23 huhti Varmista tietoturvatestauksella järjestelmien ja palveluiden tietoturvallisuuden taso
Tällä hetkellä on liikkeellä tavallista enemmän yritysten ja organisaatioiden järjestelmien ja palveluiden tietoturvaan liittyviä uhkia. Tietoturvatestaus on keino varmistua järjestelmien ja palveluiden tietoturvallisuustasosta. Tiivistimme kahteen asiaan, miksi yritysten ja organisaatioiden tulee teettää tietoturvatestaus säännöllisesti:
1. Yritysten ja organisaation tulee varmistua etteivät ulkopuoliset tahot pääse luvatta järjestelmien tai palveluiden tietoihin käsiksi ja aiheuta muita ongelmia toimintaan
Luvaton pääsy järjestelmiin voi aiheuttaa salassa pidettävien tietojen vuotamista tai häviämistä. Tähän liittyy usein myös henkilötietojen vuotaminen. Lisäksi kiristyshaittaohjelmat voivat salata ja estää pääsyn yrityksen tai organisaation tietoihin. Palvelunestohyökkäykset taas voivat tehdä järjestelmiin tai palveluihin pitkiä käyttökatkoja. Kaikissa näissä tapauksissa toiminta tai palveluiden tuottaminen lamaantuu ja selvitystyö aiheuttaa huomattavia työmääriä, kustannuksia ja stressiä. Monessa tapauksessa asiaan liittyy myös vakavia mainehaittoja.
2. Kaikkia yrityksiä ja organisaatioita koskeva tietosuoja-asetus ja julkisia organisaatioita velvoittava tiedonhallintalaki vaativat toimia järjestelmien ja palveluiden tietoturvallisuudelle
Tietosuoja-asetus artikla 32: “…rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten… d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.”
Tiedonhallintalaki 13§ Tietoaineistojen ja tietojärjestelmien tietoturvallisuus: “Viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.”
Opsec Oy:n tietoturvatestaus
Opsec Oy:n tietoturvatestauksessa asiantuntijoiden toimesta testattaville kohteille tehdään haavoittuvuustestaus, jonka jälkeen tulokset varmennetaan manuaalisesti ja raportoidaan asiakkaalle.
Tietoturvatestauksen tulokset kertovat testattavan kohteen turvallisuustasosta ja tulokset listaavat yksityiskohtaisesti haavoittuvuuksien aiheuttajat ja niille tehtävät korjaustoimenpiteet. Testausraportin avulla organisaatio pystyy tekemään tai teettämään tarvittavat korjaustoimenpiteet testatuille kohteille. Korjausten jälkeen organisaatio voi tehdä myös päätöksen siitä pitäydytäänkö testattujen kohteiden osalta kertaluontoisessa testauksessa vai testataanko kohteita automatisoidusti tietyin väliajoin.
Jos haluat varmistua oman yrityksesi tai organisaatiosi järjestelmien ja palveluiden tietoturvallisuuden tasosta, ota yhteyttä IT-joukkueeseemme.