23 syys Kuukauden kysymys: Miksi tietoturvaa pitää testata?
IT-joukkueemme järjestelmäasiantuntija Arttu Antila vastasi tietoturvatestausta koskeviin kysymyksiin:
Mitä tietoturvatestaus tarkoittaa?
Lyhyesti summattuna voidaan puhua yksittäisen järjestelmän tai palvelun teknisen turvallisuuden testauksesta, mutta myös jonkin valitun fyysisen kohteen (esimerkiksi laitetilan) turvallisuuden testaamisesta.
Mitä tietoturvatestauksessa testataan?
Tietoturvatestauksella pyritään selvittämään testattavan kohteen turvallisuustaso ja haavoittuvuudet. Selvityksen perusteellisuus ja tason määritys perustuvat aina testattavan järjestelmän kriittisyyteen ja puitteisiin, jotka testaukselle asetetaan yhdessä asiakkaan kanssa. Jos puhutaan teknisestä tietoturvatestauksesta, kohteelle tehdään yleensä alkuvaiheessa automatisoiduilla työkaluilla haavoittuvuustestaus. Työkalujen avulla saadaan ensin suuntaa antava tulos turvallisuuden tasosta, mutta tulokset vaativat useimmiten myös manuaalisen varmennuksen.
Mihin tietoturvatestauksen tuloksia tarvitaan?
Tietoturvatestauksen tulokset kertovat testattavan ympäristön yleisestä turvallisuustasosta ja tarvittaessa tulokset listaavat myös yksityiskohtaisesti haavoittuvuuksien aiheuttajat ja niille tehtävät korjaustoimenpiteet. Testausraportin avulla asiakas pystyy tekemään tai teettänään tarvittavat korjaustoimenpiteet testatulle kohteelle.
Mitä tapahtuu tietoturvatestauksen jälkeen?
Korjausten jälkeen asiakkaan kanssa voidaan tehdä päätös siitä pitäydytäänkö kyseisen kohteen osalta kertaluontoisessa testauksessa vai aloitetaanko sitä testaamaan automatisoidusti läpi tietyin väliajoin. Automatisointi on hyvä vaihtoehto esimerkiksi järjestelmien säännölliseen testaukseen.
Miksi yrityksen kannattaa teettää tietoturvatestaus?
Mikäli yritys tarjoaa esimerkiksi palvelua, joka on julkisesti näkyvissä, on hyvä varmistua etteivät ulkopuoliset tahot pääse luvatta järjestelmän tietoihin käsiksi. Luvaton pääsy voi aiheuttaa mm. salassa pidettävien tietojen vuotamista tai häviämistä. Kyseeseen voi tulla myös henkilötietojen vuotaminen, joka nykyisen EU:n tietosuoja-asetuksen vuoksi saattaa aiheuttaa tuntuviakin sanktioita organisaatiolle. Henkilötietojen suojaamattomuus on myös iso riski yrityksen maineelle. Ulkopuolisten pääsy järjestelmään ei ole myöskään ainoa riskitekijä vaan vahinkoa voi aiheutua myös palvelunestohyökkäyksistä, jotka saattavat tehdä järjestelmään pitkän käyttökatkon.
Minkälaiselle yritykselle tietoturvatestaus sopii?
Testaus sopii kaikille, niin pienille kuin suurille yrityksille. Testauksen tarpeet ja tasot määritellään aina asiakaskohtaisesti ennen testauksen aloittamista.
Kauanko tietoturvatestaukseen menee aikaa?
Kesto riippuu täysin testauksen tasosta ja järjestelmän kompleksisuudesta. Jos kyseessä on esimerkiksi vain yksittäinen yksinkertainen verkkosivu, itse testaus ja tulosten varmennus saattaa hoitua muutamassa tunnissa. Laajempien kokonaisuuksien testauksessa aikaa vaaditaan huomattavasti enemmän.
Mitä tietoturvatestaus maksaa?
Esimerkiksi yksinkertaisen verkkosivuston perustestaus maksaa organisaatiolle muutaman satasen. Laajempien testausten hinta määritellään siinä vaiheessa, kun asiakkaan kanssa sovitaan testattavien kohteiden määrästä ja testausten tasosta.
Lisätietoja testauksesta saat ottamalla meihin yhteyttä.
Opsec Oy – Palvelut – Tietoturva – Tietoturvatestaus
Julkaisemme säännöllisesti asiakkailta tulleita kysymyksiä ja asiantuntijoidemme vastauksen niihin. Osa kysymyksistä tulee olemaan usein kysyttyjä kysymyksiä ja osa poimitaan päivittäisistä asiakaskohtaamisista. Jos mieltäsi askarruttaa jokin tietoturvaan, tietosuojaan tai tietohallintoon liittyvä kysymys, johon ehkä joku muukin haluaisi vastauksen, voit laittaa kysymyksesi tulemaan sähköpostilla osoitteeseen annukka.talvitie@opsec.fi. Emme voi luvata, että julkaisemme kaikki kysymykset vastauksineen, mutta valitsemme sellaisia kysymyksiä, joihin vastaamalla voimme auttaa useampaa yritystä kerrallaan.
