Mikä viitekehys olisi optimaalinen yrityksen tietoturvan tilan kartoitukseen? Tässä esitellään neljä 2NS:n toteuttamissa projekteissa useimmiten tarjottua kehystä.
2NS:n Kompassi
2NS Kompassi on 2NS:n kehittämä kehys yrityksen tietoturvan kartoitukseen. Kompassi on suunniteltu sellaiselle yritykselle, joka ei ole vielä tehnyt suuria panostuksia tietoturvaan, (eli niin sanottu maturiteetti on alhainen).
Kompassissa käydään läpi yrityksen IT-arkkitehtuuri ja yrityksen sisäiset käytännöt laaja-alaisesti. Lopputuotteena on raportti, joka sisältää selkeät ja priorisoidut ehdotukset tietoturvan parantamiseen.
Kompassin ajateltuja käyttäjiä ovat esimerkiksi PK-yritykset, joiden tietoturvasta vastaa IT-osasto tai IT-kumppani. Tietoturvaa ei vielä systemaattisesti hallinnoida taikka johdeta, ja tarpeena olisi saada yhdellä kartoituksella hyvä kokonaiskäsitys.
2NS:n toteuttamana Kyberturvallisuuskeskuksen Kybermittari
Kybermittari on Kyberturvallisuuskeskuksen kehittämä työkalu yrityksen tietoturvan arviointiin sekä kartoitukseen.
Kybermittarin kohderyhmänä ovat erityisesti huoltovarmuuskriittiset yritykset ja näiden toimitusketjuihin kuuluvat yritykset. Kybermittari soveltuu parhaiten jo tietoturvan kehittymiseen sitoutuneille organisaatioille, joissa ensimmäistä askelta ei kuitenkaan ole vielä otettu.
Kybermittari on yhteismitallinen muiden samaa viitekehystä käyttävien yritysten kanssa. Siksi sen kautta voi saada toimialan sisällä vertailukelpoista tietoa. Oma kybermittarin tulos on mahdollista jakaa anonyymisti Kyberturvallisuuskeskukselle. Kybermittari on kotimainen standardi, joten se antaa hyvää tietoa yrityksen asemasta kotimaan markkinoilla.
2NS:n toteuttamana ISO27001-puuteanalyysi (gap-analyysi)
ISO27001-standardiin pohjautuva gap-puuteanalyysi on hyvä lähtökohta sellaiselle yritykselle, joka suunnittelee tietoturvan halintajärjestelmän (ISMS) toteuttamista. Tavoitteena voi olla ISO27001-sertifiointi.
Tämän tason puuteanalyysiin kannattaa lähteä silloin, kun yrityksestä löytyy jo tietoturvaorganisaatio, halu hankkia ISO27001-sertifiointi ja mahdollisesti myös CISO (tietoturvajohtaja) erikseen määriteltynä. ISO27001 on hyvä viitekehys sellaisille toimijoille, joiden asiakkaat edellyttävät tietoturvan hallintaa ja tarjousvalmisteuissa täytyy ottaa huomioon tietoturva tai sen vaatimusten analysointi.
ISO27001-puuteanalyysi kertoo yrityksen tietoturvadokumentaation tason ja tietoturvajohtamisen nykytason. Samalla yritys saa ainakin karkean arvion työmäärästä, joka vaaditaan ISO27001-sertifiointivalmiuden saavuttamiseksi.
2NS:n toteuttama arkkitehtuurikatselmointi tai pilvitietoturvan katselmointi
Pilvitietoturvakatselmoinnissa tai arkkitehtuurikatselmoinnissa käydään läpi tietojenkäsittely-ympäristön tietoturvan tilanne. Katselmoinnilla varmistetaan pilvipalveluiden ja paikallisten on-premise toimintojen yhteispelin tietoturva.
Katselmointi voidaan toteuttaa missä vain IT-järjestelmää käyttävässä organisaatiossa. Etenkin sellaisessa, jossa tietoa liikkuu eri palveluiden välillä tai paikallisista järjestelmistä pilvipalveluihin. Erityisesti teknisen tietoturvan tilan kehittämisestä kiinnostuneet organisaatiot hyötyvät katselmoinnista.