Open search

    Kybermittari – ja miksi se sopii juuri sinulle

    Ahdistaako auditointi? Tuntuuko, että yrityksen kyberturvallisuutta tulisi kehittää, mutta on vaikea tunnistaa sopivaa aloituskohtaa? Kokeile Kybermittaria! Yhdysvaltojen energiaviraston C2M2-malliin sekä NIST CSF:iin pohjautuva, Kyberturvallisuuskeskuksen tuottama Kybermittari yhdessä Instan asiantuntemuksen kanssa tarjoaa mahdollisuuden tunnistaa yrityksesi kyberturvallisuuskyvykkyyksien kypsyystaso joustavalla tavalla.

    Mikäli yritykselläsi on tarve tai halu selvittää kyberturvallisuuden kypsyystaso, mutta laaja ja työläs auditointi tuntuu tarpeettomalta nykytilanteeseen, kannattaa harkita kevyempää itsearviointia Kybermittaria hyödyntäen. Kybermittarilla saat käyttöösi kattavan kokoelman erilaisia kyberturvallisuuden osa-alueita käsitteleviä kriteereitä ilman osoitusvelvollisuutta. Ne mahdollistavat joustavan tavan oman toiminnan arviointiin ja seurantaan. Insta voi tukea prosessissa heti alusta lähtien niin, ettei oman henkilöstön tarvitse käyttää aikaansa suunnitteluun ja raportointiin, vaan pelkästään vastata kysymyksiin. Työpajojen suunnittelu ja järjestäminen sekä loppuraportin laadinta Instan asiantuntijan johdolla säästää aikaa ja vaivaa ja takaa laadukkaan lopputuloksen vankalla kokemuksella.

    Mikä ihmeen Kybermittari?

    Kybermittari on Kyberturvallisuuskeskuksen tuottama, kaikille vapaassa käytössä oleva työkalu, jonka avulla organisaatiot pystyvät arvioimaan itse omien toimintojensa kyberturvallisuuskyvykkyyksien kypsyystasoa. Mittarissa käsitellään kyberturvallisuuden eri osa-alueita kattavasti, ja siitä saatavat tulokset mahdollistavat niin vahvuuksien ja kehityskohteiden tunnistamisen kuin toimialakohtaisen vertailun.

    Käsiteltävät osa-alueet:

    • Kriittisten palveluiden suojaaminen
    • Omaisuuden, muutosten ja konfiguraation hallinta
    • Uhkien ja haavoittuvuuksien hallinta
    • Riskienhallinta
    • Identiteetin- ja pääsynhallinta
    • Tilannekuva
    • Tapahtumien ja häiriöiden hallinta, toiminnan jatkuvuus
    • Kolmansien osapuolten riskienhallinta
    • Henkilöstön johtaminen ja kehittäminen
    • Kyberturvallisuusarkkitehtuuri
    • Kyberturvallisuuden hallinta

     

    Työkalu ei rajoitu pelkästään teknisiin tai hallinnollisiin toimiin, vaan siinä tarkastellaan rinnakkain molempia, painotusten muuttuessa käsiteltävän aiheen mukaisesti. Harva organisaatio kykenee yhden tai kahden ihmisen voimin vastaamaan luotettavasti kaikkiin kysymyksiin, joten niiden läpikäynti tarjoaa mahdollisuuden laajempaan ajatustenvaihtoon organisaation sisällä. Saavutetut tulokset tarjoavat näkökulmia niin tietoturvan asiantuntijoille kuin yritysjohdolle.

    Työkalu on ilmainen, miksi palkkaisin konsultin käyttämään sitä?

    Kybermittari on hyvin monipuolinen työkalu, jota kannattaa ajatella ennemmin hyvänä ja keskustelevana prosessina kuin taulukon väkinäisenä täyttämisenä. Instan asiantuntija voi organisaation tarpeista riippuen toimia tukena kysymyksiin vastaamisessa ja loppuraportin koostamisessa – tai työpajojen fasilitaattorina ja keskustelun herättäjänä koko prosessin ajan. Tämän lisäksi fasilitoijan kokemukset aiemmista, vastaavista tilanteista voivat toimia hyvänä tukena hahmotettaessa oman organisaation epäselviä tilanteita.

    Kuluneen talven aikana olen saanut kunnian olla osana tällaisia arviointeja energia-alalla, ja asiakkaat ovat olleet yhtä monipuolisia kuin mittariin kerätyt vastaukset. Sekä voimakkaan itseohjautuvilla että täysin konsulttivetoisilla työskentelytavoilla on saavutettu organisaatioiden tarpeita vastaavat lopputuotteet. Työkalu itsessään tarjoaa tuloksena pylväskuvaajat ja kyberturvallisuuskyvykkyyden kypsyystasolle 1 edellytettävät toimenpiteet, mutta näiden lisäksi kaikille asiakkaille on laadittu työpajoissa käytyihin keskusteluihin ja työkaluun kirjattuihin kommentteihin pohjautuen laaja loppuraportti. Näiden raporttien sisältö on pyydettäessä myös esitelty organisaatioiden johtoryhmille tai muulle, aiheesta hyötyvälle yleisölle.

    Asiakkaat ovat kertoneet hyötyneensä eniten työpajoissa käydystä keskustelusta, joissa on voinut selvitä asioita, jotka eivät vain ole tulleet aiemmin puheeksi. Työpajojen laaja osallistujajoukko mahdollistaa vuoropuhelun myös sellaisten asiantuntijoiden välillä, jotka eivät arjessa usein kohtaa. Raportti sen sijaan toimii yhdessä työkalun kanssa muistirunkona, josta voidaan tarkastella kehityskohteita ja esitellä johdolle vain tärkeimmät ydinkohdat tehokkaasti.

    ”Ei meillä ole aikaa noin laajaan arviointiin”

    Mikäli organisaatio on aiemmin kohdannut jonkin laajan, monivaiheisen auditoinnin, myös Kybermittarin 369 kysymyksen arsenaali saattaa kuulostaa työläältä ja tuskaiselta. Tässä kohtaa on kuitenkin ensiarvoisen tärkeää muistaa, että työkalu toimii yrityksen itsearvioinnin välineenä, eikä kukaan tule edellyttämään vastauksen tueksi näyttöä materiaalin muodossa. Jos organisaatio täyttää vastauksiin, että asia on täysin hoidossa, vaikka asian eteen ei olisi tehty mitään, se saa erinomaisen kypsyystason. Tuloksella ei kuitenkaan ole mitään arvoa organisaatiolle, koska hyvästä tasosta ei palkita, eikä huonosta rankaista. Päin vastoin, tärkeintä olisi tunnistaa omia kehityskohteita kypsyystason parantamiseksi ja oman liiketoiminnan turvaamiseksi.

    Laajuudesta voi kuitenkin olla montaa mieltä. Mikäli kaikki toteutetaan puhtaasti konsultin johtamana, ilman suurempia ennakkovalmisteluja, tulee koko taulukon täyttäminen vaatimaan noin kolme tai neljä kahden tunnin työpajaa, riippuen keskustelun aktiivisuudesta ja työpajoihin valitun henkilöstön asiantuntemuksesta käsiteltävissä osa-alueissa. Muun taustatyön, kuten työpajojen valmistelun ja loppuraportin kirjoittamisen tekee konsultti, eikä niihin vaadita organisaation omalta henkilöstöltä aktiivista osallistumista.

    Jos tämä tuntuu edelleen oman organisaation tarpeisiin liian laajalta, voidaan rakennetta muokata tarpeisiin sopivammaksi. Jos organisaatiolla ei ole tarvetta korkealle tietoturvan tasolle, voidaan arvioida vain ensimmäisen tason kysymykset tai tiivistää kaikki osa-alueet muutamaan kysymykseen ja keskustella asioista avoimemmin yhden työpajan verran. Jos organisaatio on suorittanut jonkin muun arvioinnin tuoreeltaan, mutta kehittänyt jotain sen osa-aluetta sen jälkeen, voidaan arvioida tarvittaessa vain yksittäinen osa-alue. Työpajoista ja tuotteista voidaan räätälöidä jokaiselle asiakkaalle sopiva kokonaisuus.

     

    Ota yhteyttä:

    Lue kyberturvallisuuden asiantuntijapalveluistamme

    Kirjoittaja

    Ville Rantamäki