10 asiaa, jotka tulee huomioida tietoturvapalvelua valittaessa
Yhteiskunnassamme on tapahtunut merkittäviä muutoksia viimeisen vuoden aikana, mikä on muuttanut tapojamme työskennellä. Kohtaamme nyt täysin uudenlaisia tietoturvahaasteita – tai kuten kyberrikolliset asian näkevät – uusia mahdollisuuksia. Tietoturvauhkien monimutkainen luonne oli jo tiedossa, kuten myös perusedellytys niiden varalta suojautumiselle. Tietoturvauhkien havainnointi vaatii jatkuvaa valppautta yrityksiltä.
Yhä useammat yritykset ovat huomanneet tehtävän olevan erittäin haastava yrityksen sisäisen IT-osaston hoidettavaksi. Tästä johtuen yritykset ostavat jatkuvasti enemmän tietoturvaa suoraan valmistajilta tai paikallisilta IT-toimijoilta, jotka pystyvät tarjoamaan sitä palveluna. Yrityksen omasta tietoturvasta huolehtiminen on yhtä tärkeää kuin sen varmistaminen, että potentiaalisella tietoturvapalveluiden tarjoajalla on itsellään tietoturva-asiat kunnossa. Tietoturvaosaamista ja tietoturvaan liittyvien prosessien hallitsemista ei tulisi koskaan pitää itsestäänselvyytenä.
Julkisilta ja suuremmilta yksityisiltä yrityksiltä voidaan edellyttää tietoturvan hallintajärjestelmää, ISO 27001-sertifikaattia tai vakiintuneita rutiineja tietoturvahyökkäysten tai niiden ilmeisten uhkien varalle. Mutta ollaanko näistä asioista yhtä tarkkoja pienemmissä yrityksissä? Luultavasti ei.
Mitä tietoturvapalvelua hankkiessa pitäisi tehdä?
Hyvä paikka aloittaa on paikallinen tietoturvaviranomainen, jota hallinnoi Suomessa Kyberturvallisuuskeskus. Norjan vastaava taho Norwegian National Security Authority (NSM) on kerännyt listan kymmenestä asiasta, johon on hyvä kiinnittää erityistä huomiota tietoturvapalvelua valitessa. Nämä asiat kannattaa tarkistaa riippumatta siitä, mitä tietoturvaan liittyvää palvelua ollaan hankkimassa.
- Löytyykö tietoturvapalvelun tarjoajalta hallintajärjestelmä tietoturvaan liittyvän tiedon jakamiseksi sekä kansainvälisten standardien mukainen sertifikaatti, kuten ISO / IEC 27001:2017
- Tarjoaako palveluntarjoaja tietoa tietoturva-arkkitehtuurista, jolle palvelu perustuu
- Tekeekö palveluntarjoaja aktiivisesti töitä tietoturvan kehittämiseksi myös tulevan teknologisen kehityksen ja tietoturvariskinäkymät huomioiden
- Löytyykö palveluntarjoajalta käsitys siitä, kenellä tulisi olla pääsy yrityksen tietoihin, missä ja miten tietoja tulisi prosessoida, ja miten yrityksen tiedot pidetään erillään asiakkaiden tiedoista
- Tarjoaako palveluntarjoaja sellaisia tietoturvaan liittyviä toiminnallisuuksia, joita yritys tarvitsee
- Tarjoaako palveluntarjoaja tietoturvamonitorointia tietoturvahyökkäysten ja poikkeavuuksien havainnoimiseksi
- Onko palveluntarjoajalla vakiintuneita rutiineja tietoturvahyökkäysten käsittelemiseksi ja poikkeavuuksien raportoimiseksi
- Onko palveluntarjoajalla yrityksen omien suunnitelmien kanssa yhteensopiva suunnitelma poikkeus- ja kriisitilanteiden varalle
- Onko palveluntarjoajalla käytössään prosessi alihankkijoiden ja prosessi niiden hyväksyttämiseksi
- Onko palvelutarjoaja selkeästi määritellyt, millaisia toimenpiteitä yhteistyösopimuksen päättyminen aiheuttaa, esimerkiksi yrityksen tietojen poistamiseen tai siirtämiseen liittyen.
Yrityksille yksi suurin haaste on yllä listattujen seikkojen arvioiminen, sillä tämä vaatii omanlaistaan asiantuntemusta. Kuka tahansa pystyy kuitenkin arvioimaan tapaa, jolla potentiaalinen palveluntarjoaja reagoi näitä seikkoja kartoittavaan kyselyyn. Jos vastaus tulee nopeasti ja on sisällöltään selkeä, voidaan päätellä tietoturvaan liittyvien perusasioiden olevan kunnossa. Epäselvä tai välttelevä vastaus puolestaan indikoi päinvastaista tilannetta. On kuitenkin tiedostettava, että tällaisen tulkinnan tekeminen on erittäin yksinkertaistettua ja parhaimmillaankin antaa vain alustavaa osviittaa johtopäätösten tekemiseksi. Tämän vuoksi suosittelemme, että asiantunteva taho olisi apuna eri palveluntarjoajilta saatujen vastausten arvioimiseksi.
Miten valitaan oikea palveluntarjoaja useiden ehdokkaiden joukosta?
Yllä olevan kriteeristön lisäksi on kriittistä punnita, millainen palveluntarjoaja on oikea juuri sinun yrityksellesi. Suosittelemme, että valitset sellaisen toimijan, jonka koko vastaa yrityksesi kokoa. Tämä takaa, että yrityksesi on tärkeä ja vakavasti otettava asiakas palveluntarjoajan näkökulmasta. Tämä takaa myös mahdollisuuden vaikuttaa muutoksiin, jotka tekevät tietoturvapalvelusta vielä paremmin sopivan juuri sinun yrityksellesi. Jos yrityksesi toimii pienten ja keskisuurten yritysten segmentissä, markkinoiden suurin ja tunnetuin toimija ei ole välttämättä valmis tai kykeneväinen toimimaan, tai mukauttamaan palvelunsa, sinun yrityksesi toiveiden mukaiseksi.
Viimeiseksi ennen tietoturvapalveluvalinnan tekemistä on kannattavaa pyytää pilotti- tai Proof of Concept -jaksoa. Tämän koejakson perusteella voit arvioida, onko palveluntarjoaja sinulle sopiva ja saatko tarjotusta palvelusta sen, mitä odotat saavasi.
Lisätietoja
Tagit
Pedab Finland - Asiantuntijat ja yhteyshenkilöt
Pedab Finland - Muita referenssejä
Pedab Finland - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Nordea - Sr IT Analyst - Adobe/SAS Marketing Automation
- Nordea - Senior IT / Business Analyst with technical background - Finland, Nordea Payments
- Nordea - Senior IT Analyst, Finnish language required
- Laura - DevOps Engineer
- Aveso Oy - ERP tekninen projektipäällikkö
- Aveso Oy - IFS ERP -konsultti
- Laura - Digiasiantuntija, PAMin keskustoimistoon Helsinkiin
Premium-asiakkaiden viimeisimmät referenssit
- Symbio - Taxi Point Oy
- Valve - Helsingin yliopiston ylioppilaskunnan verkkopalvelun siirto WordPressiin
- Valve - Eezy Valmennuskeskuksen verkkokauppa-uudistus
- Valve - Danonen Nutricia ja Aptaclub -brändien sivustot
- Hellon - Identifying growth opportunities with global Moomin fans
- Hellon - Award-Winning Inclusive Customer Experience for Northern
- Hellon - Developing a Life-Saving App to Boost Blood Donations
Tapahtumat & webinaarit
- 13.11.2024 - Rakettiwebinaari: ohjelmistotestaus ja sen tulevaisuus
- 14.11.2024 - RoimaDay 2024
- 14.11.2024 - Verkkolaskufoorumin syysseminaari 2024
- 19.11.2024 - The Future of Software - Embracing Collaboration in an AI-Powered World
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - Verkon luotettavuuden varmistaminen: Ota käyttöön Perle Systemsin teollisuustason 4G ja 5G reitittimet!
- Efima Oyj - Hyvästi turhat klikkailut: Näin moderni järjestelmä tehostaa myyntityötä erikoistavarakaupassa
- SC Software Oy - SC Softwaren uratarinat: Joel Ollikainen, konsultti
- Softlandia Oy - Sovelletun tekoälyn insinöörien esiinmarssi ja tekoälyosaamisen muutos
- Innofactor Oyj - 5 Copilot-vinkkiä Microsoft 365 -käyttäjälle
- Innofactor Oyj - Tekoäly käytännössä: 3 AI-työkalua myynnin ammattilaiselle
- TNNet Oy - "Asiakkaan tulee saada palvelua, joka jää mieleen"
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |