ISO27001-puuteanalyysi (engl. gap analysis) selvittää organisaation nykytilan suhteessa ISO27001:n vaatimuksiin hallintajärjestelmän määritellyn kattavuuden puitteissa. Usein puuteanalyysin päätteeksi laaditaan projektisuunnitelma standardin toteutukselle ja arvioidaan toteutuksen kustannukset. Puuteanalyysiin tyypillinen kesto on 1-6 viikkoa hallintajärjestelmän rajauksesta riippuen. ISO27001-puuteanalyysi koostuu kahdesta osa-alueesta: Arvio organisaation …
Tietoturvapalvelut
Miten toteutan ISO27001:n mukaisen tietoturvallisuuden hallintajärjestelmän sujuvasti?
Yllättävän monet pelkäävät kansainvälisen tietoturvastandardin, ISO27001:n, mukaisen tietoturvallisuuden hallintajärjestelmän toteuttamista, koska uskovat sen tarkoittavan ”pelkkää byrokratiaa”, ”merkittävää paperityötä” tai johtavan väistämättömästi ”suureen hankkeeseen”. Nämä uskomukset perustuvat kuitenkin yleensä myytteihin enemmän kuin kokemukseen hallintajärjestelmän toteuttamisesta. ISO27001:n toteuttaminen onnistuu vaiheistamalla ja määrittämällä …
Haavoittuvuuksien hallinta ja tietoturvatestaus osana laadukasta ohjelmistokehitystä
Laadukkaan ohjelmiston tulisi suoriutua toiminnallisuudestaan riittävän tehokkaasti ja kestää tahatonta väärinkäyttöä tahallisesta puhumattakaan. Valitettavasti web-sovellusten tietoturvaongelmat vaikuttavat kuitenkin säilyvän samoina tai samantyyppisinä esimerkiksi OWASP Top Ten -listoilla vuodesta toiseen. Ilmeisestikään tietoturvan rakentaminen web-sovelluksiin ei ole helppoa. Miksi näin? Harvan sovelluksen tärkein ominaisuus liittyy tietoturvaan. Aivan kuten …
Ovatko työntekijät uhka tietoturvalle vai sen tae?
Väite, että työntekijät ovat yrityksen suurin tietoturvauhka on totta ainoastaan, jos työntekijöiden tietoturvatietoisuuteen ei investoida. Tietoturvakoulutus on usein sitä, että kerrotaan työntekijöille mitä saa ja mitä ei saa tehdä. Esimerkiksi: Älä paljasta salasanaasi! Älä avaa epäilyttävää liitetiedostoa! Älä klikkaa linkkejä sosiaalisessa mediassa! Älä... Älä... Älä... ainakaan... Älä. Kuulostaako tutulta? Pelkkä sääntöjen tai ohjeiden listaaminen työntekijöille …