Missä tilassa tietoturva on organisaatiossasi? Millaisia tietoturvauhkia organisaatioosi kohdistuu? Ovatko tehdyt ja suunnitellut tietoturvaparannukset järkeviä ja oikein mitoitettuja? Millaisia ovat ovat organisaation tietoturvakäytännöt?
Tällaisia kysymyksiä saattaa nykypäivänä pyöriä yritysten johdon ja hallitusten jäsenten mielessä – varsinkin, kun tietoturva- ja kyberuhista ja hyökkäyksistä uutisoidaan päivittäin.
Epäselvä vastuunjako ja kommunikointi tietoturvakäytännöistä – yleisiä tietoturvakehityksen kompastuskiviä
Monissa yrityksissä ja organisaatioissa on nimetty tietoturvasta vastaava henkilö, joka raportoi johdolle tietoturvasta. Tietynlainen liiketoiminta voi edellyttää organisaatiolta myös omaa tietosuojavastaavaa. Kaikissa organisaatioissa tietoturvasta vastaavaa henkilöä ei kuitenkaan ole eivätkä organisaation tietoturvakäytännöt ole ajan tasalla. Kenties johdon tai hallituksen rooli tietoturvassa ei ole selkeä. Tai ehkäpä johtoryhmälle päätyvässä tietoturvan tilannekuvassa tieto ei ole sillä tasolla kuvattu, että se oikeasti auttaisi johtoa pääsemään kartalle tietoturvan tilasta.
Johdolle ei välttämättä ole olennaista tietää, että palvelimilta puuttuu tärkeitä käyttöjärjestelmäpäivityksiä. Tärkeämpää on ymmärtää, että tämän puutoksen takia liiketoiminnan jatkuvuuteen kohdistuu kohonnut riski, joka johtuu järjestelmän alttiudesta lunnashaittaohjelmalle.
Vastaavasti – teknistä haavoittuvuutta organisaation verkkopalvelussa ei ehkä tarvitse käsitellä hallituksen kokouksessa. Sen sijaan kohonnut riski mainehaitalle on syytä olla hallituksen agendalla, jos haavoittuvuus altistaa verkkopalvelun tietomurrolle, jossa asiakkaiden henkilötiedot voivat päätyä verkkorikollisten käsiin.
Tietoturvan tulee olla yritysten ja organisaatioiden johdon agendalla ainakin liiketoiminnan riskien ja jatkuvuuden näkökulmasta. Koska tietoturva on kuitenkin myös tekniikkaa, suojauksia ja kontrolleja tai hankalia termejä ja lyhenteitä, voi johdon toisinaan olla vaikea ymmärtää tietoturvan tilaa ja ohjata organisaatiota välttämään tietoturvan karikoita.
2NS Kompassi – organisaation tietoturvan apuväline, jota kaikki osapuolet ymmärtävät
Me 2NS:llä olemme toteuttaneet vuosien varrella tuhansia tietoturvaprojekteja asiakkaillemme. Näissä projekteissa olemme parantaneet asiakkaidemme tietoturvaa sovellusten, tietojärjestelmien tai tietoturvan hallinnan osalta sekä auttaneet luomaan hyvät tietoturvakäytännöt organisaatiolle.
Tämän tuhansien projektien kokemuksen halusimme 2NS:llä kiteyttää kattavaksi palveluksi, jonka avulla organisaation tietoturvan tila saadaan napakasti kartoitettua ja ilmaistua kielellä, jota sekä johto että tietoturvan ammattilaiset ymmärtävät: tästä syntyi 2NS Kompassi – tietoturvan tehokartoitus ja -raportti.
Miten 2NS Kompassi hyödyttää meitä?
2NS Kompassi on välittömästi hyödyllinen hallitukselle tai johtoryhmälle, joka haluaa varmistaa, ettei liiketoiminta keskeydy kyberuhkien takia. Yhtä lailla se on hyödyllinen tietoturvapäällikölle, joka miettii seuraavia panostuskohteita tai haluaa varmentaa, että nykyiset panostukset tuottavat oikeita tuloksia.
2NS Kompassi -palvelussa tietoturvan tilaa luodataan kolmelta suunnalta: tietoturvan johtamisen näkökulmasta, tietohallinnon ja tietojärjestelmien näkökulmasta ja kolmantena vielä organisaation julkisen kybernäkyvyyden suunnasta.
Näistä osa-alueista toteutettavilla haastatteluilla ja hakkeritiedustelulla 2NS Kompassi tuottaa organisaatiolle kuvan tietoturvan tilasta ja nostaa johdolle esiin olennaiset tietoturvariskit sekä auttaa ottamaan käyttöön toimivat tietoturvakäytännöt. Lisäksi se listaa tärkeimmät tietoturvan kehityskohteet. 2NS Kompassi on tehokas: tietoturvaraportti on hallitukselle, johtoryhmälle tai tietoturvapäällikölle esiteltävissä jopa kahdessa viikossa projektin käynnistyksestä.
Jos kyberuhkat mietityttävät sinun organisaatiossasi, ota käyttöön 2NS Kompassi ja suunnista sen avulla kohti parempaa ja selkeämpää tietoturvaa!
Juha Eskelin, Head of Security Operations, 2NS