Penetraatiotestauksen hyödyt pienen yrityksen liiketoiminnan jatkuvuuden takaamiseksi
Koskela, Petra (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025122738944
https://urn.fi/URN:NBN:fi:amk-2025122738944
Tiivistelmä
Opinnäytetyön tarkoituksena on tarkastella penetraatiotestausta tietoturvan välineenä sekä perehtyä sen mahdollisiin hyötyihin pienten yritysten toiminnan jatkuvuuteen. Pieniin ja keskisuuriin yrityksiin kohdistuu merkittävä osuus kaikista tietomurroista, jonka vuoksi tutkittavana oli voiko penetraatiotestausta hyödyntää pienten yritysten tietoturvassa.
Työ on tutkiva kirjallisuuskatsaukseen perustuva tutkimus, eikä siinä suoritettu penetraatiotestausta käytännössä vaan tarkasteltiin testausta olemassa olevan tutkimuskirjallisuuden, standardien sekä dokumentaation avulla. Työn tietoperustana toimi tarkasteltujen työkalujen dokumentaatiot, alan artikkelit, penetraatiotestauksen PTES-standardi sekä NIST tietoturvan viitekehys. Tietoperustan avulla perehdyttiin penetraatiotestaukseen sekä sen hyötyihin yritysten tietoturvassa.
Yritysten tietoliikenneinfrastruktuurin laajuuden vuoksi, tulee testaukseen käytettävät työkalut valita testauksen tavoitteiden mukaisesti. Työssä esiteltiin esimerkkityökaluja penetraatiotestauksen eri vaiheissa käytettäväksi sekä muita keinoja tietoturvan tukemiseksi yritystoiminnassa. Tutkimuksen perusteella todettiin, että penetraatiotestaus ei ole pienille yrityksille toimivin ratkaisu tietoturvan ylläpitämiseksi. Lopuksi pohdittiin mitkä keinot tämän sijaan edesauttaisivat parhaiten pienten yritysten toiminnan jatkuvuutta. Pienille yrityksille paras keino tietoturvan tukemiseksi tutkimuksen perusteella olisi luoda kattava riskienhallintasuunitelma, joka voidaan tuottaa yritykselle ilman merkittäviä lisäkuluja käyttäen hyväksi NIST viitekehystä sekä henkilöstön kouluttaminen sekä tietoturvaan perehdyttäminen.
Työ on tutkiva kirjallisuuskatsaukseen perustuva tutkimus, eikä siinä suoritettu penetraatiotestausta käytännössä vaan tarkasteltiin testausta olemassa olevan tutkimuskirjallisuuden, standardien sekä dokumentaation avulla. Työn tietoperustana toimi tarkasteltujen työkalujen dokumentaatiot, alan artikkelit, penetraatiotestauksen PTES-standardi sekä NIST tietoturvan viitekehys. Tietoperustan avulla perehdyttiin penetraatiotestaukseen sekä sen hyötyihin yritysten tietoturvassa.
Yritysten tietoliikenneinfrastruktuurin laajuuden vuoksi, tulee testaukseen käytettävät työkalut valita testauksen tavoitteiden mukaisesti. Työssä esiteltiin esimerkkityökaluja penetraatiotestauksen eri vaiheissa käytettäväksi sekä muita keinoja tietoturvan tukemiseksi yritystoiminnassa. Tutkimuksen perusteella todettiin, että penetraatiotestaus ei ole pienille yrityksille toimivin ratkaisu tietoturvan ylläpitämiseksi. Lopuksi pohdittiin mitkä keinot tämän sijaan edesauttaisivat parhaiten pienten yritysten toiminnan jatkuvuutta. Pienille yrityksille paras keino tietoturvan tukemiseksi tutkimuksen perusteella olisi luoda kattava riskienhallintasuunitelma, joka voidaan tuottaa yritykselle ilman merkittäviä lisäkuluja käyttäen hyväksi NIST viitekehystä sekä henkilöstön kouluttaminen sekä tietoturvaan perehdyttäminen.