14.02 2023

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

 KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja muille organisaatioille tunnistaa kyberturvallisuushaavoittuvuutensa on kyberturvallisuuden kypsyystason arviointi.

Pitkässä haastattelussa KPMG Balticsin kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk ja KPMG Balticsin kyberturvallisuusasiantuntija Igmar Ilves kertovat, miten arviointi tehdään.
"Voimme esimerkiksi nostaa esille yrityksen kymmenen keskeistä ongelma-aluetta. Tehtävämme ei ole vain osoittaa puutteita, vaan myös selittää, miksi niihin puuttuminen on tärkeää", KPMG:n kyberturvallisuusasiantuntija Igmar Ilves sanoo.

Hänen mukaan lähes jokaisen haastattelun jälkeen asiakkaat ovat kiitollisia siitä, että heidän huomionsa kiinnitettiin asioihin, jotka olivat nenänsä edessä, mutta joita he eivät olleet huomanneet. "Yleensä ihmiset ajattelevat, että tilanne on parempi kuin se todellisuudessa on", Ilves lisää.

Miten virolaiset yritykset arvioivat yleisesti tietoturvaansa ja kyberturvallisuuttaan?

Mihkel Kukk: Viron Äripäev -talouslehden kanssa tekemämme kysely osoittaa, että yritykset pitävät tilannettaan hyvänä. Tämä voi johtua siitä, että saatavilla ei ole kovin paljon tietoa, jonka perusteella he voisivat arvioida tietoturvansa nykyistä tasoa. Yritykset olettavat usein, että kaikki on hyvin, koska mitään ei ole tapahtunut tähän mennessä. Heillä ei kuitenkaan välttämättä ole monia tosiseikkoja tai perusteluja [näkemyksensä tueksi].

Kokemuksemme osoittaa, että auditointi tai testaus voi paljastaa kaikenlaisia ongelmia, joista yritys ei ole ollut tietoinen. Toisin sanoen, todellinen tilanne on usein hieman erilainen kuin kuviteltu.

Igmar Ilves: Vaikka yritys ei ajattelisikaan, että sen tietoturvataso on täydellinen, he silti uskovat tason olevan tyydyttävä. Tämä voi johtua siitä, että yhtiö ajattele, ettei kyberhäiriöitä olekaan sattunut kohdalleen. Mutta tosiasia on se, että joka ikinen häiriö ei välttämättä ole sellainen, josta saadaan selville.

Monet rikolliset haluavat murtautua järjestelmääsi näin, että et huomaa sitä ollenkaan tai ainakaan heti. Jäävuoren vedenalaisen osan katsominen paljastaa todellisen tilanteen ja sen, onko häiriöitä sattunut. Tosielämän tilanteissa olemme nähneet asiakkaiden kanssa, että vaikka kaikki vaikuttaa hyvältä, on niin sanotusti jalanjälkiä, jotka todistavat jonkun todella murtautuneen heidän järjestelmäänsä.

Lyhyesti sanottuna yleisesti ajatellaan, että tietoturvataso on korkeampi kuin se todellisuudessa on. Se riippuu yrityksestä, koska tilanne on joillakin alueilla parempi kuin toisilla. Mutta yleinen suuntaus on, että jos mitään ei ole tapahtunut, niin ihmiset katsovat kaiken olevan hyvin.


Miten yritysten käsitykset tilanteestaan ovat muuttuneet viime vuosina? Ovatko ne paremmin mukautuneet todellisuuteen?

Kukk: Sanoisin pikemminkin, että tietoisuudessa on tapahtunut muutos. Tämä näkyy KPMG:n maailmanlaajuisesti tekemissä tutkimuksissa, jotka osoittavat, että yritysjohtajat ovat jo tiedostaneet kyberturvallisuusriskin yhdeksi tärkeimmistä riskeistään. Se on kuitenkin vähän niin kuin rahan kohdentamisen kanssa, että tietoisuus ja toiminta eivät välttämättä kohtaa. Vaikka kaikki tietävät, että rahan jakaminen on tärkeää, kaikki eivät ole vielä ryhtyneet toimiin. Vaikka yritys on luokitellut kyberuhat ykkösriskiksi, emme useinkaan näe, että toimintansa olisi sen mukainen.

It-auditoinnit, riskiarvioinnit ja pentestit (englanniksi Penetration Test) ovat työkaluja, joilla arvioidaan organisaation tietoturvaa ja kyberturvallisuutta. Miten yrityksen johtajan tai muun edustajan pitäisi päättää, mitä palveluja, missä määrin ja missä järjestyksessä olisi järkevää tilata?

Kukk: Kustannustehokkain tapa tunnistaa suurimmat puutteet on kyberturvallisuuden kypsyystason arviointi (englanniksi Cyber Maturity Assessment, CMA). Tämä on yksi CMA-palvelumme päätavoitteista – näyttää asiakkaille, mistä heidän tulisi aloittaa tietoturvansa parantaminen. Joissakin yrityksissä tilanne voi todellakin olla erittäin hyvä: kaikki menettelyt on dokumentoitu, ja politiikat ja säännöt ovat olemassa, mutta esimerkiksi järjestelmän palauttaminen laiminlyödään. CMA:n avulla saat selville, millä alueilla sinulla saattaa olla suurimmat puutteet ja mitä alueita tulisi käsitellä seuraavaksi.

Kyberturvallisuuden kypsyystason arviointi on samanlainen kuin It-auditointi, mutta se on yksinkertaisempaa, nopeampaa ja yrityksille halvempaa. ISO 27001 -standardin mukainen tavanomainen It-auditointi on monta kertaa kalliimpaa. CMA toimisi pohjana budjetin ja seuraavien toimintojen suunnittelulle, olivat ne sitten uuden teknologian käyttöönottoa, pentestausta, lisäohjelmistojen käyttöönottoa tai jotain muuta. Se auttaa yritystä saamaan kokonaiskuvan ja suunnittelemaan seuraavat askeleet.

Mitä eroa on It-auditoinnilla, pentestauksella ja It-riskien arvioinnilla, ja kuinka paljon aikaa ne vievät?

Kukk: Yksi eroista on se, että kypsyystasoa arvioitaessa emme kerää todisteita, koska oletamme, että riittävän ja totuudenmukaisen tiedon antaminen on yrityksen edun mukaista. Toisaalta It-auditointi edellyttää, että etsimme todellista näyttöä jokaisen väitteen tueksi, jotta se voidaan sisällyttää raporttiin. Kenelläkään, joka haluaa arvioida tasoaan, ei olisi motivaatiota kaunistaa tilannetta; muuten palvelussa ei olisi paljon järkeä.

It-auditointi vaatii huomattavasti enemmän todistusaineiston keräämistä, ja raportin laatiminen vie siksi enemmän aikaa. Se nostaa palvelun hintaa. Pentestaus menee askeleen pidemmälle – se on paljon teknisempi palvelu, jossa on ymmärrettävä, mitä testataan ja miksi. Ei ole mitään järkeä testata mitä tahansa. Tämä työ vaatii päteviä asiantuntijoita ja on melko kallista.

Yrityksen on aina järkevää tehdä riskiarviointi jollain tasolla. Yritystä on katsottava kokonaisuutena, analysoitava sen liiketoimintaprosesseja ja vaikutustenarviointeja – tämä vie yleensä enemmän aikaa ja resursseja. Se ei ole asia, jonka asiantuntijat voisivat suurissa yrityksissä tehdä nopeasti. Laajemman ja syvällisemmän analyysin tekeminen ja riskien kartoitus kestää yleensä kuukausia, mutta joissakin suuremmissa organisaatioissa jopa vuosia.

Ilves:  Kun yritys on tietoinen kyberturvallisuuden tärkeydestä, seuraava kysymys on, mille alueelle resursseja kannattaa panostaa. Yrityksillä on usein osaavia työntekijöitä, kuten tietoturvapäällikkö tai tietotekninen vastuuhenkilö, jotka tietävät, mihin resursseja tulisi kohdentaa kyberturvallisuuden parantamiseksi. Kokemuksemme kuitenkin osoittavat, että joskus nämä päätökset tehdään mututuntumalla.

Tässä CMA – tieto- ja kyberturvallisuuden kypsyystason arviointi – voi auttaa yrityksen avainhenkilöitä. Teemme heidän kanssaan haastattelun, jossa he antavat meille tarpeelliset tiedot mahdollisimman rehellisesti. Analysoimalla saatuja tietoja saamme viitteitä alueista, joihin asiakas voisi jatkossa kohdentaa rahaa.

Mutta kuten sanoin, emme kerää todisteita, ja näin ollen CMA:n tulokset eivät voi olla täydellisiä. Se on kuitenkin varmasti parempi kuin kuluttaa rahaa satunnaisesti tai tekemättä mitään. Meillä on ollut tapauksia, joissa arvioitava yritys on katsonut järjestelmänsä olevan hyvin suojattu. Pentestaus kuitenkin osoitti, että näin ei ollut. Päinvastoin – käytännössä otimme heidän järjestelmänsä haltuumme ensimmäisestä päivästä lähtien. Tämä ei kuitenkaan tee CMA-palvelusta huonompaa. Otammekin aina huomioon, että CMA:n tulokset voivat olla harhaanjohtavia, sillä yrityksen avainhenkilöt eivät välttämättä ole tietoisia kaikista puutteista.

CMA-palvelu on varmasti arvokas, ja sen hinta ja nopeus houkuttelevat vaihtoehtoisiin palveluihin verrattuna. CMA on parempi kuin testata satunnaisesti joitain järjestelmiä vain rastittaaksesi ne pois luettelosta. Sellainen lähestymistapa ei olisi kustannustehokas. Ymmärrettävästi yritykset haluavat leikata kustannuksia, joten niiden on kohdistettava resurssinsa sinne, missä riskit ovat suurimmat. Tässä CMA-palvelu voi olla erittäin hyödyllinen.

Mitä CMA sitten on, mitä prosesseja se sisältää ja miten asiakas hyötyy siitä?

Ilves: It-auditoinnissa, It-riskien arvioinnissa ja teknisessä turvatestauksessa noudatamme käytännönläheistä lähestymistapaa, eli haastattelemme yrityksen henkilökuntaa, tarkistamme turvatoimien tehokkuuden, hajotamme sen järjestelmiä, tarkastelemme konfiguraatioita jne. CMA puolestaan on yksinkertaisempi, koska se perustuu vain haastatteluihin.

Meillä on viisi eri painopistealuetta ja yli sata kysymystä, jotka kattavat olennaisesti tietoturvaloukkauksiin valmistautumisen vaiheet. Ensimmäinen CMA:n painopistealue on suunnittelu. Tämä sisältää kysymyksiä tietoturvapolitiikasta ja tietoturvan hallinnasta. Seuraavaksi keskitymme suojaukseen, jossa käsittelemme erityisiä turvamekanismeja sekä It-alalla että esimerkiksi fyysisen turvallisuuden osalta. Jos kyberhäiriö kuitenkin tapahtuu, seuraava askel on havaita se mahdollisimman pian. Tässä vaiheessa pohditaan, miten häiriö voidaan havaita, kun se on ohittanut yhtiön puolustuslinjat. Tästä syystä kolmatta vaihetta kutsutaan "havaitsemiseksi".

Seuraavana painopistealueena on reagointi, jossa analysoimme muun muassa, onko yhtiöllä määritellyt vastuut ja menettelytavat häiriöiden hallintaan. Tämä tarkoittaa esimerkiksi sitä, että jos saat puhelun keskellä yötä havaitusta palvelimeen tunkeutumisesta, mitä tapahtuu seuraavaksi: keneen otetaan yhteyttä ja kuinka nopeasti, kuka saapuu tapahtumapaikalle, kuka käsittelee häiriötä jne. Haastattelussamme kysymme, onko asiakas kehittänyt erilaisia skenaarioita eri tilanteisiin.

Arvioinnin viimeinen osa keskittyy aiemman tilanteen palauttamiseen, tästä syystä painopistealueen otsikko on "palauttaminen". Jos esimerkiksi palvelimeen on hyökätty ja se on kaatunut, tarkistamme, onko yritys dokumentoinut, kenen on palautettava palvelu ja kuinka nopeasti.
Nämä viisi painopistealuetta kattavat siis kyberhyökkäykseen valmistautumisen kaikki vaiheet. Jokaisesta aiheesta on monia kysymyksiä, ja mitä rehellisemmin asiakas niihin vastaa, sitä parempi. Kysymykset perustuvat useisiin kansainvälisiin standardeihin ja parhaisiin käytänteisiin ja kattavat kaikki tietoturvan keskeiset alueet.

Kun tämä kahden tunnin haastattelu on tehty, analysoimme saadut vastaukset. Jos kysymyksiä jää avoimeksi, otamme asiakkaaseen uudelleen yhteyttä. Joihinkin kysymyksiin on kyllä/ei vastaus, mutta ei kaikkiin. Otamme myös huomioon tiettyjä erityispiirteitä. Esimerkiksi jotkut turvatoimenpiteet eivät välttämättä ole 100-prosenttisesti toimivia, mutta vaikkapa 80-prosenttisesti.

Kun olemme tehneet haastattelun, käyneet läpi kaikki painopisteet ja analysoineet saadut vastaukset, laadimme sen pohjalta raportin. Se on jaettu useisiin osiin. Ensin määritämme yhteenlasketun prosenttiosuuden kunkin viiden painopistealueen tulosten perusteella, jolloin 0 % on huonoin mahdollinen ja 100 % paras mahdollinen tulos. Saatujen prosenttiosuuksien mukaan yhteenlaskettu prosenttiosuus on "erittäin hyvä", "hyvä", "tyydyttävä" tai "puutteellinen".

Yhteenlaskettu prosenttiosuus on suhteellisen yksinkertainen ja selkeä osoitus yrityksen yleisestä tietoturvatasosta. Yhteenlaskettu prosenttiosuus kertoo myös asiakkaan sijoituksen tietoturvaa nähden samankaltaisien yritysten joukossa. Sanotaan, että yrityksen yhteenlaskettu prosenttiosuus on 65 %, mutta kilpailevien yritysten keskimääräinen yhteenlaskettu prosenttiosuus on noin 75 %. Tämä osoittaa yritykselle, että heidän on varmasti pantava paremmaksi.

Seuraavaksi tarkastelemme yksittäisiä tuloksia viidellä aiemmin mainitsemallani painopistealueella (suunnittelu, suojaus, havaitseminen, reagointi ja palauttaminen). Samoin kuin yhteenlaskettu tulos, kunkin painopistealueen tulokset ilmaistaan prosentteina.

Yhteenlaskettua prosenttiosuutta ja kunkin painopistealueen yksittäisiä tuloksia määritettäessä varmistamme, että otamme huomioon yrityksen erityispiirteet eli sen toimialan, koon ja muut näkökohdat.

Muuten, niiden yritysten määrä, jotka ovat saaneet CMA-arvioinnin "erittäin hyvä", on melko pieni – yhdestä viiteen prosenttiin asiakkaistamme.

Raportin viimeinen luku sisältää suosituksia yritykselle kyberturvallisuuden tason parantamiseksi. Tässä korostetaan tärkeimmät asiat ja toimenpiteet, joihin tason nostamiseksi tulisi ryhtyä.

Joskus voimme esimerkiksi nähdä CMA-tulosten perusteella, että yrityksellä on tietoturvapolitiikka ja siihen on määritelty vastaavat menettelytavat ja prosessit, mutta yrityksen henkilökunta ei varsinaisesti noudata niitä. Sitten voimme tehdä suosituksia tilanteen parantamiseksi ja arvioida, kuinka paljon aikaa ja rahaa niiden toteuttaminen vaatii.

Yhteenvetona voidaan todeta, että CMA:n haastattelu ja sen pohjalta laadittu raportti käsittelevät kaikkia tärkeimpiä tietoturvan ja kyberturvallisuuden painopistealueita ja tarjoavat kuvaavan arvion yhtiön nykyisestä tietoturvatasosta sekä suosituksia tietoturva-alan tulevista toimenpiteistä.

Kenelle haastattelukysymykset yleensä osoitetaan, It-päällikölle vai ylimmälle johtajalle?

IlvesVoisimme sanoa, että kysymysten pitäisi mennä It-päällikölle tai tietoturvapäällikölle, mutta emme välttämättä tiedä minkäänlaiset virat ja toimet asiakkaan yrityksessä/organisaatiossa ovat ja miten vastuut jakautuvat. Tapamme monia asiakkaistamme ensimmäistä kertaa kun tarjoamme heille CMA-palvelua. Lähestymistapamme on lähettää kaikki kysymykset etukäteen ja pyytää asiakasta ottamaan mukaan henkilökunnan jäsenet, jotka pystyvät vastaamaan niihin.

Koska kysymyksiä ja alueita on melko paljon, yksi henkilö ei useinkaan voi olla perillä kaikesta. Yrityksen tehtävänä on tunnistaa toimihenkilöt, joilla on asiaankuuluvaa osaamista ja tietoa, esim. järjestelmänvalvojat, fyysisestä turvallisuudesta vastaava henkilö jne.

Kuinka yksityiskohtaisia kysymykset ovat ja kuinka kauan niihin vastaaminen yleensä kestää?

Ilves: Haastattelu on melko tiivis, mutta se perustuu KPMG:n metodologiaan ja palvelujemme laatuun, sillä haastattelijat ovat alansa asiantuntijoita. Kysymykset ovat melko yksityiskohtaisia. Siihen kuluu kaksi tuntia tai hieman kauemmin.

Asiakas voi myös lähettää meille osan vastauksista ennen haastattelua, mutta se ei ole menetelmän kannalta vaatimus. Lähetämme kysymykset asiakkaalle ennen haastattelua, jotta hän tietäisi mitä odottaa. Esimerkiksi It-johtaja ei välttämättä tiedä vastauksia kaikkiin kysymyksiin, mutta heillä voi olla tiimissä asiantuntijoita, jotka saattavat olla paljon paremmin perillä järjestelmän palauttamisesta. Tässä tapauksessa It-johtaja joko ottaa henkilön mukaan haastatteluun tai saa häneltä vastaukset etukäteen.

Riippuvatko nämä kysymykset yrityksen toimialasta, koosta ja kokemuksesta vai ovatko ne kaikille samat?

Ilves: Olemme suunnitelleet kysymykset niin, että siitä hyötyvät kaikki yritykset koosta riippumatta. Esimerkiksi käytämme myös monivalintakysymyksiä. Monet yritykset ulkoistavat It-hallinnan, eikä niillä ole omia It-alan toimihenkilöitä. Otamme tämän huomioon, mutta jätämme osan kysymyksistä pois, jos heillä on It-alan toimihenkilöitä talossa. Yleisesti ottaen sillä ei ole väliä, onko yritys pieni, keskikokoinen vai suuri – otamme niiden koon huomioon haastatteluja tehdessämme.

Kukk: Jos haastattelutulosten analysoinnin aikana herää lisäkysymyksiä, otamme asiakkaan yhteyttä. Kun raportti on valmis, esittelemme sen asiakkaalle, ja tarjoamme myös mahdollisuuden keskustella tuloksista yhdessä. Tämä auttaa asiakasta ymmärtämään paremmin analyysin aikana esiin tulleita haavoittuvuuksia.

Onko se enemmänkin teknisen osaamisen arviointia vai tarkastellaanko työ- ja liiketoimintaprosessien ohella myös inhimillistä tekijää eli toimihenkilöitä?

Ilves: Me tarkastellaan kaikkea. Suunnittelun painopistealueen yhteydessä tarkastellaan prosesseja ja toimihenkilöitä. Suojauksen painopistealue puolestaan kattaa melko tekniset kysymykset, esimerkiksi koskien monivaiheista todentamista, VPN:ää tai reititintä.

Kukk: Haastattelu perustuu erilaisiin kansainvälisiin standardeihin, jotka kattavat nämä eri alueetkin. Jotkut voivat olla hyvin teknisiä, kun taas toiset keskittyvät enemmän prosesseihin tai ihmisiin. Emme mene liian yksityiskohtiin, mutta saamme tietoa siitä, onko tietyt osa-alueet yrityksessä käsitelty ja missä määrin. Joskus voi käydä ilmi, että joitain prosesseja on toteutettu, mutta niitä ei ole esimerkiksi dokumentoitu kunnolla. Vaikka ratkaisu olisikin vain osittainen, saamme ainakin käsityksen nykyisestä tilanteesta.

Silti, mitä yritykseltä tarkalleen ottaen kysytään?

Ilves: Suunnittelun painopistealueetta tarkastellessamme kysymme esimerkiksi tietoturvan hallinnasta, riskien arvioinnista sekä laitteisto- ja ohjelmistoluetteloista. Teknisiä toimenpiteitä käsitellään suojauksen painopistealueeseen liittyvien kysymysten yhteydessä. Esimerkiksi haittaohjelmien ehkäisyyn, sovellusten tietoturvaan, tietosuojaan, sähköpostin ja internetin käytön turvallisuuteen jne. liittyy useita kysymyksiä.

Jotkut kysymykset ovat vapaaehtoisia, kuten langattomaan verkkoon liittyvät kysymykset, koska monet yritykset eivät käytä sitä pääverkkonaan, vaan se on tarkoitettu ainoastaan vieraille. Havaitsemisen painopistealueen kohdalla kysymme lokien seurannasta ja analysoinnista, tietoturva-aukkojen havaitsemisesta ja analysoinnista sekä simuloitujen kyberhyökkäysten suorittamisesta. Reagointi on painopistealue, joka käsittelee sitä, miten turvavälikohtauksiin varaudutaan ja miten niitä hallitaan. Palauttaminen koskee muun muassa palauttamiskykyä ja varmuuskopiointia.

Analysoituamme kaikki vastaukset, saamme jonkinlaisen käsityksen yrityksestä. Sen perusteella voimme korostaa kymmenen keskeistä ongelma-aluetta. Meidän tehtävämme ei ole vain osoittaa puutteita, vaan myös selittää, miksi niiden korjaaminen on tärkeää.

Esittelemme raportin asiakkaalle, jos hän haluaa. Esittelyn aikana asiakas saattaa haluta kysyä lisäkysymyksiä ja näinolleen keskustelu tuo raporttiin lisäarvoa. Lisäksi raportti sisältää ohjeellisen toimintasuunnitelman, jossa hahmotellaan tietyt priorisoidut tehtävät sekä ohjeellinen aika ja kustannukset.


Onko raportista toiseen toistuvia asioita, joita on Viron yhteydessä korostettava usein?

Ilves: Yrityksillä ei pääsääntöisesti ole tietoturvapolitiikkaa tai se on puutteellista. Lisäksi It-riskiarvioinnin suorittaneita yrityksiä ei ole kovin montaa. Etenkään pienet yritykset eivät ymmärrä riskien arvioinnin merkitystä ja etuja. Melkein jokaisen haastattelun jälkeen tällaiset asiakkaat toteavat, että kiinnitimme heidän huomionsa puutteisiin, jotka olivat aivan heidän nenänsä edessä, mutta joita he eivät olleet huomanneet.

Esimerkiksi pienessä verkkokauppayrityksessä voi olla vain yksi It-asiantuntija, joka voi yllättäen ottaa lopputilin tai sairastua. Tämä on suuri riski tällaiselle yritykselle. Mitä sitten voi tehdä? Yksi mahdollinen riskinhallintakeino olisi dokumentoida kaikki asiaankuuluvat tiedot: It-laitteiden sijainti, yhteyksien kuvaus, käyttäjien käyttöoikeuksien hallinta, hätäohjeiden sijainti jne. Tämä estää ainoata It-ammattilaista ottamasta mukanaan kaikki tietonsa, kun hän päättää lähteä yrityksestä.

Sen sijaan suurissa yrityksissä varsin yleinen ongelma on se, että It-palveluiden hallinta usein ulkoistetaan ja oletetaan, että palveluntarjoaja ottaa vastuun myös tietoturvasta. Hyvin usein näin ei kuitenkaan ole. Tosiasia on, että yritys saa sovittua maksua vastaan vain sen palvelun, josta on sovittu toisen osapuolen kanssa. Kun yritys ulkoistaa It-palvelujen hallinnan, urakoitsija tekee juuri sen – myöntää käyttöoikeudet, asentaa tietokoneita jne. Vaikka turvallisuus on jossain määrin taattu, urakoitsija ei käsittele It-turvallisuutta ennakoivasti ja kokonaisvaltaisesti, ellei siitä ole erikseen sovittu vastaavassa yhteistyösopimuksessa.


Mitä asiakkaat yleensä tekevät raportin tuloksilla? Ehdotatteko jatkotoimia vai tarjoatte myös lisäpalveluita?

Ilves: Ensimmäinen reaktio on usein hiljaisuus. He miettivät asioita alueilla, joissa heidän mielestään ei ollut ongelmia, mutta missä ongelmia kuitenkin ilmeni. On asiakkaita, joista emme kuule enää koskaan, mutta on myös asiakkaita, jotka ottavat meihin yhteyttä vaikkapa puolen vuoden kuluttua ja haluavat parantaa tilannettaan. Reaktiot ovat erilaisia. Olemme kuitenkin suunnitelleet palvelun tavalla, joka ei välttämättä vaadi meiltä mitään seurantatoimenpiteitä. Raportti on riittävä sinänsä; siinä on tarpeeksi tietoja.

Kukk: Reaktiot riippuvat siitä, miten yritys kokee It-turvallisuuden tärkeyden ja löytyykö siihen resursseja. Suurin osa seurantatoimenpiteistä vaatii henkilöresursseja tai taloudellisia resursseja. Se, että yritys tulee tietoiseksi riskeistä, ei välttämättä johda konkreettisiin toimenpiteisiin niiden torjumiseksi.

Tavoitteenamme on näyttää, mikä on yrityksen nykyinen tilanne. Se on yrityksestä kiinni, ostaako se lisäpalveluita ja millaisia palveluita se pitää tarpeellisina.

TAUSTA

Kyberturvallisuuden kypsyystason arvioinnin painopistealueiden yhteenlasketun prosenttiosuuden laskeminen

  • Kyberturvallisuuden kypsyystason arvioinnin (CMA) tulos on painopistealueiden yhteenlaskettu prosenttiosuus. Se lasketaan ja esitetään prosentteina siten, että korkein mahdollinen arvio on 100 % ja alhaisin 0 %.
  • Yhteenlaskettu prosenttiosuus on jaettu neljään eri luokkaan: 'puutteellinen' (0–59 %), 'tyydyttävä' (60–74 %), 'hyvä' (75–89 %) ja 'erittäin hyvä' (90–100 %). Luokka ja yhteenlaskettu prosenttiosuus muodostavat yrityksen kyberturvallisuuden kypsyystason kokonaisarvion.
  • Yhteenlaskettu prosenttiosuus perustuu viiden painopistealueen – suunnittelu, suojaus, havaitseminen, reagointi ja palauttaminen – arvioihin. Kuten yhteenlaskettu tulos, nämä yksittäiset arviot lasketaan prosentteina siten, että korkein mahdollinen arvio on 100 % ja alhaisin 0 %.
  • On tärkeää korostaa, että jokaiselle painopistealueelle on määritetty erilainen painoarvo yhteenlaskettua prosenttiosuutta laskettaessa. Kunkin painopistealueen prosentuaalinen osuus yhteenlasketusta prosenttiosuudesta riippuu haastateltavan yrityksen tyypistä, ja sen määrittää kyberturvallisuuden kypsyystason arvioija KPMG:n metodologian perusteella.
  • Yhteenlaskettu prosenttiosuus määritetään KPMG:n asiantuntijoiden yrityksen avainhenkilöiden kanssa tekemän haastattelun pohjalta ja KPMG:n menetelmän pohjalta kyberturvallisuuden kypsyystason arvioinnin määrittämiseksi.
  • Kaikki raportit laaditaan rinnakkain viroksi ja englanniksi.

HYVÄ TIETÄÄ

Kyberturvallisuuden kypsyystason arviointi paljastaa tärkeimmät ongelma-alueet, esimerkiksi

  • Yhtiöllä ei ole tietoturvapolitiikkaa.
  • Yhtiö ei ole tehnyt tietoturvariskien arviointia.
  • Yhtiö ei tee sisäisiä tai ulkoisia (riippumattomia) auditointeja tietojärjestelmilleen.
  • Yritys ei ole varma, että sen ulkopuolisilla kumppaneilla (palveluntarjoajilla) on liiketoiminnan jatkuvuussuunnitelmat ja että ne ovat riittäviä ja niitä testataan säännöllisesti.
  • Yhtiö ei ole ryhtynyt teknisiin toimenpiteisiin salliakseen ulkoisten tallennuslaitteiden käytön vain silloin, kun siihen on liiketoiminnallinen tarve ja dokumentoitu vahvistus on saatu.
  • Yhtiö ei ole ryhtynyt ohjelmistoteknisiin suojaustoimenpiteisiin hyökkäyskoodin suorittamisen estämiseksi.
  • Yhtiö ei ole ottanut käyttöön teknisiä ratkaisuja pystyäkseen havaitsemaan piilotettuja syötteitä.
  • Yrityksen Wi-Fi -verkko voi olla vaarassa.
  • Yritys ei ole estänyt pääsyä yleisimmille tiedostonjakosivustoille ja yleisimpiin viestikeskuksiin.
  • Tietojärjestelmän käyttäjätilien ja käyttöoikeuksien tarkastuksia ei tehdä johdonmukaisesti.

Igmar Ilves
Vanhempi kyberturvallisuusneuvoja
KPMG Baltics OÜ

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Käännä uhat mahdollisuuksiksi

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
 ${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.
Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.
Email again: