin kun todisteita kuvattujen toimintojen tai vastausten tueksi ei ole tarpeen esittää.
Suunnittele, suojaa ja ehkäise
Näin ollen arvioinnin keskeinen toiminto on asiakkaan haastattelu, joka kestää yleensä puolestatoista tunnista kahteen tuntiin ja keskittyy neljään painopistealueeseen.Ensimmäinen alue on suunnittelu, missä keskitytään yrityksen tieto- ja kyberturvallisuustoiminnan suunnitteluun, tietoisuuden kasvattamiseen kyberturvallisuudesta sekä johdon ja muiden avainhenkilöiden vastuisiin.
Seuraavaksi tarkastellaan suojeluun ja ennaltaehkäisyyn liittyviä erityistoimenpiteitä yhtiön tärkeimpien varojen turvaamiseksi.
Havaitsemista ja reagointia koskevilla kysymyksillä pyritään selvittämään, onko kyberhyökkäysten ja muiden uhkien havaitsemiseksi toteutettu toimenpiteitä ja mitä ne ovat.
Palauttamista käsittelevässä osiossa tarkastellaan, mitä toimenpiteitä on olemassa yrityksen liiketoiminnan palauttamiseksi mahdollisen kyberhyökkäyksen tai muun odottamattoman luonteeltaan negatiivisen tapahtuman jälkeen.
Arvioinnin perusteella voidaan tehdä johtopäätöksiä
Igmar Ilves korosti, että kaikki haastattelukysymykset perustuvat alalla käytettäviin kansainvälisiin standardeihin ja menetelmiin, jolloin kullekin painopistealueelle tehdään erillinen arviointi ja lasketaan yhteenlaskettu tulos."Nimiä mainitsematta annamme asiakkaalle myös käsityksen, mikä hänen yrityksensä tilanne on verrattuna muihin Viron yrityksiin", Ilves sanoo.
Asiantuntijan mukaan arvioinnissa pärjäävät paremmin yritykset, jotka suorittavat It-auditointeja ja -testauksia säännöllisesti ja ovat jo ottaneet käyttöön tietyt standardit ja tietoturvakehykset.
"Yleensä asiakkaat ajattelevat, että heidän yrityksensä tilanne on parempi kuin se todellisuudessa on. Kyberturvallisuuden kypsyystason arvioinnin tulokset kuitenkin usein vahvistavat päinvastaista," Ilves sanoi.
Ongelmat ovat pitkälti samanlaisia
Ilves mainitsi pääasiallisina syinä siihen, että yritysten yhteenlaskettu tulos on usein odotettua alhaisempi, vankkojen suojatoimien epäriittävyyden ja riskilähtöisen lähestymistavan sekä säännöllisten It-auditointien puuttumisen."Yritykseltä puuttuu usein myös selkeä ja yksinkertainen yleiskuva tietovaroistaan eli vakiodokumentaatio. Se sisältää usein vanhentuneita tietoja", hän sanoi.
"Jos joku avainhenkilö eroaa ja hänen tilalleen tulee uusi toimihenkilö, hän ei usein tiedä, missä tietyt tiedot on tallennettu. Tämä ongelma voitaisiin välttää sisäisillä säännöillä ja ajantasaisella dokumentaatiolla", Ilves lisäsi.
Arvioinnissa otetaan huomioon yrityksen erityispiirteet
Ongelmat alkavat usein tietoturvan heikommasta lenkistä eli ihmisestä, joten haastatteluun kannattaa ottaa mukaan kaikki kyberturvallisuusalan päivittäisistä asioista perillä olevat toimihenkilöt. Tämän varmistamiseksi arvioija lähettää kysymykset yritykselle jo ennen haastattelua.
Kyberturvallisuuden kypsyystason arviointeja tehtäessä olemme tietoisia siitä, että jokainen yritys ja organisaatio on erilainen ja tämä huomioidaan arvioinnissa.
"Tavoitteena on kartoittaa todellinen tilanne, jotta ymmärrettäisiin, missä asioissa voitaisiin parantaa ja mitkä ovat suurimmat riskit", kyberturvallisuusasiantuntija selitti.
Arvioinnin jälkeen tuloksista esitellään analyysi yrityksen edustajille ja laaditaan raportti, joka sisältää arvioinnin lisäksi toimenpidesuunnitelman tilanteen parantamiseksi.
"On tärkeää ymmärtää, että kyseessä ei ole syvällinen analyysi tai It-auditointi, vaan yleinen ja kattava arvio, joka riippuu pitkälti asiakkaalta saaduista tiedoista", Ilves korosti.
Vaikka ihmiset ovatkin heikoin lenkki tietoturvassa, he ovat myös erittäin arvokkaita, koska heidän tarjoamansa tieto on olennaista kyberturvallisuusriskien pienentämisessä.
Igmar Ilves
Vanhempi kyberturvallisuusneuvoja
KPMG Baltics OÜ
Viimeisimmät kirjoitukset
KPMG: tekoäly ei voi korvata lääkäriä
KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..
Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen
Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..
Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet
KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..
Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla
Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..
Milloin viimeksi teit pentestauksen verkkosovelluksellesi?
Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..
KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle
KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..
Käännä uhat mahdollisuuksiksi
Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.
KPMG Baltics OÜ
+372 626 8700cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
Ota yhteyttä
${i18n('ask_more')}
HR-analyysi
HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.
${i18n('ask_more')}
Uhka-analyysi
Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
${i18n('ask_more')}
Kypsyysanalyysi
Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.