Mikä: Kyberturvallisuuskeskuksen ilmainen työkalu, millä mitataan oman organisaation kyberturvatasoa.
Kenelle: Organisaatioiden johdolle ja tietoturva-ammattilaisille työkaluksi, jolla hallita kyberturvallisuutta, vertailla tuloksia toimialakohtaisesti, ja ohjata kehitystä.
Miksi: Oman tietoturvatason tiedostamista ja tehokasta kehitystä.

Kybermittari on Kyberturvallisuuskeskuksen kehittämä ilmainen työkalu, jolla organisaatio voi mitata oman kyberkypsyytensä tasoa ja kehittymistä. Työkalun pohjana toimivat NIST Cybersecurity Framework sekä Cybersecurity Capability Maturity Model (C2M2). 

Pääasiallisena tarkoituksena on auttaa organisaatioita parantamaan omaa kykyä torjua kyberuhkia, huomioimalla kyberriskien tunnistamismahdollisuuksia, suojautumismenetelmiä, havainnointikykyä, reagointia ja palautumista häiriöistä. Samalla on mahdollista sisällyttää mittaukseen toimittajia ja muita omaan kyberturvaan vaikuttavia ulkoisia toimijoita, jolloin saadaan laajempi kokonaiskuva omasta tilanteesta. Lopputuloksena saadaan tietoon nykytilan kypsyystaso, jota hyödyntämällä on helpompi lähteä parantamaan omaa tietoturvatasoaan.

Jotta organisaation on helpompi käsittää millä tasolla oma kypsyystaso oikeasti on, tuottaa Kyberturvallisuuskeskus toimialakohtaisia vertailutuloksia, joita vasten on mahdollista verrata omia tuloksiaan. 

Jos omia tuloksiaan jakaa Kyberturvallisuuskeskukselle, voivat he hyödyntää myös näitä osana Kyberturvallisuuskeskuksen tuottamia vertailutuloksia, anonymisoinnin jälkeen. 

Kybermittarin käyttäminen

Kybermittari on ilmainen, ja on ladattavissa Kyberturvallisuuskeskuksen sivuilta. Organisaatioiden on täten mahdollista käyttää työkalua itse kyberturvallisuuskeskuksen julkaisemien ohjeiden avulla. On kuitenkin hyvä huomioida, että kybermittarissa käytetään paljon kyberturva-alan termistöä, johon saattaa joutua perehtymään. Lisäksi kybermittaria käyttäessä on tärkeää ymmärtää kysymysten taustat, tarkoitus ja johdannaisuudet.  Tässä asiantuntijat ovat vahvimmillaan – he osaavat termistön ja ymmärtävät substanssin, heillä on kokemusta työkalun käytöstä, ja voivat neuvoa ja selittää mitä missäkin kohdassa tarkoitetaan. Kokemuksen avulla voi myös olla helpompi arvioida tason oikea tilanne, jolloin lopputulos myös on oikea.

Kybermittarin käyttöönotossa kannattaa ensin pohtia arviointikohteen laajuutta. 

Pk-yrityksissä arviointi voidaan hyvinkin kohdistaa koko yritykseen kerrallaan, mutta suuremmissa yrityksissä voi olla kannattavampaa jakaa arviointi osiin, ja aloittaa kriittisistä palveluista ja toiminnoista. Yksi hyväksi todetuista arviointimenetelmistä on työpajat. 

Työpajoihin kutsutaan oleellisimmat henkilöt kaikista kybermittarin käsittelevistä osa-alueista. Jotta työpajojen läpiviennit pidetään tehokkaina, ei oleteta, että kaikkiin kysymyksiin saada vastausta heti, vaan joihinkin vastauksiin palataan, kun asiasta tietävän asiantuntijan kanssa on keskusteltu.

Tulokset ja jatkotoimenpiteet

Arvioinnin jälkeen tulokset tulee analysoida, ja tunnistaa arvioinnin kohteena olleen organisaation tai palvelun vahvuudet ja heikkoudet. Kybermittari itse mittaa kypsyystasoa kolmiportaisella asteikolla, ja viimeistään tässä vaiheessa on myös hyvä asettaa itselleen tavoitellun kyberturvallisuuden taso. Tulosten lisäksi voi käyttää hyödykseen myös toimialakohtaisia vertailutuloksia, joita on saatavilla Kyberturvallisuuskeskukselta. Kun heikkoudet ja tavoite on tiedossa, on helpompaa miettiä kehityskohteita ja luoda kehityssuunnitelma, miten tavoitteeseen päästään. Tuloksien analysoinnissa ja jatkosteppien laatimisessa on kokemuksesta jälleen paljon hyötyä. Asiantuntija osaa neuvoa mistä ja miten aloittaa ja luoda selkeän suunnitelman kehitykselle.

Arvioinnin jälkeen kybermittaria ei tule unohtaa. Kun kehitystä tehdään tai muutoksia tapahtuu, on hyvä päivittää kybermittaria tai jopa suorittaa arviointi uudestaan. Tällä menettelyllä kybermittarista saadaan enemmän hyötyä – kehitys parempaan kyberturvatasoon on tavoitteellista ja prosessia on helpompi seurata.

Kypsyystasot:

Taso 0: Toiminta ei täytä perustavanlaatuisia vaatimuksia
Taso 1: Toiminta täyttää perustavanlaatuiset vaatimukset, mutta voi olla vielä ajoittaista ja toiminnan taso voi vaihdella tapauskohtaisesti
Taso 2: Toiminta on edistyneempää ja kattavampaa kuin alemmalla tasolla, minkä lisäksi kyberturvallisuuden hallintaa kuvaavat: dokumentoidut prosessit ja käytänteet, riittävä resursointi ja osaaminen, sekä määritetyt roolit ja vastuut
Taso 3: Toiminta on edistynyttä ja kattavaa, minkä lisäksi kyberturvallisuuden hallintaa kuvaavat: Toimintaa ohjaa organisaation politiikka, toiminnalle on asetettu suoritustavoitteet joita seurataan, sekä dokumentoidut prosessit ja käytänteet ovat organisaation normien mukaisia ja niiden kehitys on jatkuvaa.

suurennuslasi ikoni

Sitowisen vinkit

  • Tunnista alaasi ja organisaatioosi koskeviin lakisäädöksiin ja viitekehyksiin.
  • Tutustu työkaluun – mieti, pystyttekö suoriutumaan tehtävästä itse, vai tarvitsetteko apua.
  • Määrittele arvioinnin laajuutta – kohdistetaanko arvio koko organisaatioon vai osaan.
  • Valmistele työtä (esim. työpajaa), tunnista ja kutsu paikalle tarvittavat henkilöt.
  • Valmistaudu siihen, että kaikkiin kysymyksiin ei heti saada vastausta, ja hanki vastaus jälkikäteen.
  • Analysoi tulokset, vertaa tulokset oman toimialan vertailutuloksiin, ja laadi yhteenveto.
  • Aseta organisaatiollesi kyberkypsyyden tavoitetason.
  • Luo kehityssuunnitelma minkä avulla organisaatio pääsee tavoitteeseen.
  • Kehitystyön edetessä, täydennä mittaria ja seuraa prosessia.
  • Tarvittaessa suorita työ uudelleen.

Sitowise apuna

Kybermittarin käyttäminen voi olla varsinkin ensimmäisellä kerralla haastavaa, jolloin voi olla helpompaa ja jopa kustannustehokkaampaa ottaa asiantuntija avukseen. Meidän asiantuntijamme voivat ohjeistaa käytössä ja auttaa arvioinnin kohteen määrittelemisessä ja rajanvedossa. Fasilitoimme mielellämme tarvittavat työpajat, jossa kerromme ja neuvomme selkeästi vaatimuksista. Arvioinnin jälkeen olemme myös apunanne tulosten analysoinnissa, ja tuotamme selkeän yhteenvedon ja kehityssuunnitelman.

Sitowise tarjoaa kattavat palvelut niin hallinnollisen kuin teknisen tietoturvan osalta. Erityiseksi tietoturvapalvelumme tekee kattava ja laaja osaamisemme eri toimialoilta - meillä on asiantuntijoita, jotka tuntevat alaanne ja toimintaympäristöänne, ja yhdessä voimme auttaa teitä saamaan parhaan palvelun juuri teidän tarpeeseenne.

Sinua voisia kiinnostaa lisäksi:

tietoturvauhka palvelu kyberturva

Sitowise tarjoaa monipuolisia kyberturvapalveluita

Kattavat kyberturvallisuusratkaisut mm. datan, infrastruktuurin sekä kriittisten toimitusketjujen suojaamiseksi. Palvelumme tukevat tietoturvakulttuurin kehittymistä, edistävät tietoturvallisuuden jatkuvuutta ja tekevät tietoturvasta päivittäistä.
Tutustu tarkemmin!