Tunkeutumistestauksella vahvistusta omille prosesseille
Asiakastarina: kaupan alan yritys
Tietoturva on monessa yrityksessä ajankohtainen asia. Osassa tätä hoidetaan jo hyvin perusteellisesti ja osa vielä pohtii, mitkä olisivat riittävät toimenpiteet.
Kansainvälisesti tunnetussa kaupan alalla toimivassa yrityksessä on jo laajuutensa takia melko tarkkaan rakennetut toimintamallit tietoturvan varalta. Yrityksen riskienhallintapäällikkö kertoo, että heillä toteutetaan hyvin tyypillistä riskienhallintaprosessia, jonka pääalueita ovat tunnistaminen, analyysi ja päätöksentekoon vieminen.
"Tietoturva on käytännössä riskienhallintaa, johon liittyy myös paljon sääntelyä. Teemme arvioita ja tunnistamme riskejä. Sen jälkeen teemme kunnollisen analyysin vaikutuksista ja siitä kuinka todennäköisiä riskit ovat. Lopuksi teemme arvion riskinottokyvystämme ja -halukkuudestamme", riskienhallintapäällikkö pohtii.
Innofactorin kanssa hyvä yhteys
Yrityksessä toteutettiin niin kutsuttu Red Team -toimeksianto eli fyysinen läpäisytestaus, jossa suoritetaan luvallinen hyökkäys yrityksen fyysisiä turvajärjestelmiä, prosesseja ja käytäntöjä kohtaan. Myös sosiaalinen manipulointi oli osa toimeksiantoa.
"Innofactorin kanssa meillä oli hyvä yhteys alusta asti. Halusimme kuulla heiltä enemmän tällaisesta testaamisen maailmasta", riskienhallintapäällikkö kertoo.
Esiselvitystyön jälkeen järjestettiin kilpailutus, jonka perusteella Innofactor valittiin toteuttamaan myös projektin loppuvaiheet.
"Luottamus tekemiseen ja laatuun saatiin esiselvitysvaiheessa. Laadullisesti jäi hyvä fiilis. Toki heitä puolsi myös kilpailukykyinen hinta", riskienhallintapäällikkö muistelee.
LUE BLOGI: MITÄ ON FYYSINEN PENETRAATIOTESTAUS?
Red Team -hyökkäys testasi yrityksen tunnistustyötä
Testaus toteutettiin ns. black-box-mallin mukaisesti. Tämä tarkoittaa sitä, että hyökkäävä taho ei saa mitään ennakkotietoja penetroitavasta järjestelmästä vaan joutuu toimimaan ulkopuolisen tiedon voimin. Näin saatiin lisää maustetta yrityksen omaan tunnistamistyöhön sekä testattua sitä, löytyykö järjestelmästä niin kutsuttuja "blind spotteja" eli asioita, joita ei ole osattu ottaa huomioon.
"Suunnittelu oli huolellista. Meillä oli käytössämme neljä asiantuntijaa Innofactorilta, mutta omalta osaltamme pidimme tiimin mahdollisimman pienenä. Tarkoituksena oli, että henkilöstöllä ei olisi tietoa tällaisesta testauksesta", riskienhallintapäällikkö kertoo.
Huolellinen etupainoinen suunnittelu oli keskiössä. Suunnittelutyön jälkeen sovittiin tunkeutumistestauksen aikataulu. Kukaan yrityksestä ei tiennyt hyökkäyksen tarkkaa ajankohtaa.
"Varsinaisen harjoituksen aikana minäkään en tiennyt mitään tapahtuvan. Huomasin myös toimistolla liikkuessani jännittäväni sitä, miten reagoin, jos vastaan tulee tuttu naama. Onneksi en törmännyt kehenkään toimistolla, jotta asiat pysyivät salassa", riskienhallintapäällikkö hymyilee.
Testauksen tuloksista laadittiin kattavat raportit
Harjoituksen jälkeen Innofactorin asiantuntijat ovat käyneet yrityksen tiimin ja johdon kanssa saavutettuja tuloksia läpi raporttien muodossa. Asiantuntijoiden kanssa käyty keskustelu on ollut hedelmällistä, ja vastakysymyksiin on saatu hyvin vastauksia.
"Lopputulos oli odotustemme mukainen. Varsinaisia blind spotteja ei testauksessa löytynyt. Pari nostoa jäi meille sisäisesti pohdittavaksi, ja mietitään vielä, aiheuttavatko ne meille toimenpiteitä", riskienhallintapäällikkö kiittelee.
Testaus oli kyseessä olevan yrityksen ensimmäinen laatuaan. Tarkoitus oli nimenomaan hakea vahvistusta yrityksen käsitykselle omien tietoturvajärjestelmien riittävyydestä.
"Saimme positiivista vahvistusta omille prosesseillemme. Samalla saimme myös vahvistusta inhimillisten tekijöiden isolle merkitykselle eli sille, miten henkilöt meidän toiminnassamme kohtaavat vastaavia tilanteita ja osaavat niissä tilanteissa toimia", riskienhallintapäällikkö summaa.
"Tilanteen päällä pysyminen on kriittistä"
"On vaikea sanoa, kuinka usein tällainen testaus olisi hyvä suorittaa. Toimintaympäristön muutos kannusti meitä testauksen tekemiseen. Tilanteen päällä pysyminen on se kriittinen asia", riskienhallintapäällikkö pohtii.
Innofactorin toiminnasta hänellä on vain hyvää sanottavaa. Heidän ammattitaitonsa tällaisten projektien toteuttamiseen on vähintäänkin riittävä.
"Tavoitteena oli saada asiaan perehtyneeltä kumppanilta oppia ja kokemusta aiheesta. Innofactorin tiimissä oli riittävän erilaisia asiantuntijoita sekä hyvin eri näkökulmia. Meille jäi todella positiivinen fiilis heidän kanssaan toimimisesta. Suosittelen kyllä muillekin. Laatu ja huolellisuus vain vahvistuivat projektin aikana", riskienhallintapäällikkö päättää.
TUTUSTU RATKAISUUN: TIETOTURVA-ARVIOINNIT
Näin se tehtiin
Kaupan alan yritykselle toteutetussa ratkaisussa hyödynnettiin osaamistamme muun muassa seuraavilta osa-alueilta:
Suosittelija:
"Tavoitteena oli saada asiaan perehtyneeltä kumppanilta oppia ja kokemusta aiheesta. Innofactorin tiimissä oli riittävän erilaisia asiantuntijoita sekä hyvin eri näkökulmia. Meille jäi todella positiivinen fiilis heidän kanssaan toimimisesta. Suosittelen kyllä muillekin."
Riskienhallintapäällikkö
Tiedot
Tilaaja: | Kaupan alan asiakas |
Ajankohta: | 2022 |
Lisätietoja
Tagit
Liiketoimintaprosessi
Laatu, turvallisuus ja ympäristö |
Erikoisosaaminen
Tietoturva |
Toimialakokemus
Kauppa |
Teknologia
Microsoft |
Tarjonnan tyyppi
Konsultointi | |
Toteutustyö |
Omat tagit
Innofactor - Asiantuntijat ja yhteyshenkilöt
Innofactor - Muita referenssejä
Innofactor - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - IT BUSINESS PARTNERING DIRECTOR
- Laura - Data Engineer
- Laura - Datainsinööri, tietohallinto
- Laura - Ohjaaja media- ja it-tiimi / oppisopimus
- Laura - Kesätyöpaikat IT-ala
- Frends iPaaS - Technical Community Manager
- Druid Oy - Myyjä - hunter-henkinen tekijä, joka saa tuloksia aikaiseksi!
Premium-asiakkaiden viimeisimmät referenssit
- Maxtech - Muonion kunta modernisoi työajanseurantansa Maxtechin järjestelmällä
- Identio Oy - Identio x Svenska litteratursällskapet i Finland - Täsmäosaamista modernin sisällönhallintajärjestelmän kehittämiseen
- Hellon - Redefining Digital Insurance for Vodafone
- Agenda Digital - Fican.fi WordPress-verkkosivut
- Red & Blue Oy - Taivalkosken uusi saavutettava ja erottuva verkkopalvelu
- Hion Digital Oy - Vauvan ja vanhemman matkassa – Verkkosovellus, jonka sisältö mukautuu elämäntilanteeseen
- Verkkovaraani Oy - Uudet kotisivut Talin ja Ruusulan keilahalleille
Tapahtumat & webinaarit
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
- 15.01.2025 - SaaS-klubi: Myyntivetoinen kasvu
- 23.01.2025 - Generatiivisen tekoälyn hyödyt liiketoimintajohtajalle
- 29.01.2025 - Modern toolchain and AI breakfast seminar with Eficode, AWS and HashiCorp
- 30.01.2025 - Suuri Rahoitusilta
Premium-asiakkaiden viimeisimmät bloggaukset
- Maxtech - Avainta TES -muutokset ja niiden hallinta: Näin Maxtech voi auttaa
- Vetonaula Oy - Windows 10:n tuen päättyminen: mitä yrityksesi tulisi tietää?
- SC Software Oy - Koodia ihmiseltä ihmiselle jo 10 vuotta
- Aveso Oy - Kestävää tulevaisuutta rakentamassa teknologian avulla – IFS ESG-työkalut integroituna järjestelmään
- Identio Oy - Web Applications: How We Build Minimum Lovable Products in 2025 – Launching the Product
- Kisko Labs Oy - Ideasta innovatiiviseksi ohjelmistoksi ja menestyväksi liiketoiminnaksi
- Timeless Technology - Tempmate dataloggerit äärimmäisten lämpötilojen mittaamiseen.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |