Tietoturvan kartoitus ja arviointi on tie turvattuun liiketoimintaan
Tietoturvauhkien lisääntyminen on valitettava tosiasia, jonka osalta jokaisen yrityksen on oltava valveutunut ja pyrkiä taistelemaan uhkia vastaan.
On varsin yleistä, ettei organisaatiossa ole tarkkaa käsitystä oman tietoturvan tilasta. Yrityksen ja organisaation tietoturvan kehittäminen on siksi hyvä aloittaa tietoturvan nykytilan kartoituksella ja arvioinnilla.
Kartoituksen näkökulma ja painotus voidaan valita organisaation tarpeiden mukaan ja näkökulmia voidaan myös yhdistellä. Elmon tietoturva-asiantuntijan johdolla ja mm. Kybermittaria hyödyntäen saadaan ripeästi realistinen kuva organisaation tietoturvan tilasta ja tietoturvaa voidaan tämän pohjalta lähteä kehittämään.
Kybermittari
Kybermittari tarjoaa kokonaiskuvan organisaation kyberturvan tilasta
Kybermittari on Suomen Kyberturvallisuuskeskuksen kehittämä työkalu, jonka avulla organisaatiot voivat arvioida kyberturvallisuutensa nykytilaa ja kehityskohteita. Mittari auttaa tunnistamaan, miten hyvin organisaatio kykenee ehkäisemään kyberuhkia, havaitsemaan poikkeamia, reagoimaan häiriötilanteisiin ja palautumaan niistä.
Kybermittari perustuu kypsyystasoihin, jotka kuvaavat kyberturvallisuuden eri osa-alueiden tilaa. Mittarin avulla organisaatio saa selkeän näkymän siihen, millä tasolla sen kyberturvan toimintamallit ja käytännöt ovat sekä miten ne vertautuvat muihin saman toimialan organisaatioihin.
Tietoturvan kartoitus Kybermittarin avulla
Tietoturvan kartoitus Kybermittarin avulla etenee selkeissä ja hallituissa vaiheissa. Prosessi alkaa organisaation nykytilanteen ymmärtämisellä.
Elmon tietoturva-asiantuntija kerää kartoituksen pohjatiedot avainhenkilöiden haastatteluista sekä olemassa olevista dokumenteista ja tietolähteistä. Näiden tietojen perusteella asiantuntija täyttää Kybermittari-työkalun, jonka tuloksena saadaan kokonaiskuva organisaation tietoturvan kypsyydestä eri osa-alueilla.
Kun mittari on täytetty, tulokset käydään yhdessä organisaation kanssa läpi. Elmon asiantuntija avaa havainnot analyyttisesti ja keskustellen, jotta tulokset ymmärretään oikein ja niiden merkitys organisaation toiminnan kannalta hahmottuu selkeästi.
Mitä Kybermittari-kartoitus tuottaa:
- kokonaiskuvan organisaation tietoturvan nykytilasta
- vertailupohjan suhteessa toimialaan
- tunnistetut kehityskohteet ja vahvuudet
- pohjan tietoturvan suunnitelmalliselle kehittämiselle
Kartoitus toimii lähtökohtana tietoturvan kehittämiselle, ei valmiina ratkaisuna. Se auttaa tekemään tietoon perustuvia päätöksiä ja priorisoimaan toimenpiteitä.
ISO/IEC 27001:2022 kypsyysmittari
Mikä on ISO/IEC 27001 ja miten sitä hyödynnetään?
ISO/IEC 27001 on kansainvälinen standardi, joka määrittelee tietoturvallisuuden hallintajärjestelmän (Information Security Management System, ISMS) vaatimukset organisaatioille. Tämän standardin tavoitteena on auttaa organisaatioita suojaamaan luottamuksellisia tietojaan mahdollisilta tietoturvauhilta ja varmistaa, että heidän tietoturvakäytäntönsä ovat tehokkaita ja systemaattisia.
Miten tietoturvan kartoitus tehdään ISO/IEC 27001 viitekehystä vastaan?
Elmo on kehittänyt työkalun (ns. ISO/IEC 27001 kypsyysmittari), jolla saadaan kartoitettua organisaation tietoturvallisuuden hallinnan kypsyys suhteessa ISO/IEC 27001 standardin vaatimuksiin.
Tietoturvan kartoitus ISO/IEC 27001 kypsyysmittarin avulla tapahtuu selkeissä vaiheissa. Ensimmäiseksi Elmon tietoturva-asiantuntijan johdolla kerätään avainhenkilöiden haastatteluista sekä organisaation olemassa olevista tietolähteistä pohjatietoa toiminnasta, olemassa olevasta tiedosta ja dokumentaatioista. Elmon asiantuntija täyttää tietojen pohjalta ISO/IEC 27001 kypsyysmittari-työkalun. Tuloksena saadaan konkreettinen luku osa-alueittain organisaation tietoturvan tasosta.
Kun mittarityökalu on täytetty katselmointivalmiiksi, se käydään läpi yhdessä organisaation kanssa. Elmon asiantuntija nostaa keskeiset kohdat esiin analyyttisesti ja keskustellen. Näin varmistetaan, että tiedot tulevat oikein ymmärretyiksi ja osallistujilla on mahdollisuus esittää lisäkysymyksiä tietoturvan ammattilaiselle.
NIS 2 – Kyberturvallisuuslaki kypsyysarvio
Mikä on Kyberturvallisuuslaki ja miten sen vaatimukset määräytyvät?
Suomen kyberturvallisuuslaki (Finlex 124/2025) toimeenpanee EU:n NIS 2 -direktiivin säännökset. Laki astui voimaan 8.4.2025 ja asettaa uusia riskienhallinta- ja raportointivelvoitteita monille toimialoille. Laki velvoittaa organisaatiot toteuttamaan kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja ilmoittamaan merkittävistä tietoturvapoikkeamista valvovalle viranomaiselle. Lisäksi se laajentaa direktiivin soveltamisalaa kattamaan uusia sektoreita ja vahvistaa koko EU:n kyberturvallisuustasoa.
Varsinainen laki määrittelee vaatimukset organisaatioille varsin yleisellä tasolla §9:ssä. Lain valvontaa ja myös toteutusta tukemaan Traficom on luonut tarkemman suosituksen.
Suosituksella konkretisoidaan NIS2-direktiiviin perustuvassa kansallisessa sääntelyssä asetettuja kyberturvallisuuden riskienhallinnan velvoitteita.
Miten tietoturvan kartoitus tehdään Kyberturvallisuuslakia vastaan?
Elmo on kehittänyt työkalun (ns. NIS 2 kypsyysmittari), jolla saadaan kartoitettua organisaation tietoturvallisuuden hallinnan kypsyys suhteessa Suomen kyberturvallisuuslain vaatimuksiin. Arviointi perustuu edellä mainittuun Traficomin suositukseen: ”Suositus NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä.”
Tietoturvan kartoitus NIS 2 kypsyysmittarin avulla tapahtuu selkeissä vaiheissa. Ensimmäiseksi Elmon tietoturva-asiantuntijan johdolla kerätään avainhenkilöiden haastatteluista sekä organisaation olemassa olevista tietolähteistä pohjatietoa toiminnasta, olemassa olevasta tiedosta ja dokumentaatioista. Elmon asiantuntija täyttää tietojen pohjalta NIS 2 kypsyysmittari-työkalun. Tuloksena saadaan konkreettinen luku osa-alueittain organisaation tietoturvan tasosta.
Kun mittarityökalu on täytetty katselmointivalmiiksi, se käydään läpi yhdessä organisaation kanssa. Elmon asiantuntija nostaa keskeiset kohdat esiin analyyttisesti ja keskustellen. Näin varmistetaan, että tiedot tulevat oikein ymmärretyiksi ja osallistujilla on mahdollisuus esittää lisäkysymyksiä tietoturvan ammattilaiselle.
Tekninen kartoitus
Tietoturvan tekninen kartoitus auttaa tunnistamaan yrityksen ICT-kokonaisuudessa piilevät aukot. Tekninen kartoitus on prosessi, jossa arvioidaan ja tunnistetaan haavoittuvuuksia, riskejä ja puutteita niin tietojärjestelmissä, verkostoissa kuin laajasti koko infrastruktuurissa. Kartoitus on olennainen ja ensimmäinen osa tietoturvan hallintaa, ja sen avulla voidaan minimoida tehokkaasti tietoturvariskejä.
Näin homma etenee:
1. Elmon ICT-asiantuntijan johdolla kartoitetaan ja kuvataan nykyisen ICT-arkkitehtuurin tila.
2. Työ tehdään haastattelemalla, perehtymällä olemassa olevaan dokumentaation ja järjestelmiin sekä kartoittamalla ympäristöä ja toimintaa paikan päällä.
3. Tuloksena syntyy selkeä dokumentaatio ja kuvaus ICT-arkkitehtuurista, tunnistetuista riskeistä sekä kehitysmahdollisuuksista.
4. Tulokset käydään läpi yhdessä organisaation kanssa. Elmon asiantuntija nostaa keskeiset kohdat esiin analyyttisesti ja keskustellen. Näin varmistetaan, että tiedot tulevat oikein ymmärretyiksi ja osallistujilla on mahdollisuus esittää tarvittaessa lisäkysymyksiä tietoturvan ammattilaiselle.
Haavoittuvuuksien skannaus
Tuki tietoturva-aukot, ennen kuin tulee ongelmia
Haavoittuvuuksien skannauspalvelu on kokonaisuus, jossa kartoitetaan organisaation ICT-ympäristön tietoturva ja siihen liittyvät aukot. Skannauksessa läpivalaisuun asetetaan tyypillisesti niin internetin kuin sisäverkon hyökkäyspinta-ala.
Skannaus tuottaa organisaatiolle elintärkeää tietoa, ymmärrystä ja kattavan ICT-ympäristön tilannekuvan, jonka pohjalta korjaavien toimenpiteiden roadmap voidaan rakentaa järjestelmällisesti: sekä kertaluonteisina tehtävinä että jatkuvan palvelun muodossa.
Haavoittuvuuksien skannaus eli murtotestaus voidaan tarvittaessa kohdentaa myös yksittäiseen kohteeseen: sisä- tai ulkoverkkoon, sovellukseen, laitteisiin tai pilvilpalveluun.
Mikä on haavoittuvuus?
Haavoittuvuus on virhe tai ominaisuus käyttöjärjestelmän, sovelluksen tai laitteen koodissa, ja voi mahdollistaa kolmannen osapuolen haitallisen koodin pääsyn ICT-infraan.
Mihin haavoittuvuuksien skannaus antaa vastauksen?
Haavoittuvuuksien skannauksesta saadaan vastaukset mm. seuraaviin kysymyksiin:
- Onko asiakkaan käytössä olevat laitteet tunnistettu ja dokumentoitu?
- Ovatko asiakkaan käyttämien ohjelmistojen ja laitteiden päivitykset ajan tasalla?
- Onko laitteissa haavoittuvuuksia, jotka aiheuttavat riskejä toiminnalle?
- Onko palomuurisäännöissä auki tarpeettomia portteja?*
Palvelun sisältö: ICT-ympäristö skannataan internetistä ja sisäverkosta. Näin saadaan muodostettua kokonaiskuva hyökkäyspinta-alasta internetin ja sisäverkon suunnalta. Oletuksena sisäverkon skannaus tehdään palveluun soveltuvasta pisteestä (näitä ovat esim. palvelinverkko tai toimipiste). Skannaus vie tyypillisesti noin 5-8 minuuttia/laite. Haavoittuvuusskannaus tuottaa raportin löydöksistä. Raportti käydään läpi asiakkaan edustajan kanssa ja toimitetaan asiakkaalle. Läpikäynti Elmon asiantuntijan kanssa mahdollistaa ymmärryksen varmistamisen ja jatkokysymyksiin vastaamisen. Haavoittuvuusskannauksen jälkeen mahdolliset haavoittuvuudet korjataan (huom. erillistoimeksiantona, mikäli korjaukset hoitaa Elmo) ja asiakkaan niin halutessa skannaus ajetaan uudelleen, jotta voidaan varmistua, että lopputulos on halutun kaltainen.
Varaa aika suoraan asiantuntijallemme
Autamme jäsentämään organisaationne nykytilannetta ja tunnistamaan ratkaisut, jotka tukevat sujuvaa arkea, tietoturvaa ja kasvua.
Aiheesta lisää
[referenssinostot]