23 loka Tietoturvatestauksella varmistetaan järjestelmien ja palveluiden tietoturvallisuuden taso
Yritysten ja organisaatioiden järjestelmiin ja palveluihin kohdistuu koko ajan enemmän tietoturvaan liittyviä uhkia. Tietoturvatestaus on keino varmistua järjestelmien ja palveluiden tietoturvallisuustasosta.
Viime päivien Yle Uutisten julkaisemat uutiset psykoterapiakeskus Vastaamon tilanteesta ovat elävä esimerkki siitä, kuinka tietoturva- ja tietosuojaongelmat voivat hetkessä kulminoitua.
Tässä tiivistettynä kaksi syytä, miksi tietoturvatestaus tulisi tehdä säännöllisesti:
1. Yritysten ja organisaation tulee varmistua etteivät ulkopuoliset tahot pääse luvatta järjestelmien tai palveluiden tietoihin käsiksi ja aiheuta ongelmia toimintaan
Luvaton pääsy järjestelmiin voi aiheuttaa salassa pidettävien tietojen vuotamista tai häviämistä. Tähän liittyy useimmiten myös henkilötietojen vuotaminen. Hakkerit ja kiristyshaittaohjelmat voivat myös salata ja estää pääsyn yrityksen tai organisaation tietoihin. Palvelunestohyökkäykset taas voivat tehdä järjestelmiin tai palveluihin pitkiä käyttökatkoja. Kaikissa näissä tapauksissa toiminta tai palveluiden tuottaminen lamaantuu ja selvitystyö aiheuttaa huomattavia työmääriä, kustannuksia ja stressiä. Monessa tapauksessa asiaan liittyy myös vakavia mainehaittoja.
2. Kaikkia yrityksiä ja organisaatioita koskeva tietosuoja-asetus ja julkisia organisaatioita velvoittava tiedonhallintalaki vaativat toimia järjestelmien ja palveluiden tietoturvallisuudelle
Tietosuoja-asetus artikla 32: “…rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten… d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.”
Tiedonhallintalaki 13§ Tietoaineistojen ja tietojärjestelmien tietoturvallisuus: “Viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.”
Opsec Oy:n tietoturvatestaus
Opsec Oy:n tietoturvatestauksessa asiantuntijoiden toimesta testattaville kohteille tehdään haavoittuvuustestaus, jonka jälkeen tulokset varmennetaan manuaalisesti ja raportoidaan asiakkaalle.
Tietoturvatestauksen tulokset kertovat testattavan kohteen turvallisuustasosta ja tulokset listaavat yksityiskohtaisesti haavoittuvuuksien aiheuttajat ja niille tehtävät korjaustoimenpiteet. Testausraportin avulla organisaatio pystyy tekemään tai teettämään tarvittavat korjaustoimenpiteet testatuille kohteille. Korjausten jälkeen organisaatio voi tehdä myös päätöksen siitä pitäydytäänkö testattujen kohteiden osalta kertaluontoisessa testauksessa vai testataanko kohteita automatisoidusti tietyin väliajoin.
Jos haluat varmistua oman yrityksesi tai organisaatiosi järjestelmien ja palveluiden tietoturvallisuuden tasosta, ota yhteyttä IT-joukkueeseemme.