10 asiaa, jotka tulee huomioida tietoturvapalvelua valittaessa
Yhteiskunnassamme on tapahtunut merkittäviä muutoksia viimeisen vuoden aikana, mikä on muuttanut tapojamme työskennellä. Kohtaamme nyt täysin uudenlaisia tietoturvahaasteita – tai kuten kyberrikolliset asian näkevät – uusia mahdollisuuksia. Tietoturvauhkien monimutkainen luonne oli jo tiedossa, kuten myös perusedellytys niiden varalta suojautumiselle. Tietoturvauhkien havainnointi vaatii jatkuvaa valppautta yrityksiltä.
Yhä useammat yritykset ovat huomanneet tehtävän olevan erittäin haastava yrityksen sisäisen IT-osaston hoidettavaksi. Tästä johtuen yritykset ostavat jatkuvasti enemmän tietoturvaa suoraan valmistajilta tai paikallisilta IT-toimijoilta, jotka pystyvät tarjoamaan sitä palveluna. Yrityksen omasta tietoturvasta huolehtiminen on yhtä tärkeää kuin sen varmistaminen, että potentiaalisella tietoturvapalveluiden tarjoajalla on itsellään tietoturva-asiat kunnossa. Tietoturvaosaamista ja tietoturvaan liittyvien prosessien hallitsemista ei tulisi koskaan pitää itsestäänselvyytenä.
Julkisilta ja suuremmilta yksityisiltä yrityksiltä voidaan edellyttää tietoturvan hallintajärjestelmää, ISO 27001-sertifikaattia tai vakiintuneita rutiineja tietoturvahyökkäysten tai niiden ilmeisten uhkien varalle. Mutta ollaanko näistä asioista yhtä tarkkoja pienemmissä yrityksissä? Luultavasti ei.
Mitä tietoturvapalvelua hankkiessa pitäisi tehdä?
Hyvä paikka aloittaa on paikallinen tietoturvaviranomainen, jota hallinnoi Suomessa Kyberturvallisuuskeskus. Norjan vastaava taho Norwegian National Security Authority (NSM) on kerännyt listan kymmenestä asiasta, johon on hyvä kiinnittää erityistä huomiota tietoturvapalvelua valitessa. Nämä asiat kannattaa tarkistaa riippumatta siitä, mitä tietoturvaan liittyvää palvelua ollaan hankkimassa.
- Löytyykö tietoturvapalvelun tarjoajalta hallintajärjestelmä tietoturvaan liittyvän tiedon jakamiseksi sekä kansainvälisten standardien mukainen sertifikaatti, kuten ISO / IEC 27001:2017
- Tarjoaako palveluntarjoaja tietoa tietoturva-arkkitehtuurista, jolle palvelu perustuu
- Tekeekö palveluntarjoaja aktiivisesti töitä tietoturvan kehittämiseksi myös tulevan teknologisen kehityksen ja tietoturvariskinäkymät huomioiden
- Löytyykö palveluntarjoajalta käsitys siitä, kenellä tulisi olla pääsy yrityksen tietoihin, missä ja miten tietoja tulisi prosessoida, ja miten yrityksen tiedot pidetään erillään asiakkaiden tiedoista
- Tarjoaako palveluntarjoaja sellaisia tietoturvaan liittyviä toiminnallisuuksia, joita yritys tarvitsee
- Tarjoaako palveluntarjoaja tietoturvamonitorointia tietoturvahyökkäysten ja poikkeavuuksien havainnoimiseksi
- Onko palveluntarjoajalla vakiintuneita rutiineja tietoturvahyökkäysten käsittelemiseksi ja poikkeavuuksien raportoimiseksi
- Onko palveluntarjoajalla yrityksen omien suunnitelmien kanssa yhteensopiva suunnitelma poikkeus- ja kriisitilanteiden varalle
- Onko palveluntarjoajalla käytössään prosessi alihankkijoiden ja prosessi niiden hyväksyttämiseksi
- Onko palvelutarjoaja selkeästi määritellyt, millaisia toimenpiteitä yhteistyösopimuksen päättyminen aiheuttaa, esimerkiksi yrityksen tietojen poistamiseen tai siirtämiseen liittyen.
Yrityksille yksi suurin haaste on yllä listattujen seikkojen arvioiminen, sillä tämä vaatii omanlaistaan asiantuntemusta. Kuka tahansa pystyy kuitenkin arvioimaan tapaa, jolla potentiaalinen palveluntarjoaja reagoi näitä seikkoja kartoittavaan kyselyyn. Jos vastaus tulee nopeasti ja on sisällöltään selkeä, voidaan päätellä tietoturvaan liittyvien perusasioiden olevan kunnossa. Epäselvä tai välttelevä vastaus puolestaan indikoi päinvastaista tilannetta. On kuitenkin tiedostettava, että tällaisen tulkinnan tekeminen on erittäin yksinkertaistettua ja parhaimmillaankin antaa vain alustavaa osviittaa johtopäätösten tekemiseksi. Tämän vuoksi suosittelemme, että asiantunteva taho olisi apuna eri palveluntarjoajilta saatujen vastausten arvioimiseksi.
Miten valitaan oikea palveluntarjoaja useiden ehdokkaiden joukosta?
Yllä olevan kriteeristön lisäksi on kriittistä punnita, millainen palveluntarjoaja on oikea juuri sinun yrityksellesi. Suosittelemme, että valitset sellaisen toimijan, jonka koko vastaa yrityksesi kokoa. Tämä takaa, että yrityksesi on tärkeä ja vakavasti otettava asiakas palveluntarjoajan näkökulmasta. Tämä takaa myös mahdollisuuden vaikuttaa muutoksiin, jotka tekevät tietoturvapalvelusta vielä paremmin sopivan juuri sinun yrityksellesi. Jos yrityksesi toimii pienten ja keskisuurten yritysten segmentissä, markkinoiden suurin ja tunnetuin toimija ei ole välttämättä valmis tai kykeneväinen toimimaan, tai mukauttamaan palvelunsa, sinun yrityksesi toiveiden mukaiseksi.
Viimeiseksi ennen tietoturvapalveluvalinnan tekemistä on kannattavaa pyytää pilotti- tai Proof of Concept -jaksoa. Tämän koejakson perusteella voit arvioida, onko palveluntarjoaja sinulle sopiva ja saatko tarjotusta palvelusta sen, mitä odotat saavasi.
Lisätietoja
Tagit
Pedab Finland - Asiantuntijat ja yhteyshenkilöt
Pedab Finland - Muita referenssejä
Pedab Finland - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Tietoturva-asiantuntija
- Nordea - Senior Full Stack Developer with IAM knowledge
- Tecinspire Oy - Dev Team Lead - Kehityksen tiimipäällikkö
- Laura - IT Manager
- Laura - Network Specialist
- Laura - Tiedonhallinnan erityisasiantuntija
- Laura - Junior Cyber Security Specialist
Premium-asiakkaiden viimeisimmät referenssit
- Ampersand Design Oy - Asiantuntijuuden vahvistaminen referenssitarinoilla
- Verkkovaraani Oy - Lentorata.fi-sivuston saavutettavuusauditointi
- Innofactor Oyj - Apotek 1 tarjoaa innovatiivisia palveluja Azure Kubernetes -ratkaisun avulla
- Innofactor Oyj - Business Centralin lisäarvoratkaisut tehostavat Domicetin liiketoimintaa
- Efima Oyj - Case Martela: Luottamus ERP-kumppaniin rakentui tehtaan lattialla
- Valve - Korsisaari uudistunut verkkopalvelu
- Valve - Musiikkituottajat – IFPI Finland ry verkkopalvelun uudistus
Tapahtumat & webinaarit
- 21.05.2024 - The path to productization
- 21.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Business Centralin mahdollisuudet versionvaihdon jälkeen
- 23.05.2024 - Ilmainen BI ja ERP-webinaari: Paradigman muutos
- 28.05.2024 - SprintIT webinaari ti 28.5. klo 10: Odoo Raportointi - Sitä saat mitä mittaat!
- 29.05.2024 - Efistream-webinaari: Näin rakennat modernin taloushallinnon, joka tukee tiedolla johtamista
- 29.05.2024 - Ilmainen ERP-webinaari: Forbesin maailman parhaaksi valitseman liiketoimintaohjelmiston, Business Centralin, esittely ja demo
- 30.05.2024 - Palvelumuotoilu osana DevOpsia
Premium-asiakkaiden viimeisimmät bloggaukset
- Ready Solutions Oy - Tietomallit osana informaatioarkkitehtuuria
- Timeless Technology - Milesight UR32L Lite Series teollisuusreititin hintaan 115,00€!
- Innofactor Oyj - Dynasty Asiointipalvelun 3 tärkeintä hyötyä
- Efima Oyj - Microsoft Fabric -sanakirja: esittelyssä Fabricin analytiikkatyökalut
- Staria Oyj - Citycon ulkoistaa pohjoismaiseen talous- ja vuokrahallintoon liittyvät toiminnot Starialle
- Timeless Technology - Perlen 4G ja 5G reitittimet: Virtaviivaista verkonhallintaasi Docker OCI-säilöillä.
- Ready Solutions Oy - Lakehouse – alusta vai tietovarasto moderniin analytiikkakehitykseen?
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |