XCure Solutions Oy. Tietoturvatason ja tarpeen kartoittaminen



Samankaltaiset tiedostot
HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Standardien PCI DSS 3.0 ja Katakri II vertailu

Testaajan eettiset periaatteet

Standardit tietoturvan arviointimenetelmät

Tiedostojen jakaminen turvallisesti

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Tietoturvallisuuden ja tietoturvaammattilaisen

TIETOTURVAPOLITIIKKA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietoturva ja viestintä

Vihdin kunnan tietoturvapolitiikka

Kyberturvallisuus kiinteistöautomaatiossa

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Tutkimus web-palveluista (1996)

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Sovelto Oyj JULKINEN

Varmaa ja vaivatonta viestintää kaikille Suomessa Viestintätoimialan muutostekijät 2010-luvulla

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Sonera perustaa Helsinkiin Suomen suurimman avoimen datakeskuksen. #SoneraB2D

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

TIETOTURVA- POLITIIKKA

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

PK-yrityksen tietoturvasuunnitelman laatiminen

Tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Suorin reitti Virtu-palveluihin

Pilvipalveluiden arvioinnin haasteet

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Valtorin strategia Strategian painopisteet ja tavoitteet

Espoon kaupunkikonsernin tietoturvapolitiikka

TIETOPAKETTI EI -KYBERIHMISILLE

1 Lokakuu Mikä on työmaan esimiehen vastuu työturvallisuudessa Jukka Lintunen

Tietoturvapäivä

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista)

Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Miten hyödynnän tietoa johtamisessa ja toiminnan kehittämisessä? Ermo Haavisto johtajaylilääkäri

Laatua ja tehoa toimintaan

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Varmista asiakastyytyväisyytesi. ValueFramelta tilitoimistojen oma toiminnanohjaus- ja asiakaspalvelujärjestelmä pilvipalveluna. Suuntaa menestykseen

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Verkostoautomaatiojärjestelmien tietoturva

Tietoturvapolitiikka

SOFOKUS KATSASTUS Katsomme verkkopalvelusi konepellin alle.

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Eurooppalainen yleishyödyllisten sosiaalipalvelujen laatukehys

Kiila-viitearkkitehtuuri. Jani Harju,

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

-kokemuksia ja näkemyksiä

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Testauksen tuki nopealle tuotekehitykselle. Antti Jääskeläinen Matti Vuori

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Project-TOP QUALITY GATE

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Lapsuuden arvokas arki ARVO-hankkeen koulutus PRO koulutus Ulla Rasimus ja konsultointi

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Järjestelmäarkkitehtuuri (TK081702) Avoimet web-rajapinnat

Toimintatapojen uudistamisen kärkihankkeet: digitalisaatio,

Lääkehoidon riskit

Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

Tietosuojaseloste. Trimedia Oy

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

MITÄ ON GEMBA-WALK? Janne Metsolahti Työnjohtaja YIT Infra Oy

Mikä on hyvä käytäntö, miten sen tunnistaa ja miten se on hyödynnettävissä

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

Kymenlaakson Kyläportaali

Palveluintegraation muotoilu ohjeet yhteistyöprosessin toteutukseen

Tietoturvaa verkkotunnusvälittäjille

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Eläketurvakeskuksen tietosuojapolitiikka

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Eurooppalaiset menettelysäännöt sovittelijoille

konsultointia parhaasta päästä TYÖMME ON ETSIÄ SÄÄSTÖJÄ. HALUATKO SINÄ SÄÄSTÖJÄ.

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Tietopolitiikka Yhteentoimivuus ja lainsäädäntö , Sami Kivivasara ICT-toimittajien tilaisuus

Onnistunut SAP-projekti laadunvarmistuksen keinoin

Auditoinnit ja sertifioinnit

Espoon kaupunki Tietoturvapolitiikka

Kansallinen digitaalinen kirjasto

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat

KONE Kuntotutkimus. Ammattilaisen arviointi hissin nykytilasta. Tehokasta kiinteistönhoitoa

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Espoon kaupunki Tietoturvapolitiikka

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Miten löydän Sen Oikean? Senaattoritilaisuus Liisa Paasiala, Senior Consultant

Verkostoautomaatiojärjestelmien tietoturva

Transkriptio:

XCure Solutions Oy Tietoturvatason ja tarpeen kartoittaminen

Tietojärjestelmien turvaamiseen tarvitaan paljon enemmän kuin palomuuri. Jokaisella organisaatiolla on erilaiset tietoturvatarpeet ja vaatimukset. Luottamuksellisen tiedon tulee olla saatavilla niillä henkilöillä, joilla on siihen tarve työtehtävien hoitamiseksi. Oikeuksien hallinnoinnissa tulee huomioida eri ryhmät; työntekijät, partnerit ja asiakkaat. On tärkeää tehdä kattava tietoturvakartoitus. Tällöin tarkastetaan, että tiedot ovat turvattuna korkeimmalle vaaditulle tasolle, sekä että ainoastaan hyväksytyt käyttäjät pääsevät käsiksi resursseihin. Luottamuksellisuus, eheys, kiistämättömyys ja saatavuus ovat tärkeimmät rakennuspalikat tietoturvallisen ympäristön luomiseen. Luottamuksellisuus on usein tärkein motivoija tietoturvallisen ympäristön suunnittelussa. Sillä varmistetaan, että tieto on rajatussa käytössä käyttäjillä, ohjelmilla ja prosesseilla. Resurssien, tietojen ja järjestelmien tulee olla vain niitä tarvitsevien käytettävissä. Ohjelmat prosessoivat organisaatiolle kriittistä tietoa, joten tietoturva ei saa olla vaikuttamassa organisaation tuottavuuteen. Prosessoidun tiedon tulee olla tarkkaa, täydellistä ja aina saatavissa. Tietoturvatason evaluoinnilla ja tarvittavan tason kartoittamisella varmistetaan, että kaikki komponentit toimivat tehokkaasti ja turvallisesti. XCure tarjoaa portaittaisen ja asiakkaan tarpeisiin räätälöidyn tietoturvatason määrittämisen. XCuren palvelut sisältävät sertifioitujen ammattilaisten suorittamina organisaation riskien kartoituksen ja tietoturvasääntöjen evaluoinnin. Tarvittaessa XCure suorittaa tarkemman tutkimuksen sääntöjen toteutumisesta organisaation tietoverkoissa. Tähän sisältyvät penetraatiotestit, arkkitehtuurin tarkastaminen ja suunnittelu, sekä laadun tarkastaminen. XCure voi arvioida arkkitehtuuria, laatua ja tietoturvasääntöjä myös kolmannen osapuolen laatimasta tietoturvainfrastruktuurista. Jo toteutetun tietoturvasuunnittelun uudelleen tarkastuttaminen on tärkeää, koska tietoturvallisuus on monimutkainen kokonaisuus. Sen rakentamiseen liittyy useita eri komponentteja, kuten esimerkiksi organisaation tehtävät, lait, etiikka, maiden rajat ylittävät tietoturvasäännöt, tekniset mahdollisuudet ja budjetit. Tietoturvatason määrittäminen lähtee liikkeelle riskien määrittämisestä, tietoturvapolitiikan evaluoinnista ja mahdollisesta päivittämisestä. Joskus organisaatiolta saattaa puuttua tietoturvasäännöt kokonaan, tällöin XCuren sertifioidut ammattilaiset auttavat sääntöjen luomisessa ja käyttöönotossa. 2 Riskien tunnistaminen Riskit itsessään ovat universaaleja, mutta niihin varautuminen ja riskien vaikutus organisaation toimintoihin on aina organisaatiokohtaista. Tämän takia jokaisen organisaation on luotava omasta riskikentästään tarkka kartta. On varmistettava, että jokaiseen riski on huomioitu juuri oikealla tavalla. Riskienhallinta kohtaa jatkuvasti uusia haasteita kiivaasti muuttuvassa ja kansainvälistyvässä kaupankäynnissä, tietotekniikka kehittyy, internet luo uusia rajoja ylittäviä uhkia ja kaupankäynti sähköistyy. Riskien hallinnasta on tullut huoli kaikille organisaatioille, riippumatta koosta, iästä tai organisaation toimintakentästä, eikä ainoastaan toimistolla vaan yhä yleistyvästi kotonakin. Riskien hallinta kokonaisuudessaan sisältää useita eri komponentteja, näistä tärkeimpänä on tietenkin koko hallinnalle pohjan luova riskien määritteleminen ja tunnistaminen. Muita komponentteja ovat keskitetyn hallintamallin luominen, sääntöjen suunnittelu ja käyttöönottaminen, sekä tarpeellisten kontrollien ja suojausten pystyttäminen. Toimivan ja tarkan tietoturvapolitiikan luominen ja sen pohjalta kustannustehokkaiden suojausmenetelmien valinta, sekä toimivan jatkuvuussuunnitelman luominen on mahdotonta ilman riskien tunnistamista. Koska riskit ja uhat muuttuvat ajan myötä, on tärkeää luoda jatkuva turvaprosessi riskien kartoittamiseksi. Tämä on välttämätöntä haluttaessa välttää tunnistamattoman riskin toteutumisen aiheuttamat haitat. Organisaatioon on luotava menetelmät, joilla tarkastetaan jo tunnistettujen riskien validiteetti, sekä tunnistetaan uudet ilmaantuneet riskit ja uhat. Tietoturvapolitiikkojen tehokkuus, sekä valittujen kontrollien toimivuus tulee myös tarkastaa jatkuvalla prosessilla. Riskien tunnistamisella tarjotaan päättäjille mahdollisuus ymmärtää riskien toteutumisesta aiheutuvat haitat organisaation toiminnalle. Tämän tiedon pohjalta voidaan rakentaa kustannustehokkaat suojautumismenetelmät. Oikein suoritettuna riskien tunnistaminen siis säästää organisaation resursseja, koska oikean tiedon ollessa käytettävissä organisaatio voi kohdentaa kontrollit sinne missä se on tarpeellista. Tietoturvapolitiikka Tietoturvapolitiikan luominen on tärkeä osa organisaation riskien hallintaa. Riskien tunnistamisen jälkeen minimoidaan tunnistettujen riskien aiheuttamat uhat luomalla tietoturvapolitiikka. Politiikkaa hyödynnetään jatkossa valitsemalla oikeat tekniset ratkaisut, oikeisiin paikkoihin.

Organisaation tietoturvapolitiikka on usein luotu monisivuisiksi komplekseiksi kokonaisuuksiksi. Tämä ei ole tietoturvapolitiikan perimmäinen tarkoitus. Tietoturvapolitiikan perusosan tulee olla jokaisen organisaation työntekijän tiedossa ja ymmärrettävissä, siksi tietoturvapolitiikan perusosan tulee olla myös oikean mittainen ja selkeä. Tietoturvapolitiikka kokonaisuudessaan sisältää useita tarkentavia liitteitä. Nämä liitteet saavat olla huomattavasti teknisempiä ja tarkempia kuvauksia riskien minimoimiseksi käytettävistä menetelmistä. XCure tarjoaa organisaatiolle apua täsmällisten ja tarkoituksenmukaisten tietoturvasääntöjen luomiseen. Teemme yhdessä asiakkaan kanssa kattavan ja suunnitelmallisen, juuri organisaation omiin tarpeisiin perustuvan sääntökokonaisuuden. Tietoturvapolitiikalla luodaan organisaatiolle vahva perusta ennen arkkitehtuurin suunnittelemista. Vain oikein luodun tietoturvapolitiikan ja sen teknisten liitteiden avulla voidaan lähteä rakentamaan ja suunnittelemaan turvallista arkkitehtuuria. Turvallisen arkkitehtuurin ja oikeiden tuotteiden valitseminen aiheuttaa organisaatiolle huomattavia teknisiä paineita. XCure tarjoaa mahdollisuuden hyödyntää sertifioituja ammattilaisia tuotteiden valinnassa, ja evaluoinnissa. XCurella on vuosien kokemus erilaisten tietoturvatuotteiden käyttöönotoista suurienkin organisaatioiden tietojärjestelmiin. Suoritamme tuotteiden valinnan huolellisesti, asiakkaan ympäristön huomioonottavien evaluointien jälkeen. Väärin valittu ja väärin asennettu tietoturvaratkaisu saattaa pahimmillaan jopa luoda uusia uhkia organisaation kriittiselle tiedolle. Välttääkseen tuotevalmistajien markkinointihelinän ansan, on syytä evaluoida tuotteet aina ammattitaitoisesti ennen käyttöönottoa. Suunnittelu ja/tai arkkitehtuurin tarkastaminen Tietoturvapolitiikkojen ja turvallisen arkkitehtuurin luomisen jälkeen organisaatiot saattavat tuudittautua omaan turvallisuuden tunteeseensa. XCure tarjoaa teknisiä ja hallinnollisia palveluja jo luotujen tietoturvallisten arkkitehtuurien tarkastamiseksi. Palveluna tarjoamme sääntöjen tarkastamista ja päivittämistä, teknistä ja fyysistä auditointia, kuntotarkastuksia ja yleisen tietoturvallisen laadun tarkastamista. 3 Sääntöjen ja käyttöönottosuunnitelmien tarkastaminen Luotaessa tietoturvallista toimintaa organisaatioon tai ratkaisua yksittäiseen ongelmaan, on tärkeää antaa kolmannen osapuolen tarkastaa luodut säännöt, arkkitehtuurit ja toteutukset. Tietoturva on monimutkainen kokonaisuus. Tämän vuoksi on tärkeää poistaa epävarmuudet siitä, että käyttöönotetut menetelmät eivät sisällä piilotettuja vikoja. Tarkastaminen tulisi suorittaa ennen kuin varsinainen arkkitehtuurin käyttöönotto organisaation tietojärjestelmään käynnistyy, näin minimoidaan ylimääräiset kustannukset huonosti suunnitellun toteutuksen mennessä pieleen. XCure tarjoaa portaittaisen luotujen sääntöjen ja arkkitehtuurien tarkastamisen asiakaslähtöisesti. Suunnitelmien ja arkkitehtuurien tarkastaminen voidaan suorittaa eri tietoturva osa-alueille, alkaen tietoturvapolitiikkojen tarkastamisesta, aina teknisten asennussuunnitelmien tarkastamiseen saakka. XCure ylläpitää jatkuvasti suhteitaan eri tuotevalmistajiin ja heidän kanssa yhdessä pystymme taklaamaan ongelmat jo ennen niiden syntymistä. Penetraatiotestit Tietoturvallinen ympäristö on tärkeä tekijä organisaation menestymisen kannalta. Tietoturvallisen ympäristön toiminta tulee todentaa erilaisilla testausmenetelmillä. XCure suorittaa tietojärjestelmille penetraatiotestejä, joissa teknisen tietoturvatason testaaminen tapahtuu paikallisen tai internet-verkon välityksellä. Testaamisen tarkoituksena on selvittää nykyisen tietoturva-arkkitehtuurin toimivuus, puutteet ja käytettyjen ohjelmistojen mahdolliset haavoittuvuudet. Sokea, ilman ennakkotietoa Sokea, internetin yli tapahtuva penetraatiotestaus toteutetaan XCuren sertifioitujen tietoturva ammattilaisten toimesta siten, että testaajalla ei ole hallussaan minkäänlaista ennakkotietoa organisaation olemassa olevasta tietoturva-arkkitehtuurista. Testaaja pyrkii keräämään itselleen erilaisin penetraatiomenetelmin tietoa organisaation arkkitehtuurista. Tällainen tutkiminen antaa organisaatiolle paljon hyödyllistä tietoa, koska se toteutetaan todellisuutta jäljitellen, eli tunkeutujalla on saman verran tietoa kuin todellisella hakkerilla olisi. Testaajan käyttämät työkalut ovat yleisesti saatavilla olevia ohjelmia, samoja joita todelliset hakkerit hyödyntävät.

Testiraporttiin kerätty tieto kuvaa siis todellista tilannetta, millainen uhka ulkopuoliset hakkerit ovat organisaatioille. Tärkeänä tietona saadaan organisaation tietoturvallisuudessa esiintyvät puutteet. Avoin, pohjatiedolla Avoin penetraatiotesti suoritetaan läheisellä yhteistyöllä asiakkaan kanssa. Avoin testi poikkeaa sokeasta siten, että yhteisesti sovituilla pelisäännöillä testaajalle annetaan ennakkoon tietoa organisaation arkkitehtuurista ja usein myös hyökkäyksen kohde määritellään huomattavasti tarkemmin. Asiakas valitsee yhdessä XCuren ammattilaisten kanssa kohteen ja määrittelee testattavan haavoittuvuuden. Avoimessa testaamisessa voi olla useita eri tasoja, eli liikkeelle voidaan lähteä hyvinkin pienillä tiedoilla tai sitten toisessa ääripäässä testaajalla saattaa olla tarkat tiedot kaikista organisaation järjestelmistä. Lähtötietojen valinnassa usein tärkeänä kriteerinä on aika, eli mitä suuremmalla pohjatiedolla testaaja lähtee liikkeelle, niin sitä nopeammin kohteeksi valitun haavoittuvuuden testit on suoritettu, testaajan ei siis tarvitse matkalla kuluttaa aikaa oikean polun löytämiseksi. Ennen testaamisen aloittamista luodaan kattavat suunnitelmat siitä miten eri tilanteissa toimitaan, mikä on aikataulu suoritettavalle testille, mitkä ovat menetelmät ja maalit. Fyysinen tunkeutuminen Tietoturvallisuus on muutakin kuin digitaalisen järjestelmän turvaamista. XCure suorittaa tarvittaessa myös fyysisen työympäristön tarkastuksia. Organisaatiot ymmärtävät usein teknisten uhkien aiheuttamat riskit, mutta siinä ohella jää huomioimatta, että tietoturvallinen työympäristö ulottuu digitaalisen tietojenkäsittelyn ja verkkoturvallisuuden ulkopuolelle. Organisaatioissa käsitellään edelleenkin suuria määriä ei-digitaalista tietoa. Käytännössä tämä tarkoittaa sitä, että organisaation luottamukselliseksi luokiteltua tietoa saattaa löytyä ympäri toimistorakennusta tai työntekijät kuljettavat sitä mukanaan ilman suojausta. XCuren suorittamassa fyysisen turvallisuuden tarkastuksessa tietoturvaammattilainen pyrkii löytämään tietoa käyttämättä tietoverkkoja ja tietokoneita. Tämä toteutetaan sosiaalisella hakkeroinnilla, ihmisten hyväuskoisuudella tai pyrkimällä toimitiloihin, roska-astioihin ja muihin ei-digitaalisiin tiedon lähteisiin. Totuus on edelleenkin, että organisaation luottamuksellista tietoa löytää helpommin eidigitaalisessa muodossa kuin tietokoneilta. Tämän takia myös fyysisen ympäristön tarkastaminen ja siihen liittyvien havaintojen liittäminen tietoturvapolitiikkaan on tärkeää. Loppujen lopuksi käyttäjien valistaminen on erittäin suuressa roolissa tietoturvauhkia poistettaessa. 4 Tietoturvatason kuntotarkastus ja toinen mielipide Organisaation tulisi olla varma toimintaympäristönsä turvallisuudesta. Tietoturvakokonaisuus sisältää sovellusten turvallisuuden ja koko infrastruktuurin turvallisuuden. XCure suorittaa palveluna turvallisuuden kuntotarkoituksia, aina yksittäisistä sovelluksista kokonaisiin infrastruktuureihin. Tarkastukset suorittaa sertifioitu ammattilainen ja siitä toimitetaan asiakkaalle kattava ja ammattimainen raportti. Tarkastukset lähtevät liikkeelle tietoturvapolitiikan läpikäymisestä ja siinä esiintyvien sääntöjen toimivuuden arvioinnista todellisessa ympäristössään. XCuren kuntotarkastuksessa läpikäydään myös erilaiset ohjeet, säännöt ja standardit, joita organisaatio hyödyntää. Yksi tavallinen tilanne kuntotarkastuksen suorittamiselle on hetki, jolloin organisaatio pyrkii hankkimaan itselleen tieturvasertifiointeja. Organisaatiot eivät ole haavoittuvaisia ainoastaan ulkopuolelta tulevia hyökkäyksiä vastaan, vaan useimmat hyökkäykset tapahtuvatkin organisaation sisältä, omien työntekijöiden tekeminä. Täydellinen tietoturvan kuntotarkastus sisältää myös organisaation sisäisten toimintatapojen ja oikeuksien jakamiseen käytettävien prosessien tarkastamisen. Kuntotarkastuksesta XCure toimittaa organisaatiolle tarkan analyysin nykytilanteesta ja mahdollisista suositeltavista muutoksista tietoturvainfrastruktuuriin. Kuntotarkastuksia suoritetaan usein myös siksi, että saataisiin ns. toinen mielipide. Uusikin, juuri määritelty, tietoturvaarkkitehtuuri on hyvä tarkistuttaa puolueettomalla ulkopuolisella taholla. Kun kyseessä on tietoturvallisuus, toinen mielipide on tärkeää suunnitelmissa, valituissa ratkaisuissa, tarjouksia vertailtaessa ja käyttöönottosuunnittelussa. XCure tarjoaa asiakkailleen mahdollisuuden evaluoida organisaation uuden tietoturvastrategian ulkopuolisen silmin nähtynä. Tällöin strategiaan mahdollisesti jääneet puutteet havaitaan hyvissä ajoin.

Laadun tarkastaminen Laatu on tietoturvallisuudessa tärkeä elementti. XCuren tietoturvallisuuden laadun tarkastaminen kohdistuu luotuihin suunnitelmiin ja käyttöönottoihin. Laadun tarkastaminen tapahtuu tietoturvaprojektien päätyttyä, eli juuri tapahtuneiden uusien käyttöönottojen jälkeen. Laadun tarkastamisessa käydään jälkikäteen läpi tietoturvaprojektin eri vaiheet ja miten projektin läpikäyminen on onnistunut. Laadun tarkastaminen on siis työvaihe, jonka suorittajana tulisi olla sellainen kolmas osapuoli, joka ei ole millään tavalla osallistunut itse suoritettuun tietoturvaprojektiin. Laadun tarkastaminen on tärkeää tulevaisuudessa tapahtuvien projektien kannalta, jotta niissä ei toistettaisi samoja virheitä uudelleen. Tämä tarkastaminen voi sisältää useita eri vaiheita, alkaen aina alkuperäisten vaatimusten tarkastamisesta, verraten niitä yleisiin standardeihin. Tarkastuksessa läpikäydään myös implementaation vastaavuus lakeihin, sekä organisaation toimintaan ja selvitetään projektista aiheutuneet turhat kustannukset. Laadun tarkastaminen voidaan suorittaa säännöllisin väliajoin silloin kun projekti on vielä meneillään. Tällöin tarkastellaan kolmannen osapuolen silmin sitä, että projekti etenee oikeiden raamien sisällä. XCuren tietoturva-ammattilaisilla on useiden vuosien kokemus tämänkaltaisten tietoturvaprojektien läpiviemisestä. Täten XCure tuo tietoturvaprojekteihin täsmällisyyttä, tarkkuutta ja kustannustehokkuutta. 5

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute