Hae it-yrityksiä
osaamisalueittain:

Asiakkuudenhallinta CRM BI ja raportointi HR Tuotekehitys ja suunnittelu Toiminnanohjaus ERP Taloushallinto Markkinointi Webkehitys Mobiilikehitys Käyttöliittymäsuunnittelu Tietoturva Verkkokaupparatkaisut Ohjelmistokehitys Integraatiot Pilvipalvelut / SaaS Tekoäly (AI) ja koneoppiminen Lisätty todellisuus ja VR Paikkatieto GIS IoT Microsoft SAP IBM Salesforce Amazon Web Services Javascript React PHP WordPress Drupal
Innofactor » Referenssi

Tunkeutumistestauksella vahvistusta omille prosesseille

Referenssi

Asiakastarina: kaupan alan yritys

Tietoturva on monessa yrityksessä ajankohtainen asia. Osassa tätä hoidetaan jo hyvin perusteellisesti ja osa vielä pohtii, mitkä olisivat riittävät toimenpiteet.

Kansainvälisesti tunnetussa kaupan alalla toimivassa yrityksessä on jo laajuutensa takia melko tarkkaan rakennetut toimintamallit tietoturvan varalta. Yrityksen riskienhallintapäällikkö kertoo, että heillä toteutetaan hyvin tyypillistä riskienhallintaprosessia, jonka pääalueita ovat tunnistaminen, analyysi ja päätöksentekoon vieminen.

"Tietoturva on käytännössä riskienhallintaa, johon liittyy myös paljon sääntelyä. Teemme arvioita ja tunnistamme riskejä. Sen jälkeen teemme kunnollisen analyysin vaikutuksista ja siitä kuinka todennäköisiä riskit ovat. Lopuksi teemme arvion riskinottokyvystämme ja -halukkuudestamme", riskienhallintapäällikkö pohtii.

Innofactorin kanssa hyvä yhteys

Yrityksessä toteutettiin niin kutsuttu Red Team -toimeksianto eli fyysinen läpäisytestaus, jossa suoritetaan luvallinen hyökkäys yrityksen fyysisiä turvajärjestelmiä, prosesseja ja käytäntöjä kohtaan. Myös sosiaalinen manipulointi oli osa toimeksiantoa.

"Innofactorin kanssa meillä oli hyvä yhteys alusta asti. Halusimme kuulla heiltä enemmän tällaisesta testaamisen maailmasta", riskienhallintapäällikkö kertoo.

Esiselvitystyön jälkeen järjestettiin kilpailutus, jonka perusteella Innofactor valittiin toteuttamaan myös projektin loppuvaiheet.

"Luottamus tekemiseen ja laatuun saatiin esiselvitysvaiheessa. Laadullisesti jäi hyvä fiilis. Toki heitä puolsi myös kilpailukykyinen hinta", riskienhallintapäällikkö muistelee.

LUE BLOGI: MITÄ ON FYYSINEN PENETRAATIOTESTAUS?

Red Team -hyökkäys testasi yrityksen tunnistustyötä

Testaus toteutettiin ns. black-box-mallin mukaisesti. Tämä tarkoittaa sitä, että hyökkäävä taho ei saa mitään ennakkotietoja penetroitavasta järjestelmästä vaan joutuu toimimaan ulkopuolisen tiedon voimin. Näin saatiin lisää maustetta yrityksen omaan tunnistamistyöhön sekä testattua sitä, löytyykö järjestelmästä niin kutsuttuja "blind spotteja" eli asioita, joita ei ole osattu ottaa huomioon.

"Suunnittelu oli huolellista. Meillä oli käytössämme neljä asiantuntijaa Innofactorilta, mutta omalta osaltamme pidimme tiimin mahdollisimman pienenä. Tarkoituksena oli, että henkilöstöllä ei olisi tietoa tällaisesta testauksesta", riskienhallintapäällikkö kertoo.

Huolellinen etupainoinen suunnittelu oli keskiössä. Suunnittelutyön jälkeen sovittiin tunkeutumistestauksen aikataulu. Kukaan yrityksestä ei tiennyt hyökkäyksen tarkkaa ajankohtaa.

"Varsinaisen harjoituksen aikana minäkään en tiennyt mitään tapahtuvan. Huomasin myös toimistolla liikkuessani jännittäväni sitä, miten reagoin, jos vastaan tulee tuttu naama. Onneksi en törmännyt kehenkään toimistolla, jotta asiat pysyivät salassa", riskienhallintapäällikkö hymyilee.

Testauksen tuloksista laadittiin kattavat raportit

Harjoituksen jälkeen Innofactorin asiantuntijat ovat käyneet yrityksen tiimin ja johdon kanssa saavutettuja tuloksia läpi raporttien muodossa. Asiantuntijoiden kanssa käyty keskustelu on ollut hedelmällistä, ja vastakysymyksiin on saatu hyvin vastauksia.

"Lopputulos oli odotustemme mukainen. Varsinaisia blind spotteja ei testauksessa löytynyt. Pari nostoa jäi meille sisäisesti pohdittavaksi, ja mietitään vielä, aiheuttavatko ne meille toimenpiteitä", riskienhallintapäällikkö kiittelee.

Testaus oli kyseessä olevan yrityksen ensimmäinen laatuaan. Tarkoitus oli nimenomaan hakea vahvistusta yrityksen käsitykselle omien tietoturvajärjestelmien riittävyydestä.

"Saimme positiivista vahvistusta omille prosesseillemme. Samalla saimme myös vahvistusta inhimillisten tekijöiden isolle merkitykselle eli sille, miten henkilöt meidän toiminnassamme kohtaavat vastaavia tilanteita ja osaavat niissä tilanteissa toimia", riskienhallintapäällikkö summaa.

"Tilanteen päällä pysyminen on kriittistä"

"On vaikea sanoa, kuinka usein tällainen testaus olisi hyvä suorittaa. Toimintaympäristön muutos kannusti meitä testauksen tekemiseen. Tilanteen päällä pysyminen on se kriittinen asia", riskienhallintapäällikkö pohtii.

Innofactorin toiminnasta hänellä on vain hyvää sanottavaa. Heidän ammattitaitonsa tällaisten projektien toteuttamiseen on vähintäänkin riittävä.

"Tavoitteena oli saada asiaan perehtyneeltä kumppanilta oppia ja kokemusta aiheesta. Innofactorin tiimissä oli riittävän erilaisia asiantuntijoita sekä hyvin eri näkökulmia. Meille jäi todella positiivinen fiilis heidän kanssaan toimimisesta. Suosittelen kyllä muillekin. Laatu ja huolellisuus vain vahvistuivat projektin aikana", riskienhallintapäällikkö päättää.

TUTUSTU RATKAISUUN: TIETOTURVA-ARVIOINNIT

Näin se tehtiin

Kaupan alan yritykselle toteutetussa ratkaisussa hyödynnettiin osaamistamme muun muassa seuraavilta osa-alueilta:

Suosittelija:

"Tavoitteena oli saada asiaan perehtyneeltä kumppanilta oppia ja kokemusta aiheesta. Innofactorin tiimissä oli riittävän erilaisia asiantuntijoita sekä hyvin eri näkökulmia. Meille jäi todella positiivinen fiilis heidän kanssaan toimimisesta. Suosittelen kyllä muillekin."

Riskienhallintapäällikkö

Pinterest
Referenssin infoboxi
Innofactor Oyj logo

Tiedot

Tilaaja: Kaupan alan asiakas
Ajankohta: 2022

Lisätietoja

Yritysprofiili Innofactor kotisivut

Tagit

Jos tarjontatagi on sininen, pääset klikkaamalla sen kuvaukseen

Liiketoimintaprosessi

Laatu, turvallisuus ja ympäristö

Erikoisosaaminen

Tietoturva

Toimialakokemus

Kauppa

Teknologia

Microsoft

Tarjonnan tyyppi

Konsultointi
Toteutustyö

Omat tagit

kyberturvallisuus
penetraatiotestaus

Siirry yrityksen profiiliin Innofactor kotisivut Yrityshaku Referenssihaku Julkaisuhaku

Innofactor - Asiantuntijat ja yhteyshenkilöt

Asiantuntijoita ja yhteyshenkilöitä ei ole vielä kuvattu.

Innofactor - Muita referenssejä

Innofactor - Muita bloggauksia

Löydä sopivimmat it- ja ohjelmistoyritykset liiketoiminnan kehityskumppaneiksi

ite wikin yrityshaku »

It- ja ohjelmistoalan työpaikat

Kaikki it-alan työpaikat »

Premium-asiakkaiden viimeisimmät referenssit

ite wikin referenssihaku »

Tapahtumat & webinaarit

Kaikki it-alan tapahtumat »

Premium-asiakkaiden viimeisimmät bloggaukset

ite wikin julkaisuhaku »

Digitalisaatio & innovaatiot blogimedia

Blogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä
Marras 20
Suomalaisten it- ja ohjelmistoyritysten uusimmat referenssit ja asiakassuositukset
Asiakaskokemukset ohjaavat it-hankkijat osaavien it-toimittajien suuntaan
Marras 7
It-kilpailutusprosessin ja it-hankinnan vaiheet, tarjouspyynnön teko ja it-toimittajan valinta
Näiden vaiheiden avulla yritys voi varmistaa, että it-kilpailutus etenee suunnitellusti
Loka 30
Suomalainen innovaatiotoimisto on kansainvälisesti palkittu ja kehittää digitaalisia palveluita maailman suurimmille firmoille - Näin Hellonin palvelumuotoiluprosessi eroaa it-toimittajien mallista
Hellon on kerännyt useita kansainvälisiä digitaalisen designin palkintoja
Siirry blogiin

Etusivu Yrityshaku Pikahaku Referenssihaku Julkaisuhaku Blogimedia