Cybersecurity of Computer Networks
Ruha, Tomi (2018)
Ruha, Tomi
Metropolia Ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201804164734
https://urn.fi/URN:NBN:fi:amk-201804164734
Tiivistelmä
Insinöörityön tarkoituksena oli koota yhteen kyberturvallisuuden perusteet yrityksen näkökulmasta katsottuna. Työssä perehdyttiin tietoturvakäytänteisiin, -prosesseihin ja -kontrolleihin, muutamiin teknologioihin, joilla suojata verkkoa, sekä yhtenä tärkeimpänä tietoturva- ja tietoisuuskoulutuksiin. Tietoturva ja kyberturva eivät ole projekti vaan jatkuva prosessi yrityksissä. Kyberturvaa parantavat toimenpiteet voidaan aloittaa projektina, mutta projektin päättymisen jälkeen toimenpiteiden on jatkuttava prosessina.
Luottamuksellisuus, saatavuus ja eheys (CIA, Confidentiality, Integrity, Availability) ovat tietoturvan kolme tukipilaria. Insinöörityössä perehdyttiin kyberturvallisuuteen puolustavan kyberturvallisuuden näkökulmasta, mutta tarkasteltiin myös hyökkäävää kyberturvallisuutta. Nämä kaksi kulkevat käsi kädessä ja ovat yhtä tärkeitä osa-alueita kyberturvallisuudessa.
Työssä nostettiin esiin muutamia tärkeitä prosesseja, joiden pitäisi olla käytössä joka yrityksessä yrityksen koosta riippumatta. Niihin kuuluvat katastrofien elvytyssuunnitelmat, jotka ovat unohtuneet monelta yritykseltä toteuttaa. Ne ovat osa liiketoiminnan jatkuvuussuunnitelmaa. Muutoksenhallintaprosessin on hyvä olla olemassa etenkin niissä yrityksissä, joissa ylläpidetään tai tarjotaan palveluna asiakkaalle kriittisiä palveluita. Jokaisessa yrityksessä pitäisi olla käytössä ainakin nämä viisi tärkeintä turvallisuustoimenpidettä, jotka nostavat kyberturvallisuuden tasoa: valtuutettujen ja luvattomien laitteiden luettelo, valtuutettujen ja luvattomien ohjelmistojen luettelo, laitteistojen ja ohjelmistojen turvalliset konfiguroinnit, jatkuva haavoittuvuusarviointi ja kunnostaminen sekä hallittu hallintatunnuksien käyttäminen.
Insinöörityö auttaa ymmärtämään kyberturvallisuuden merkityksen nykyisessä tietotekniikan valloittamassa maailmassa, jossa yksilöiden elämä saattaa olla kiinni siitä, miten yrityksen tietoturva on toteutettu. Ihmisten henkilökohtaisen tiedon suojaamatta jättäminen koituu kohtalokkaaksi tulevaisuudessa, ja näiden asioiden käyttöön tuomisen on lähdettävä yrityksen johdosta käsin.
Luottamuksellisuus, saatavuus ja eheys (CIA, Confidentiality, Integrity, Availability) ovat tietoturvan kolme tukipilaria. Insinöörityössä perehdyttiin kyberturvallisuuteen puolustavan kyberturvallisuuden näkökulmasta, mutta tarkasteltiin myös hyökkäävää kyberturvallisuutta. Nämä kaksi kulkevat käsi kädessä ja ovat yhtä tärkeitä osa-alueita kyberturvallisuudessa.
Työssä nostettiin esiin muutamia tärkeitä prosesseja, joiden pitäisi olla käytössä joka yrityksessä yrityksen koosta riippumatta. Niihin kuuluvat katastrofien elvytyssuunnitelmat, jotka ovat unohtuneet monelta yritykseltä toteuttaa. Ne ovat osa liiketoiminnan jatkuvuussuunnitelmaa. Muutoksenhallintaprosessin on hyvä olla olemassa etenkin niissä yrityksissä, joissa ylläpidetään tai tarjotaan palveluna asiakkaalle kriittisiä palveluita. Jokaisessa yrityksessä pitäisi olla käytössä ainakin nämä viisi tärkeintä turvallisuustoimenpidettä, jotka nostavat kyberturvallisuuden tasoa: valtuutettujen ja luvattomien laitteiden luettelo, valtuutettujen ja luvattomien ohjelmistojen luettelo, laitteistojen ja ohjelmistojen turvalliset konfiguroinnit, jatkuva haavoittuvuusarviointi ja kunnostaminen sekä hallittu hallintatunnuksien käyttäminen.
Insinöörityö auttaa ymmärtämään kyberturvallisuuden merkityksen nykyisessä tietotekniikan valloittamassa maailmassa, jossa yksilöiden elämä saattaa olla kiinni siitä, miten yrityksen tietoturva on toteutettu. Ihmisten henkilökohtaisen tiedon suojaamatta jättäminen koituu kohtalokkaaksi tulevaisuudessa, ja näiden asioiden käyttöön tuomisen on lähdettävä yrityksen johdosta käsin.