Blogi

Tietoturvan auditointi

Tietoturvan auditointi on aina hyvä tapa aloittaa tietoturvan kehittäminen. Kuten suunnistaessa, täytyy tietää ensin missä on, jotta pystyy matkaamaan eteenpäin, samoin sanonta ”yhtä vahva kuin ketjun heikoin lenkki” sopii tietoturva-asioihin erinomaisesti. On täysin turha investoida voimakkaasti esimerkiksi mobiililaitteiden tietoturvaan, mikäli paljon todennäköisemmät kohteet, kuten käyttäjätunnukset, salasanat ja sähköposti on suojattu heikosti.

Pk-yritykselle soveltuva malli

Olemme toteuttaneet Jalo IT:llä kymmeniä tietoturvan auditointeja ja kehityshankkeita. Erilaisia malleja auditoinneille on useita, yksi tunnetuimmista lienee Katakri. Katakri on malli, jonka avulla viranomainen voi arvioida kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa.

Keskittyessämme erityisesti pk-yrityksien palvelemiseen, me olemme käyttäneet auditointimme pohjana Suomen Asianajajaliiton suorastaan erinomaista mallia, joka esitellään tässä: Tietoturva on jokaisen asianajajan ja asianajotoimistossa työskentelevän vastuulla – Asianajajaliitto

Lyhyesti, tietoturvan auditointi tällä mallilla sisältää seuraavat osa-alueet:

  • Henkilökunnan osaaminen
  • Toimitilat
  • Päätelaitteet, ohjelmistot ja päivittäminen
  • Verkkoyhteydet
  • Käyttäjätunnukset, salasanat ja tietojen kalastelu
  • Pääsy tiedostoihin ja varmuuskopiointi
  • Sähköinen viestintä

Pienen tai keskisuuren yrityksen tietoturvasta saadaan hyvä kokonaiskuva käymällä läpi nämä asiat. Käytännössä haastattelemme asiakkaan henkilökuntaa, sekä suoritamme teknisen penetraatiotestauksen, jossa käydään koneellisesti läpi kaikki yrityksen sisäverkosta löytyvät laitteet ja järjestelmät. Koneellisen testauksen kautta ympäristön potentiaaliset heikot kohdat pystytään tunnistamaan tehokkaasti. Lisää palvelusta ja hinnoittelusta pystyt lukemaan täältä: Tietoturvan auditointi.

Lopputuotoksena raportti nykytilanteesta ja suositukset

Tietoturvan auditoinnin lopputuloksena asiakkaamme saavat kaksi erillistä dokumenttia.

  1. Yhden A4:n mittainen, ulkopuolisen asiantuntijan arvio nykytilanteesta
  2. Tekninen dokumentaatio penetraatiotestauksesta ja haastatteluissa tehdyistä havainnoista, sekä suositukset jatkotoimenpiteistä

Ensimmäisen dokumentin näistä voi liittää esimerkiksi liiketoimintakauppojen due diligence -materiaaliin, sillä yhä useampi ostaja vaatii nykyisin selvityksen ostettavan yrityksen tietoturvan tilanteesta.

Mielestämme asianajotoimistot voivat käyttää samaa selvitystä dokumentoidessaan vastineen Suomen Asianajajaliiton (B 05.1 Tietoturvaohje) vaatimuksiin.

Vaihtoehtona Jalo IT:n asiantuntijapalvelut tai Terävä Premium

Valmiiksi tuotteistamassamme Terävä Premium -kokonaisuudessa useat tietoturvan perusasiat on mietitty puolestanne valmiiksi. Palvelua käyttöönottaessa mm. Microsoft 365 -ympäristöön, päätelaitteiden hallintaan ja käytettyjen ohjelmistojen päivitykseen liittyvät asiat tulevat kerralla kuntoon.

Käyttöönoton yhteydessä, autamme teitä tietenkin mielellämme myös verkkolaitteiden ja henkilöstön osaamiseen, tai tietoturvaohjeeseen liittyvissä asioissa!

Kirjoittaja:

Ville Soikkola

Toimitusjohtaja

Ville on kokenut tietotyön tehostaja ja Microsoft-tuottavuustyökalujen osaaja.

Lue myös