Tunkeutumistestaaminen toimitilaturvallisuuden kehittämisen apuna
Raikonen, Henna (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024101926564
https://urn.fi/URN:NBN:fi:amk-2024101926564
Tiivistelmä
Tämä opinnäytetyö on toteutettu Laurea-ammattikorkeakoulun turvallisuuden ja riskienhallinnan tradenomiopintojen lopputyönä. Keskeisenä tavoitteena oli selvittää tunkeutumistestaamisen merkitys ja sisältö sekä sen hyödyllisyys yritykselle, joka tilaa tunkeutumistestaamispalveluja. Lisäksi tarkoituksena oli kartoittaa Suomessa toimivia palveluntarjoajia, jotka tarjoavat tunkeutumistestauspalveluja. Työn toimeksiantajana toimi valtionhallinnon yritys, joka hyötyy tutkimuksen tuloksista, mutta työ on laadittu siten, että sen tulokset voivat palvella myös muita yrityksiä.
Teoria käsittelee yritysturvallisuutta, riskienhallintaa ja toimitilaturvallisuutta. Työssä käydään läpi myös erilaisia toimitilaturvallisuuden suojaamiskeinoja sekä kehäsuojausmallin kerroksittain suojaamisen keinot. Tietoperustan tiedot ovat peräisin niin kirjallisuudesta kuin sähköisistä lähteistä. Työ toteutettiin laadullisena tutkimuksena, jossa tietoa kerättiin asiantuntijahaastatteluiden kautta. Haastattelut toteutettiin teemahaastatteluina, jotka mahdollistivat keskustelunomaisen lähestymistavan ja antoivat syvällisiä näkemyksiä tunkeutumistestaamisesta.
Opinnäytetyötä tehdessä ilmeni, että fyysiseen tunkeutumistestaamiseen liittyvää tietoa on huomattavasti vähemmän saatavilla verrattuna tietoturvallisuuden tunkeutumistestaamiseen (pentestaukseen). Useimmat palveluntarjoajat keskittyvät nimenomaan pentestaukseen, vaikka osa tarjoaa myös fyysistä testausta osana palvelukokonaisuutta.
Tunkeutumistestaamisen avulla yritys voi kehittää toimitilojensa turvallisuutta. Esimerkiksi kehäsuojausmallin mukaisesti suojattuja tiloja voidaan kehittää tunkeutumistestaamisen aikana havaittujen puutteiden korjaamisella. Tällaiset puutteet voivat olla sellaisia, joita ei yrityksessä olla huomattu aiemmin, esimerkiksi puutteet järjestelmissä tai suojauksessa. Reagoimalla tunkeutumistestaamisesta saataviin kehitysehdotuksiin, voi yritys välttyä suuremmiltakin taloudellisilta ongelmilta ja parantaa liiketoimintansa jatkuvuutta.
Teoria käsittelee yritysturvallisuutta, riskienhallintaa ja toimitilaturvallisuutta. Työssä käydään läpi myös erilaisia toimitilaturvallisuuden suojaamiskeinoja sekä kehäsuojausmallin kerroksittain suojaamisen keinot. Tietoperustan tiedot ovat peräisin niin kirjallisuudesta kuin sähköisistä lähteistä. Työ toteutettiin laadullisena tutkimuksena, jossa tietoa kerättiin asiantuntijahaastatteluiden kautta. Haastattelut toteutettiin teemahaastatteluina, jotka mahdollistivat keskustelunomaisen lähestymistavan ja antoivat syvällisiä näkemyksiä tunkeutumistestaamisesta.
Opinnäytetyötä tehdessä ilmeni, että fyysiseen tunkeutumistestaamiseen liittyvää tietoa on huomattavasti vähemmän saatavilla verrattuna tietoturvallisuuden tunkeutumistestaamiseen (pentestaukseen). Useimmat palveluntarjoajat keskittyvät nimenomaan pentestaukseen, vaikka osa tarjoaa myös fyysistä testausta osana palvelukokonaisuutta.
Tunkeutumistestaamisen avulla yritys voi kehittää toimitilojensa turvallisuutta. Esimerkiksi kehäsuojausmallin mukaisesti suojattuja tiloja voidaan kehittää tunkeutumistestaamisen aikana havaittujen puutteiden korjaamisella. Tällaiset puutteet voivat olla sellaisia, joita ei yrityksessä olla huomattu aiemmin, esimerkiksi puutteet järjestelmissä tai suojauksessa. Reagoimalla tunkeutumistestaamisesta saataviin kehitysehdotuksiin, voi yritys välttyä suuremmiltakin taloudellisilta ongelmilta ja parantaa liiketoimintansa jatkuvuutta.