Yrityksen tietoturvan ulkoinen tarkastus
Lindroos, Robin (2018)
Lindroos, Robin
Laurea-ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018053111430
https://urn.fi/URN:NBN:fi:amk-2018053111430
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli selvittää yrityksen tietoturvan nykytila. Opinnäytetyön tarkoitus oli auttaa yritystä täydentämään EU:n tietosuoja-asetukseen (GDPR) valmistautuessa puuttunutta dokumentaatiota laatimalla yleiskuvaus yrityksen tietoliikenne-, tietojärjestelmä-, tietoaineisto- ja käyttöturvallisuudesta sekä paikkaamaan havaitut puutteet.
Opinnäytetyön tietoperusta koostuu laadullisesta tutkimusmenetelmästä, tapaustutkimuksesta, KATAKRI-auditointikriteeristöstä, riskianalyysistä sekä erilaisten hyökkäys- ja puolustusmenetelmien kirjallisuudesta.
Tutkimuksen aikana ilmenneet havainnot kirjattiin yrityksen riskienhallintatyökaluun ja muistiinpanojen pohjalta laadittiin lopulliset tutkimustulokset. Havaitut puutteet laitettiin tärkeysjärjestykseen riskianalyysin tulosten perusteella, joka yhdisti riskin todennäköisyyden ja sen seurauksen vakavuuden.
Yrityksen tietoturva oli pääosin hyvällä tasolla eikä sen tietoverkkoihin, tietojärjestelmiin, aineistoihin tai henkilöstöön kohdistu välitöntä ulkoista tai sisäistä uhkaa. Vakavimpia puutteita oli salausratkaisuissa, järjestelmän kovennuksessa, turvallisuuteen liittyvien tapahtumien jäljitettävyydessä ja toimijoiden tunnistamisessa.
Toimeksiantajan antama palaute oli positiivista. Lopullista tuotosta arvioitiin tulosten analyyttisyydellä ja laadulla. Katakri-auditointityökalu sopi tutkimukseen hyvin ja tuloksia saatiin paljon aikaiseksi, joskin sellaisenaan se on tarkoitettu yrityksille, joilla on enemmän salassa pidettävää tietoa, joten harkintaa oli käytettävä jonkin verran sen sovittamiseksi kohdeyrityksen tarpeisiin.
Opinnäytetyön tietoperusta koostuu laadullisesta tutkimusmenetelmästä, tapaustutkimuksesta, KATAKRI-auditointikriteeristöstä, riskianalyysistä sekä erilaisten hyökkäys- ja puolustusmenetelmien kirjallisuudesta.
Tutkimuksen aikana ilmenneet havainnot kirjattiin yrityksen riskienhallintatyökaluun ja muistiinpanojen pohjalta laadittiin lopulliset tutkimustulokset. Havaitut puutteet laitettiin tärkeysjärjestykseen riskianalyysin tulosten perusteella, joka yhdisti riskin todennäköisyyden ja sen seurauksen vakavuuden.
Yrityksen tietoturva oli pääosin hyvällä tasolla eikä sen tietoverkkoihin, tietojärjestelmiin, aineistoihin tai henkilöstöön kohdistu välitöntä ulkoista tai sisäistä uhkaa. Vakavimpia puutteita oli salausratkaisuissa, järjestelmän kovennuksessa, turvallisuuteen liittyvien tapahtumien jäljitettävyydessä ja toimijoiden tunnistamisessa.
Toimeksiantajan antama palaute oli positiivista. Lopullista tuotosta arvioitiin tulosten analyyttisyydellä ja laadulla. Katakri-auditointityökalu sopi tutkimukseen hyvin ja tuloksia saatiin paljon aikaiseksi, joskin sellaisenaan se on tarkoitettu yrityksille, joilla on enemmän salassa pidettävää tietoa, joten harkintaa oli käytettävä jonkin verran sen sovittamiseksi kohdeyrityksen tarpeisiin.