Kyberturvallisuuden arvioinnit ja kartoitukset
Kyberturvallisuuden kartoitukset yrityksille ja organisaatioille
Liiketoiminta on yhä enemmän tietotekniikkaan ja tietoverkkoihin perustuvaa, nykyaikainen yritysvakoilu tai tietojen varastaminen on maailmanlaajuista ja sitä tapahtuu näkymättömästi tietoverkkojen välityksellä.
Netox tarjoaa kahdenlaista organisaatioon / IT-infrastruktuuriin kohdistuvaa kyberturvallisuuskartoitusta.
- NTXSURVEY — liiketoimintariski-painotteinen yleiskuvaus yrityksen IT-ympäristöstä, tiedonhallinnasta ja olennaisista suojausmekanismeista sekä hallinnollisesta että teknisestä näkökulmasta
- NTXSWEEP — hallinnollisen ja teknisen kyberturvallisuuden vaatimustenmukaisuusarviointi valittua viitekehystä vastaan, esim. CyberSafe, ISO 27001, KATAKRI, NIST, OWASP ASVS ja GDPR
SURVEY ja SWEEP soveltuvat kaikenkokoisille yrityksille ja organisaatioille. Ne antavat vastauksia ja ideoita kyberturvallisuuden kehittämisen tiekartalle, ja eväitä aloittaa systemaattinen kyberturvallisuuskentän kehittäminen. Huolimatta siitä, missä nykytilanteen vaiheessa ollaan, tärkeintä on päästä aloittamaan.
Kyberturvallisuuden yleiskatsaus
NTXSURVEY -kartoitus antaa yritykselle yleiskuvauksen liiketoiminnan tietoteknisistä vaatimuksista, olennaisista kyberturvallisuusriskeistä ja kehittämissuunnitelman yrityksen kyberturvallisuuden johtamiseen. Kartoituksen lopputuloksena asiakas saa käyttöönsä loppuraportin, joka sisältää yleiskuvauksen liiketoiminnan tietoteknisistä vaatimuksista, kyberturvallisuusriskien kartoituksen ja priorisoinnin, kybersuojausten tavoitetason määrittelyn, IT-infrastruktuurin ylätason dokumentaation ja kyberturvallisuuden kehittämisstrategian alustavan version.
Hyvä ymmärrys yrityksen tietoteknisestä ympäristöstä ja sen toiminnasta johtaa usein päällekkäisyyksien ja tehostamismahdollisuuksien tunnistamiseen, mikä mahdollistaa toiminnan yksinkertaistamisen ja kustannusten karsimisen. Samalla kokonaisuus tulee hallittavammaksi ja tietoturva paranee.
Kartoituksen lähestymistapa
NTXSURVEY -kartoituksessa käydään yhdessä asiakkaan kanssa läpi yrityksen liiketoiminnan, riskit ja tietotekninen toimintaympäristö. Kartoitus kattaa toimipisteet, tietojärjestelmät ja -verkot, rajapinnat ja tietovirrat, sekä työasemaympäristön ja tietoturvallisuuden hallintamallien läpikäymisen. Prosessissa tunnistetaan toimialalle tyypilliset ja yrityskohtaiset kyberturvallisuusriskit. Yrityskohtaisesti määritellään kyberturvallisuuden tavoitetaso ja keskeiset suojausmekanismit. Tällä varmistetaan suojausten oikea mitoittaminen.
Kyberturvallisuuskartoituksen tiedonkeruuvaihe toteutetaan keskimäärin kahdessa kartoitustapaamisessa asiakkaan kanssa, ja ne voidaan toteuttaa joko asiakaskäynteinä tai etäkokouksina, tai näiden yhdistelminä. Toteutus sisältää haastatteluja, liiketoiminnan ja tietoteknisen ympäristön kartoitusta ja tietojärjestelmien, palvelinympäristön ja verkkoliitäntöjen sekä esimerkiksi käytettävien pilvipalveluiden systemaattista läpikäyntiä. IT-ympäristön toimintaperiaatteet ja nykyiset suojausmekanismit kartoitetaan ja dokumentoidaan.
Kartoitus valittua viitekehystä vastaan
NTXSWEEP on kyberturvallisuuden vaatimustenmukaisuusarviointi sekä hallinnollisesta että teknisestä näkökulmasta valittua viitekehystä vastaan. NTXSWEEP arvioi kohdeorganisaation kyberturvallisuuden hallintajärjestelmää, kuten myös teknistä IT-ympäristöä että sen hallintamallia alan parhaiden käytänteiden ja/tai valittujen vaatimusten mukaisesti. Palvelua voidaan soveltaa sekä organisaatio- että järjestelmätasolle, esimerkiksi extranet-palveluun tai verkkokauppaan.
NTXSWEEP -kartoitus voidaan tehdä mitä tahansa yleistä ja sopivaa tietoturvan viitekehystä vasten, kattaen sekä hallinnolliset että tekniset vaatimukset. Tyypillisiä viitekehyksiä ovat esimerkiksi CyberSafe, ISO 27001, KATAKRI, NIST, OWASP ASVS (Application Security Verification Standard) ja GDPR (EU:n tietosuoja-asetus). CyberSafe Company -viitekehyksemme soveltuu pienemmille organisaatioille, joilla on vähemmän vaatimuksia raskaille hallinnollisille kontrolleille.
Asiakas saa korkealaatuisen analyysin yrityksen IT-arkkitehtuurista ja -ympäristöstä, sovelluksista, palvelimista ja verkoista, sekä ohjeistuksen, miten kohdata tunnistetut kyberturvallisuuspuutteet. CyberSafe Company -sertifikaatti myönnetään, kun CyberSafe -viitekehystä vastaan tehdyssä kartoituksessa kaikki pakolliset vaatimukset täyttyvät.
Käytännönläheiset ja selkeät ohjeet
NTXSURVEY-kartoituksen tiedonkeruuvaiheen jälkeen Netoxin kyberturvallisuusasiantuntijat analysoivat kerätyt tiedot ja määrittelevät kohdeyrityksen kyberturvallisuuden nykytilan, tavoitetason sekä alustavan kyberturvallisuuden kehittämissuunnitelman. Kerättyjen tietojen ja ymmärryksen perusteella laaditaan kartoitusraportin liitteeksi teknistä dokumentaatiota yrityksen IT-ympäristöstä.
Netoxin kyberturvallisuuskartoituksen vahvuutena on asiakkaan tarpeisiin mitoitetut ja käytännönläheiset toimintaohjeet, joilla organisaatio pääsee kyberturvallisuuden kehittämisessä konkreettisesti eteenpäin.

Tietoturvatestaus ja varmentaminen
Tietojärjestelmiin tietoturvallisuutta ja toimintavarmuutta
Tietoturvatestaus ja varmentaminenKysy lisää asiantuntijoiltamme
Me pohdimme yhdessä kanssanne, millaisista hallituista palveluista teille olisi eniten hyötyä.