26.09 2021

Kyberturvallisuuden kypsyystason arviointi auttaa näkemään laajemman kuvan

Onko yrityksesi kyberturvallisuus standardien mukainen ja riskejä saatu lievennettyä? Usein johtajasta saattaa tuntua, että yrityksensä kyberturvallisuustaso on sellainen kuin sen pitääkin olla. Valitettavasti tämä on usein väärinarviointi, eikä todellinen tilanne ole aivan yhtä hyvä. KPMG:n johtamislehti Foorum keskusteli aiheesta KPMG:n kyberturvallisuusasiantuntijan Igmar Ilvesin kanssa.
Nykyään suurin osa liiketoimista tehdään Internetissä, joten on yhä tärkeämpää varmistaa, että tietosi ovat turvassa uteliailta katseilta. Tältä osin auttaa kyberturvallisuuden kypsyystason arviointi (cyber maturIty assessment, CMA). Se auttaa havaitsemaan mahdolliset haavoittuvuudet ja ymmärtämään, mitä voidaan tehdä paremmin turvallisuuden varmistamiseksi.

KPMG:n kyberturvallisuusasiantuntijan Igmar Ilvesin mukaan CMA:n kohdalla ei ole väliä, onko organisaatio pieni vai suuri. "Ihmiset ajattelevat usein, että kyberturvallisuus on taattu jos talossa on ainakin yksi It-asiantuntija. Itse asiassa on mietittävä etukäteen ja kysyttävä itseltä, mitä seurauksia voi olla, jos ainoalla It-ammattilaisella ei ole riittävästi asiantuntemusta kyberturvallisuuden alalla, tai mitä tapahtuu, jos hänellä on asiantuntemusta, mutta hän yhtäkkiä päättää vaihtaa työpaikkaa ", Ilves sanoo.

Tämä ei tarkoita, että yritykseen pitäisi palkata toinenkin It-asiantuntija. Ilveksen mukaan riskejä voidaan pienentää muillakin tavoilla. Esimerkiksi pitämällä dokumentaation ajan tasalla niin, että tieto tietyistä salasanoista tai yrityksen omistamista tietokoneista on riittävän yksityiskohtaista ja selkeää.

Nykytilanteen kartoitus alkaa asiakkaan haastattelulla

Arvioidakseen paremmin yrityksen tai organisaation tietoturvatilannetta KPMG:n Viron yrityksen kyberturvallisuustiimi on kehittänyt edullisen palvelun, joka antaa yleiskatsauksen yrityksen valmiuksista suojata tietovaroja ja reagoida kyberuhkiin.

Kyseessä ei ole perinteinen It-auditointi, vaan palvelu, joka keskittyy monenlaisiin tietoturvanäkökohtiin asiakkaan erityispiirteiden ja heiltä kerättyjen tietojen perusteella. Asiakkaan toimihenkilöjen kanssa tehdään haastattelu, jossa heiltä kysytään yrityksen nykyisistä suojatoimista.

Ilves korostaa, että tärkeintä on vastata kysymyksiin mahdollisimman rehellisesti ja kuvata tilanne täsmälleen sellaisena kuin se on, sillä se auttaa luomaan selkeän ja konkreettisen kuvan nykyisestä tietoturvatilanteesta. Todisteita kuvattujen toimintojen tai vastausten tueksi ei ole tarpeen esittää.

Suunnittele, suojaa ja ehkäise

Näin ollen arvioinnin keskeinen toiminto on asiakkaan haastattelu, joka kestää yleensä puolestatoista tunnista kahteen tuntiin ja keskittyy neljään painopistealueeseen.

Ensimmäinen alue on suunnittelu, missä keskitytään yrityksen tieto- ja kyberturvallisuustoiminnan suunnitteluun, tietoisuuden kasvattamiseen kyberturvallisuudesta sekä johdon ja muiden avainhenkilöiden vastuisiin.

Seuraavaksi tarkastellaan suojeluun ja ennaltaehkäisyyn liittyviä erityistoimenpiteitä yhtiön tärkeimpien varojen turvaamiseksi.

Havaitsemista ja reagointia koskevilla kysymyksillä pyritään selvittämään, onko kyberhyökkäysten ja muiden uhkien havaitsemiseksi toteutettu toimenpiteItä ja mitä ne ovat.

Palauttamista käsittelevässä osiossa tarkastellaan, mitä toimenpiteitä on olemassa yrityksen liiketoiminnan palauttamiseksi mahdollisen kyberhyökkäyksen jälkeen jne.

Arvioinnin perusteella voidaan tehdä johtopäätöksiä

Kaikki haastattelukysymykset perustuvat alalla käytettäviin kansainvälisiin standardeihin ja menetelmiin, jolloin kullekin painopistealueelle tehdään erillinen arvio ja lasketaan yhteenlaskettu tulos. "Nimiä mainitsematta annamme asiakkaalle myös käsityksen, mikä hänen yrityksensä tilanne on verrattuna muihin Viron yrityksiin", Ilves sanoo.

Hän lisää, että arvioinnissa pärjäävät paremmin yritykset, jotka suorittavat It-auditointeja ja -testauksia säännöllisesti ja ovat jo ottaneet käyttöön tietyt standardit ja tietoturvakehykset.

"Yleensä asiakkaat ajattelevat, että heidän yrityksensä tilanne on parempi kuin se todellisuudessa on. Kyberturvallisuuden kypsyystason arvioinnin tulokset kuitenkin usein vahvistavat päinvastaista," Ilves sanoi.

Arvioinnissa otetaan huomioon yrityksen erityispiirteet

Ongelmat alkavat usein tietoturvan heikommasta lenkistä eli ihmisestä, joten haastatteluun kannattaa ottaa mukaan kaikki kyberturvallisuusalan päivittäisistä asioista perillä olevat toimihenkilöt. Arvioija lähettää kysymykset yritykselle ennen haastattelua.

Kyberturvallisuuden kypsyystason arviointeja tehtäessä olemme tietoisia siitä, että jokainen yritys ja organisaatio on erilainen. "Tavoitteena on kartoittaa todellinen tilanne, jotta ymmärrettäisiin, missä asioissa voitaisiin parantaa ja mitkä ovat suurimmat riskit", kyberturvallisuusasiantuntija selittää.

Arvioinnin jälkeen tuloksista esitellään analyysi yrityksen edustajille ja laaditaan raportti, joka sisältää arvioinnin lisäksi toimenpidesuunnitelman tilanteen parantamiseksi. "On tärkeää ymmärtää, että kyseessä ei ole syvällinen analyysi tai It-auditointi, vaan yleinen ja kattava arvio, joka riippuu pitkälti asiakkaalta saaduista tiedoista", Ilves korostaa.

Vaikka ihmiset ovatkin heikoin lenkki tietoturvassa, he ovat myös erittäin arvokkaita, koska heidän tarjoamansa tieto on olennaista kyberturvallisuusriskien pienentämisessä.



Igmar Ilves
Vanhempi kyberturvallisuusneuvoja
KPMG Baltics OÜ

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Narva mnt 5, 10117 Tallinna, Viro
${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.

Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.

Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.

Email again: