Tunkeutumistestauksella vahvistusta omille prosesseille
Asiakastarina: kaupan alan yritys
Tietoturva on monessa yrityksessä ajankohtainen asia. Osassa tätä hoidetaan jo hyvin perusteellisesti ja osa vielä pohtii, mitkä olisivat riittävät toimenpiteet.
Kansainvälisesti tunnetussa kaupan alalla toimivassa yrityksessä on jo laajuutensa takia melko tarkkaan rakennetut toimintamallit tietoturvan varalta. Yrityksen riskienhallintapäällikkö kertoo, että heillä toteutetaan hyvin tyypillistä riskienhallintaprosessia, jonka pääalueita ovat tunnistaminen, analyysi ja päätöksentekoon vieminen.
"Tietoturva on käytännössä riskienhallintaa, johon liittyy myös paljon sääntelyä. Teemme arvioita ja tunnistamme riskejä. Sen jälkeen teemme kunnollisen analyysin vaikutuksista ja siitä kuinka todennäköisiä riskit ovat. Lopuksi teemme arvion riskinottokyvystämme ja -halukkuudestamme", riskienhallintapäällikkö pohtii.
Innofactorin kanssa hyvä yhteys
Yrityksessä toteutettiin niin kutsuttu Red Team -toimeksianto eli fyysinen läpäisytestaus, jossa suoritetaan luvallinen hyökkäys yrityksen fyysisiä turvajärjestelmiä, prosesseja ja käytäntöjä kohtaan. Myös sosiaalinen manipulointi oli osa toimeksiantoa.
"Innofactorin kanssa meillä oli hyvä yhteys alusta asti. Halusimme kuulla heiltä enemmän tällaisesta testaamisen maailmasta", riskienhallintapäällikkö kertoo.
Esiselvitystyön jälkeen järjestettiin kilpailutus, jonka perusteella Innofactor valittiin toteuttamaan myös projektin loppuvaiheet.
"Luottamus tekemiseen ja laatuun saatiin esiselvitysvaiheessa. Laadullisesti jäi hyvä fiilis. Toki heitä puolsi myös kilpailukykyinen hinta", riskienhallintapäällikkö muistelee.
LUE BLOGI: MITÄ ON FYYSINEN PENETRAATIOTESTAUS?
Red Team -hyökkäys testasi yrityksen tunnistustyötä
Testaus toteutettiin ns. black-box-mallin mukaisesti. Tämä tarkoittaa sitä, että hyökkäävä taho ei saa mitään ennakkotietoja penetroitavasta järjestelmästä vaan joutuu toimimaan ulkopuolisen tiedon voimin. Näin saatiin lisää maustetta yrityksen omaan tunnistamistyöhön sekä testattua sitä, löytyykö järjestelmästä niin kutsuttuja "blind spotteja" eli asioita, joita ei ole osattu ottaa huomioon.
"Suunnittelu oli huolellista. Meillä oli käytössämme neljä asiantuntijaa Innofactorilta, mutta omalta osaltamme pidimme tiimin mahdollisimman pienenä. Tarkoituksena oli, että henkilöstöllä ei olisi tietoa tällaisesta testauksesta", riskienhallintapäällikkö kertoo.
Huolellinen etupainoinen suunnittelu oli keskiössä. Suunnittelutyön jälkeen sovittiin tunkeutumistestauksen aikataulu. Kukaan yrityksestä ei tiennyt hyökkäyksen tarkkaa ajankohtaa.
"Varsinaisen harjoituksen aikana minäkään en tiennyt mitään tapahtuvan. Huomasin myös toimistolla liikkuessani jännittäväni sitä, miten reagoin, jos vastaan tulee tuttu naama. Onneksi en törmännyt kehenkään toimistolla, jotta asiat pysyivät salassa", riskienhallintapäällikkö hymyilee.
Testauksen tuloksista laadittiin kattavat raportit
Harjoituksen jälkeen Innofactorin asiantuntijat ovat käyneet yrityksen tiimin ja johdon kanssa saavutettuja tuloksia läpi raporttien muodossa. Asiantuntijoiden kanssa käyty keskustelu on ollut hedelmällistä, ja vastakysymyksiin on saatu hyvin vastauksia.
"Lopputulos oli odotustemme mukainen. Varsinaisia blind spotteja ei testauksessa löytynyt. Pari nostoa jäi meille sisäisesti pohdittavaksi, ja mietitään vielä, aiheuttavatko ne meille toimenpiteitä", riskienhallintapäällikkö kiittelee.
Testaus oli kyseessä olevan yrityksen ensimmäinen laatuaan. Tarkoitus oli nimenomaan hakea vahvistusta yrityksen käsitykselle omien tietoturvajärjestelmien riittävyydestä.
"Saimme positiivista vahvistusta omille prosesseillemme. Samalla saimme myös vahvistusta inhimillisten tekijöiden isolle merkitykselle eli sille, miten henkilöt meidän toiminnassamme kohtaavat vastaavia tilanteita ja osaavat niissä tilanteissa toimia", riskienhallintapäällikkö summaa.
"Tilanteen päällä pysyminen on kriittistä"
"On vaikea sanoa, kuinka usein tällainen testaus olisi hyvä suorittaa. Toimintaympäristön muutos kannusti meitä testauksen tekemiseen. Tilanteen päällä pysyminen on se kriittinen asia", riskienhallintapäällikkö pohtii.
Innofactorin toiminnasta hänellä on vain hyvää sanottavaa. Heidän ammattitaitonsa tällaisten projektien toteuttamiseen on vähintäänkin riittävä.
"Tavoitteena oli saada asiaan perehtyneeltä kumppanilta oppia ja kokemusta aiheesta. Innofactorin tiimissä oli riittävän erilaisia asiantuntijoita sekä hyvin eri näkökulmia. Meille jäi todella positiivinen fiilis heidän kanssaan toimimisesta. Suosittelen kyllä muillekin. Laatu ja huolellisuus vain vahvistuivat projektin aikana", riskienhallintapäällikkö päättää.
TUTUSTU RATKAISUUN: TIETOTURVA-ARVIOINNIT
Näin se tehtiin
Kaupan alan yritykselle toteutetussa ratkaisussa hyödynnettiin osaamistamme muun muassa seuraavilta osa-alueilta:
Suosittelija:
"Tavoitteena oli saada asiaan perehtyneeltä kumppanilta oppia ja kokemusta aiheesta. Innofactorin tiimissä oli riittävän erilaisia asiantuntijoita sekä hyvin eri näkökulmia. Meille jäi todella positiivinen fiilis heidän kanssaan toimimisesta. Suosittelen kyllä muillekin."
Riskienhallintapäällikkö
Tiedot
Tilaaja: | Kaupan alan asiakas |
Ajankohta: | 2022 |
Lisätietoja
Tagit
Liiketoimintaprosessi
Laatu, turvallisuus ja ympäristö |
Erikoisosaaminen
Tietoturva |
Toimialakokemus
Kauppa |
Teknologia
Microsoft |
Tarjonnan tyyppi
Konsultointi | |
Toteutustyö |
Omat tagit
Innofactor - Asiantuntijat ja yhteyshenkilöt
Innofactor - Muita referenssejä
Innofactor - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
- Laura - Hankinta-asiantuntija, tietohallinto
- Laura - Development Manager, Operations
Premium-asiakkaiden viimeisimmät referenssit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
- Kisko Labs Oy - Sanoma Pro: Multimediasisältöjen hallinnan uudistaminen
- Kisko Labs Oy - Svean helppokäyttöinen palvelu asiakkaan verkko-ostosten hallintaan
- Kisko Labs Oy - Yhtenäinen käyttöliittymä luovien alojen ammattilaisille
- Codemate - Digitaalisen murroksen nopeuttaminen Flutterin avulla
Tapahtumat & webinaarit
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
- 27.11.2024 - Digitaalisen asiakaskokemuksen uusi aikakausi
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
Premium-asiakkaiden viimeisimmät bloggaukset
- Kisko Labs Oy - Heroku: Millaisiin projekteihin se sopii ja mitkä ovat sen todelliset hyödyt ja haitat?
- Zimple Oy - Pipedrive vai Hubspot? Kumpi kannattaa valita?
- SC Software Oy - Jatkuvat palvelut – asiakaslähtöistä kumppanuutta projekteista ylläpitoon
- Timeless Technology - Ohjelmoitavat logiikat (PLC): Ratkaisevat työkalut automaatioon ControlByWebiltä.
- Kisko Labs Oy - Heroku: Ohjelmistokehittäjän ykköstyökalu skaalautuvien sovellusten rakentamiseen
- SD Worx - Näin luot vakuuttavan Business Casen palkkahallinnon ulkoistukselle
- Timeless Technology - Kyberriskien tunnistaminen Profitap IOTA verkkoanalysaattorin avulla.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |