Tietoturvakartoitus yritykselle
Impiö, Ville (2015)
Impiö, Ville
Metropolia Ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201505188628
https://urn.fi/URN:NBN:fi:amk-201505188628
Tiivistelmä
Tämän insinöörityön aiheena oli tietoturvakartoituksen tekeminen yritykselle. Työssä käsiteltiin ja tutkittiin yrityksen tietoturvaa pohjautuen tietoturvan eri osa-alueisiin ja määritelmään. Teoriaosuudessa käsiteltiin tietoturvaa yleisellä tasolla, tietoverkkojen toimintaa ja rakennetta, sekä penetraatiotestausta osana tietoturvakartoitusta. Tietoturvakartoitus tehtiin toimeksiantona kansainväliselle monialayritykselle ja se oli osa Metropolian laajempaa yhteistyöprojektia, johon kuuluu useita yrityksiä.
Työn tavoitteena oli selvittää yrityksen tietoturvan nykyinen tila ja puutteet sekä pohtia kehityskohtia tietoturvan parantamiseksi yrityksessä. Tietoturvakartoitus perustui tässä tapauksessa yrityksen luovuttamiin tietoihin sekä omiin yritysvierailuiden aikana tehtyihin testauksiin ja havaintoihin. Tunkeutumistestaus tehtiin osittain yrityksen etukäteen luovuttamien tietojen perusteella ja osittain testaajan itse selvittämien tietojen perusteella.
Yrityksen tietoturvan yleisen tason kartoituksessa havaittiin, että tietoturva on pääosin hyvällä tasolla ja käytännön asiat on mietitty tarkoin. Suurimmaksi puutteeksi nähtiin se, ettei henkilöstölle järjestetä minkäänlaista tietoturvakoulutusta. Käytännön testausosuudessa tehtiin yrityksen sisäverkkoon ja työasemaan kohdistuvia testauksia. Testauksissa saatiin selville että tietoturva on näiltä osin mietitty suhteellisen pitkälle, mutta joitain heikkouksiakin löydettiin esimerkiksi sisäverkon rakenteesta ja käyttöjärjestelmistä.
Tuloksena syntyi siis tavoitteen mukaisesti tietoturvallisuuden puutteita. Tulosten perusteella pystyttiin pohtimaan kehitysehdotuksia yrityksen tietoturvalle ja yhteenvetona voidaan todeta insinöörityön tavoitteiden täyttyneen.
Työn tavoitteena oli selvittää yrityksen tietoturvan nykyinen tila ja puutteet sekä pohtia kehityskohtia tietoturvan parantamiseksi yrityksessä. Tietoturvakartoitus perustui tässä tapauksessa yrityksen luovuttamiin tietoihin sekä omiin yritysvierailuiden aikana tehtyihin testauksiin ja havaintoihin. Tunkeutumistestaus tehtiin osittain yrityksen etukäteen luovuttamien tietojen perusteella ja osittain testaajan itse selvittämien tietojen perusteella.
Yrityksen tietoturvan yleisen tason kartoituksessa havaittiin, että tietoturva on pääosin hyvällä tasolla ja käytännön asiat on mietitty tarkoin. Suurimmaksi puutteeksi nähtiin se, ettei henkilöstölle järjestetä minkäänlaista tietoturvakoulutusta. Käytännön testausosuudessa tehtiin yrityksen sisäverkkoon ja työasemaan kohdistuvia testauksia. Testauksissa saatiin selville että tietoturva on näiltä osin mietitty suhteellisen pitkälle, mutta joitain heikkouksiakin löydettiin esimerkiksi sisäverkon rakenteesta ja käyttöjärjestelmistä.
Tuloksena syntyi siis tavoitteen mukaisesti tietoturvallisuuden puutteita. Tulosten perusteella pystyttiin pohtimaan kehitysehdotuksia yrityksen tietoturvalle ja yhteenvetona voidaan todeta insinöörityön tavoitteiden täyttyneen.