Tietoturvan ja kyberturvallisuuden kypsyystason arviointipalvelu (CMA)
Raportti sisältää
Tärkeimmät pullonkaulat ja ehdotukset tilanteen parantamiseksi
Turvallisuuskatsaus
Se on nopea tapa saada kattava kuva organisaation turvallisuudesta
Muutoksenhallinta
Raportti on yrityksen johdolle syöte strategisten muutosten hallintaa varten
Asiakkaan haastattelu
Asiakkaan haastattelu kestää kaksi tuntia ja raportti valmistuu kolmen työpäivän kuluttua
Menetelmät
Menetelmät perustuvat alan yleisesti hyväksyttyihin standardeihin
Haastattelutuotos
Haastattelutuotos on tiivis ja visuaalisesti helposti ymmärrettävä raportti
Kattava riskiarviointi
KPMG:n tekemä tietoturvan ja kyberturvallisuuden kypsyystason arviointi (Cyber Maturity Assessment, CMA) on lyhyessä ajassa laadittava tiivis ja kattava riskiarviointi asiakkaan kyvystä suojata tietovarojansa ja reagoida kyberuhkiin.
CMA on markkinoilla ainutlaatuinen palvelu. Se mahdollistaa kahden tunnin haastattelun pohjalta arvioita asiakkaan teknisiä kyberturvallisuusvalmiuksia sekä antaa tietoturva-arvioinnin työntekijöihin, prosesseihin ja fyysiseen turvallisuuteen vaikuttavista tekijöistä, jotta asiakkaamme ymmärtäisi yrityksen erilaisia tietoturvaheikkouksia.
Tietoturvan ja kyberturvallisuuden nykytilan ja kypsyystason visualisointi auttaa yhdistämään teknisen ja liiketoimintanäkemyksen, mahdollistaa monimutkaisen tiedon esittämisen yksinkertaistetussa muodossa ja antaa yrityksen johdolle hyvän työkalun strategisten muutosten hallintaan.
Yleiskatsaus tärkeimmistä pullonkauloista
KPMG:n päämotivaatio CMA-arvioinnin kohdalla oli luoda palvelu, jonka avulla yrityksen johto pystyisi lyhyessä ajassa ja vähän resursseja käyttäen kartoittamaan yrityksen tietoturvan ja kyberturvallisuuden yleisen tilan, ja joka myös tarjoaisi yleiskatsauksen tärkeimmistä pullonkauloista. CMA-arvioinnin tuloksena yrityksen johto saa tarvittavat tiedot tärkeysjärjestyksessä siitä, miten resurssit tulee jatkossa suunnitella tietoturvan ja kyberturvallisuuden näkökulmasta. Silloin yrityksen on paljon helpompi päättää, olisiko tarpeen tehdä muita IT-tarkastuksia ja missä järjestyksessä.
Käytettävät menetelmät ja palvelun tarjoavien asiantuntijoiden vankka kokemus varmistavat palvelun laadun:
- CMA-arvioinnin menetelmät perustuvat yleisesti hyväksyttyihin standardeihin ja alan parhaisiin käytänteisiin, esim. ISO/IEC 27000 -standardisarjaan, NIST-kyberturvallisuuskehykseen (NIST Cybersecurity Framework), tietokoneturvallisuuden parhaita käytäntöjä koskeviin ohjeisiin CCS CSC:n, COBIT 5 viitekehykseen ym.
- Palveluksessanne ovat kyberturvallisuuden huippuasiantuntijat, joilla on pitkä kokemus. Heillä on kokemusta kansainvälisistä projekteista ja kansainvälisesti tunnustetut sertifikaatit, kuten CISM, CISA, CRISC, CGEIT, ISO 27001 Lead Auditor (tietoturvallisuuden hallintajärjestelmän arvioija), GSEC, GMOB, GCCC, GPEN, GWAPT, OSCP, CEH ym.
Projektia edeltävä kommunikointi asiakkaan kanssa. Asiakkaalle toimitetaan haastattelukysymykset ja keskustellaan asiakkaan tarpeista.
Lähetämme asiakkaalle valmistelua varten CMA-haastattelukysymykset (n. 140 kysymystä). Näiden kysymysten perusteella asiakas voi ottaa mukaan projektiin kaikki henkilöt, joilla on tarvittava asiantuntemus. Tämän jälkeen sovimme tarkan ajankohdan haastattelulle.
Asiakkaan haastattelu (noin 2 tuntia)
Teemme asiakkaan kanssa suhteellisen tiiviin haastattelun ja käymme läpi kaikki CMA-haastattelukysymykset.
Haastatteluvastausten analysointi ja arviointi (noin 3 työpäivää)
KPMG:n asiantuntijat analysoivat asiakkaan antamat vastaukset ja antavat CMA-menetelmiin perustuvan arvion asiaan liittyvistä teemoista. Teemojen arviointiprosenttien yhdistämisen tuloksena saadaan CMA-arvioinnin yhteenlaskettu prosenttiosuus.
Raportin laatiminen ja tulosten esitteleminen asiakkaalle
Raportissa yksilöidään tärkeimmät pullonkaulat ja ensisijaiset toimet, jotka on toteutettava tilanteen parantamiseksi (ja annetaan suunta-antavia arvioita tilanteen parantamiseksi tarvittavista resursseista). Tulokset muotoillaan CMA-raportiksi ja toimitetaan asiakkaalle kolmen työpäivän kuluessa. Raportin tulokset esitellään asiakkaalle vastaavan kokouksen yhteydessä.
Miten arviointi muodostuu
Kukin aihealue arvioidaan prosenttiasteikolla siten, että korkein mahdollinen arvio on 100 % ja alhaisin 0 %. Prosenttiasteikko jaetaan lisäksi neljään luokkaan suorituksen perusteella: erittäin hyvä (90–100 %), hyvä (75–89 %), tyydyttävä (60–74 %) ja puutteellinen (0–59 %).
Kukin teema on jaettu alateemoihin (esimerkiksi turvallisuuden teemassa on alateemoja kuten "tietokonelaitteiston ja ohjelmiston turvallinen asennus", "haittaohjelmien torjunta", "tietosuoja" jne.). Pääteemojen arviointien lisäksi asiakas saa yleiskuvan eri alateemojen arvioinneista.
Lisätiedot
Asiakkaan haastattelu tapahtuu yleensä Microsoft Teams -yhteydellä, mutta olemme myös valmiita tekemään haastattelun asiakkaan valitsemassa fyysisessä paikassa.
Haluamme korostaa, että CMA-arviointi on tarkoitettu ensiaskeleeksi organisaation tietoturvatilanteen ja kyberturvallisuuden pullonkaulojen kartoituksessa, eikä se korvaa perinteisiä tietotekniikkatarkastuksia, tietoturvariskien analyyseja ja pentestejä (englanniksi Penetration Testing).
CMA-arviointipalvelun tuotos
CMA-arviointipalvelun tuotos on tiivis ja visuaalisesti helposti ymmärrettävä raportti (sekä viroksi että englanniksi), joka sisältää seuraavat tiedot:
- CMA-arvioinnin yhteenlaskettu prosenttiosuus (0–100%)
- CMA-teemojen erilliset arvioinnit – suunnittelu, varautuminen, havaitseminen, reagointi, palauttaminen (0–100 %)
- tärkeimmät pullonkaulat ja niiden kuvaukset
- ehdotukset tilanteen parantamiseksi
- suunta-antavat arviot tilanteen parantamiseen tarvittavista resursseista
- CMA-arvioinnin vertailu samanlaisten yritysten arviointeihin.
Käännä uhat mahdollisuuksiksi
Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.
KPMG Baltics OÜ
+372 626 8700cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
Ota yhteyttä
${i18n('ask_more')}
Käyttäjäanalyysi
Käyttäjäanalyysi keskittyy kyberturvallisuuden heikoimman lenkin - käyttäjän, toimihenkilön — osaamisen kartoittamiseen ja lisäämiseen.
${i18n('ask_more')}
Uhka-analyysi
Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
${i18n('ask_more')}
Kypsyysanalyysi
Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.