Mietityttääkö tietoturvan mittaaminen? Esittelyssä kolme yleismittaria
Organisaation tietoturvan mittaamiseen ei ole olemassa yhtä yleispätevää mallia. Mittaristo tulee valita ja mitoittaa aina organisaatiokohtaisesti, sillä organisaatiot ovat erilaisia ja tavoitteet tietoturvallisuuden osalta vaihtelevat. Nostamme kuitenkin esiin kolme yleismittaria, jotka antavat hyvää osviittaa tietoturvan tasosta ja pätevät kaikenlaisiin organisaatioihin. Jos harkinnassa on ISO 27001 -sertifiointi, voidaan mittareilla täyttää tietoturvatason mittauksen vaatimukset.
Verkkoskannaus
Verkkoskannaus on tehokas työkalu tietoturvan arviointiin, sillä sen avulla voidaan tunnistaa verkkoympäristöstä riskejä aiheuttavat tietoturva-aukot. Skannaaminen suoritetaan käymällä verkkoa läpi haavoittuvuusskannerin avulla. Tavoitteena on löytää järjestelmien ja palveluiden haavoittuvuudet ja liian löysät palomuurisäännöt, jotka voivat altistaa ympäristön kyberhyökkäyksille.
Säännöllinen verkkoskannaus antaa yritykselle ajantasaisen kuvan tietoturvan tilasta ja mahdollistaa nopean reagoinnin uusiin uhkiin. Skannauksen pohjalta voidaan arvioida, kuinka vakavia tunnistetut haavoittuvuudet ovat ja kuinka todennäköisesti ne voivat johtaa tietoturvaloukkauksiin. Skannaus myös tuottaa yksityiskohtaisia raportteja, joita voidaan käyttää pohjana tietoturvan kehittämiselle ja päätöksenteolle.
Esimerkkejä verkkoskannauksen mittareista:
- Onko kaikki säännölliset skannaukset tehty ja dokumentoitu? Tavoitteena on suorittaa kaikki skannaukset.
- Onko skannaus löytänyt poikkeamia? Tavoitteen on löytää X määrää poikkeamia. Jos määrä jää alle tavoitelukeman, on tarpeen pohtia, tapahtuuko skannaus oikein vai onko järjestelmän ylläpito puhtaasti todella hyvällä mallilla.
Toteutamme TNNetin verkkoskannauspalvelun Tenable Nessus -tietoturvatuotteella. Lue lisää TNNetin verkkoskannauksesta.
Käyttäjien tietoturvatestaus
Loppukäyttäjien tekemät virheet näyttelevät huomattavan suurta osaa organisaatioihin kohdistuvissa kyberhyökkäyksissä. Tietoturvatestaaminen on oiva mittari organisaation tietoturvan yhden keskeisen osa-alueen eli henkilökunnan IT-käyttäytymisen riskien havainnointiin. Säännöllinen ja jatkuvasti tapahtuva tietoturvatestaus auttaa selvittämään, kuinka hyvin henkilökunta on valmistautunut torjumaan kalasteluviestejä sekä muita sähköpostin ja viestintäsovellusten kautta saapuvia uhkia.
- Tietoturvatestauksessa käyttäjille lähetetään summittaisina ajankohtina organisaatiokohtaisesti räätälöityjä kalasteluviestejä.
- Viesti sisältää linkin tai liitetiedoston, jonka klikkaamiseen tai avaamiseen vastaanottajaa houkutellaan lankeamaan.
- Organisaation pääkäyttäjä voi seurata käyttöportaalin raportoinnista, kuinka henkilökunta on suoriutunut hyökkäyssimulaatioista.
Tietoturvatestauksen mittarina voisi esimerkiksi olla tavoite säilyttää käyttäjien osaaminen yli 70 %:n tasolla vuoden ajan.
Kalasteluhyökkäysten onnistumisen riskiä voidaan pienentää huomattavasti tietoturvatestaukseen yhdistettävillä tietoturvan mikrokoulutuksilla. Työn lomassa suoritettavat muutaman minuutin mittaiset mikrokoulutukset muokkautuvat kullekin käyttäjälle testauksen tulosten mukaisesti.
TNNetin tietoturvatestaus ja mikrokoulutukset toteutetaan Nimbrl-järjestelmällä.
M365-tietoturvanhallinta
M365-tietoturvanhallinta kertoo pilvipalveluiden tietoturvan tason. Uusien ominaisuuksien ja ympäristön muutosten tietoturvavaikutuksia voidaan mitata esimerkiksi TNNetin asiantuntijoiden luomilla KPI-mittareilla.
KPI-mittareiden avulla M365:n tietoturvaominaisuuksia pisteytetään, ja mitä enemmän kyseinen ominaisuus vaikuttaa tietoturvaan, sitä isommat pisteet se voi saada. Pilviympäristön tietoturvan täyteen kokonaispistemäärään vaaditaan kaikkien M365-tietoturvaominaisuuksien käyttöönotto. Liikkeelle lähdetään vakiopisteytyksestä, josta pilvipalvelun tietoturvaa kehitetään M365-tietoturvaominaisuus kerrallaan kohti mahdollisimman hyvää tulosta.
Mittareiden tuloksia raportoidaan asiakkaalle säännöllisesti. Samalla voidaan tuoda ilmi tulevia kehityskohteita: mitä tietoturvaominaisuuksia nykyisistä M365 -lisensseistä puuttuu, ja mitä vaikutuksia sillä voi olla ympäristön kokonaisturvallisuuteen.
Onko organisaation tietoturvan mittaaminen mielen päällä? TNNetiltä löytyy toimivia konsteja, kysy lisää asiantuntijoiltamme!
Aloita tietoturvan mittaaminen nyt!
Meiltä löytyy monipuoliset mittarit yrityksen tietoturvatason kartoittamiseen. Selvitetään yhdessä sopivat mittarit, ja laitetaan tietoturvan kehittäminen vauhtiin!
Kysy lisää:
