Tietoturvan arviointi
Tarjoamme asiakkaillemme tietoturvapalveluita, kuten tietoturvatestausta, tietoturvan arviointia sekä tietoturvan kehittämistä. Palveluidemme avulla voit varmistaa organisaatiosi tietoturvan ja jatkaa kasvua digitaalisessa maailmassa.
Microsoft 365 -tietoturvan arviointi
Tietoturva-arvioinnin tarkoituksena on arvioida pilvipalvelun tietoturvallisuuden tilaa sekä varmistaa, että ympäristössä on käytössä ajankohtainen tietoturvan kannalta oleellinen konfiguraatio.
Mitä palveluun sisältyy?
- Aloituspalaveri (1h)
- M365 Tietoturva-arviointi
- Raportti sekä tulosmatriisi
- Loppupalaveri (1h)
M365-pilviympäristön läpikäyntiin käytetään CIS Microsoft 365 Benchmark Level 1 ja Level 2 -ohjeistusta soveltuvin osin sekä parhaat käytänteet huomioiden käytössä olevat lisenssit sekä arviointiin soveltuvat palvelut sekä lisenssitasot.
Arvioinnin osa-alueita
- Pääsynhallinta (Access control)
- Konfiguraation hallinta (Configuration management)
- Tunnistautuminen ja autentikaatio (Identification and authentication)
- Tiedon suojaaminen ja politiikat (Data protection & Policies)
Seuraavat M365-palvelut ovat osana arviointia
- Microsoft 365 Admin Center
- Microsoft 365 Defender
- Microsoft Purview
- Microsoft Entra admin center
- Exchange Admin center
- Microsoft Teams admin center
Asiakkaalta tarvittavat tiedot ja toimenpiteet
Arviointia varten asiantuntijoille pitää luoda tunnukset asiakkaan Microsoft-ympäristöön sekä antaa näille riittävät lukuoikeudet tarvittaviin palveluihin.
Arvioinnin hyödyt asiakkaalle
Tarkastuksen avulla saat selkeän kuvan Microsoft 365 -ympäristösi tietoturvasta, löydät ja minimoit riskit, täytät vaatimustenmukaisuusvaatimukset ja saat konkreettiset suositukset suojaustason parantamiseen.
Midaxo
”Yhteistyö Braveson Oy:n kanssa sujui erinomaisesti. Saimme asiantuntevan arvion Microsoft 365 -ympäristömme tietoturvasta sekä konkreettisia suosituksia sen vahvistamiseksi.
Bravesonin selkeä viestintä, meidän tarpeiden huomioiminen sekä käytännönläheinen työote tekivät yhteistyöstä sujuvan ja hyödyllisen.”
Aki Hänninen
CISO, Midaxo Oy
AWS-tietoturvan arviointi
Tietoturva-arvioinnin tarkoituksena on arvioida pilvipalvelun tietoturvallisuuden tilaa sekä varmistaa, että ympäristössä on käytössä ajankohtainen tietoturvan kannalta oleellinen konfiguraatio.
Mitä palveluun sisältyy?
- Aloituspalaveri (1h)
- AWS – Tietoturva-arviointi
- Raportti sekä tulosmatriisi
- Loppupalaveri (1h)
Arvioinnin perustana käytetään:
- CIS AWS Foundations Benchmark Level 1 ja Level 2 (soveltuvin osin)
- AWS:n parhaat käytännöt ja suositukset (Well Architected Framework)
- Asiakkaan käytössä olevat palvelut ja arkkitehtuurin erityispiirteet
Arvioinnin osa-alueita
- Pääsynhallinta (Access control)
- Konfiguraation hallinta (Configuration management)
- Tunnistautuminen ja autentikaatio (Identification and authentication)
- Tiedon suojaaminen ja politiikat (Data protection & Policies)
Seuraavat AWS-palvelut ovat osana arviointia
- IAM Access Analyzer
- AWS Config
- AWS CloudTrail
- AWS CloudWatch
- AWS Simple Notification Service (SNS)
- AWS Simple Storage Service (S3)
- Elastic Compute Cloud (EC2)
- Relational Database Service (RDS)
- AWS Identity and Access Management (IAM)
Asiakkaalta tarvittavat tiedot ja toimenpiteet
Arviointia varten asiantuntijoille pitää luoda audit-tunnukset asiakkaan AWS-ympäristöön sekä antaa näille riittävät lukuoikeudet tarvittaviin palveluihin.
Arvioinnin hyödyt asiakkaalle
Tarkastuksen avulla saat selkeän kuvan AWS -ympäristösi tietoturvasta, löydät ja minimoit riskit, täytät vaatimustenmukaisuusvaatimukset ja saat konkreettiset suositukset suojaustason parantamiseen.
Suoritamme myös AWS-ympäristöjen tietoturva-arkkitehtuurien katselmointia riippumaatta käytettävistä palveluista. Kysy lisää!
Katso myös tietoturvan testauspalvelut.
Kybermittari
Kyberturvallisuuskeskuksen kehittämä Kybermittari auttaa parantamaan yritysten, organisaatioiden ja samalla koko yhteiskunnan kykyä torjua kyberuhkia. Palvelu tuo yritysten ja organisaatioiden johdolle ja tietoturva-ammattilaisille konkreettisen työkalun kyberuhkien aiempaa parempaan hallintaan.
Mitä palveluun sisältyy?
- Aloituspalaveri (1h)
- Kybermittari-arviointi ja työpajat
- Raportti
- Loppupalaveri (1h)
Arvioinnin suorittaminen Kybermittari-työkalulla. Organisaation eri osa-alueet ja tietoturvakyvykkyydet arvioidaan Kybermittarin mittauskriteerien avulla. Arvioinnin tulokset analysoidaan ja raportoidaan kattavasti. Raportti sisältää yhteenvedon nykytilasta sekä suositukset kehitystoimenpiteistä. Kun Kybermittari tuotetaan, on siitä mainittava verkkosivulla Traficomin ohjeiden mukaisesti:
”Kybermittari on Traficomin rekisteröimä tavaramerkki”
Asiakkaalta tarvittavat tiedot ja toimenpiteet
Asiakkaan asiantuntijoita työpajoja varten (3-5 työpajaa). Mahdollisen dokumentaation toimitus läpikäyntiä ja arviointia varten. Yksi työpaja pidetään mielellään asiakkaan tiloissa paikan päällä.
Palvelun hyödyt asiakkaalle
- Kyberturvallisuuden tilannekuvan parantaminen
- Kypsyystason arviointi ja kehitystoimenpiteiden suunnittelu
- Johdon ja tietoturva-ammattilaisten välinen yhteinen näkemys
- Systemaattinen seurannan ja raportoinnin kehitys
Hinta alkaen 4000-7000 € (alv 0%). Pyydä tarjous!
OWASP ASVS -arviointi
OWASP ASVS -arviointi perustuu sovellusturvallisuuden parhaisiin käytäntöihin ja standardoituihin tarkistuspisteisiin. Arvioimme sovelluksen tietoturvaa kolmella eri varmistustasolla (Level 1–3) asiakkaan tarpeiden ja sovelluksen riskiprofiilin mukaan.
Mitä palveluun sisältyy?
- Aloituspalaveri (tavoitteiden ja kohteiden määrittely)
- Dokumenttipohjainen ja/tai käytännön testaukseen perustuva arviointi
- Raportointi löydöksistä, riskitason arviointi ja kehitysehdotukset
- Loppupalaveri ja jatkotoimien suunnittelu
Arvioinnin pääteemat:
- Autentikointi ja pääsynhallinta
- Istuntojen hallinta
- Tietojen suojaaminen ja salaaminen
- Virheiden käsittely ja lokitus
- Sovelluksen arkkitehtuuri ja konfiguraatio
- Liittymät ja ulkoiset palvelut
Asiakkaalta tarvittavat tiedot ja toimenpiteet
- Pääsy arvioitavan sovelluksen dokumentaatioon ja/tai testattavaan ympäristöön
- Yhteyshenkilön nimeäminen arvioinnin koordinointia varten
- Tarvittaessa käyttäjätunnukset tai testitunnukset sovellukseen
Arvioinnin hyödyt asiakkaalle
- Sovelluksesi suojaustaso kartoitetaan järjestelmällisesti alan standardin mukaisesti
- Löydät ja korjaat kriittiset haavoittuvuudet ennen niiden hyödyntämistä
- Vahvistat asiakkaiden ja sidosryhmien luottamusta turvallisuuteesi
- Tuet vaatimustenmukaisuutta esimerkiksi GDPR:n tai muiden sääntelyiden osalta
Mikä on OWASP (ASVS) Application Verification Standard?
“The OWASP Application Security Verification Standard (ASVS) Project provides a basis for testing web application technical security controls and also provides developers with a list of requirements for secure development.”
OWASP ASVS Taso 2 versio 4.0.3 sisältää yhteensä 286 vaatimusta, joista taso 2 kattaa 255 kohtaa. Taso 2 on tarkoitettu sovelluksille, jotka käsittelevät arkaluonteisia tietoja ja vaativat parempaa suojausta. Se sisältää laajemmat ja perusteellisemmat turvallisuusvaatimukset kuin taso 1.
Tietoturvan nykytilan arviointi
Tietoturvan nykytilan arvioinnissa tarkastelemme organisaatiosi tietoturvaa kokonaisvaltaisesti suhteessa parhaisiin käytäntöihin, vaatimuksiin ja liiketoiminnan tavoitteisiin.
Mitä palveluun sisältyy?
- Aloituspalaveri ja arvioinnin kohdentaminen
- Nykytilan kartoitus (dokumenttien ja ympäristöjen läpikäynti, haastattelut)
- Raportointi ja toimenpidesuositukset
- Loppupalaveri ja jatkotoimien suunnittelu
Arvioinnin osa-alueita
- Riskienhallinta ja tietoturvapolitiikat
- Pääsynhallinta ja käyttäjienhallinta
- Tietojen suojaaminen ja salauskäytännöt
- Verkkoympäristön ja päätelaitteiden suojaus
- Lokitus ja valvonta
- Henkilöstön tietoturvatietoisuus
Asiakkaalta tarvittavat tiedot ja toimenpiteet
- Pääsy tietoturvaan liittyviin dokumentteihin ja prosessikuvauksiin
- Yhteyshenkilön nimeäminen arvioinnin koordinointia varten
- Mahdollisuus järjestää tarvittavat haastattelut ja tarkastelut
Arvioinnin hyödyt asiakkaalle
- Selkeä tilannekuva organisaation tietoturvasta
- Riskien ja kehityskohteiden tunnistaminen ennen vakavia tietoturvapoikkeamia
- Konkreettinen ja priorisoitu toimenpidelista tietoturvan kehittämiseksi
- Parempi valmius täyttää lainsäädännölliset ja sopimusperusteiset vaatimukset (esim. GDPR, ISO 27001, NIS2)
Hinta: Alkaen 4500e
Tietoturvan arvioinneissa hyödynnämme esimerkiksi seuraavia standardeja sekä viitekehyksiä:
- ISO 27001, NIS2, CRA, DORA,
- NIST Cyber Security Framework
- IEC 62443, 81005-2-1,
- CIS Benchmarks
- Cloud Security Alliance Cloud Controls Matrix,
- OWASP ASVS, MASVS, Top 10
Etkö löytänyt sopivaa palvelua?
Tarvitsetko yksilöllisesti räätälöidyn tietoturva-arvioinnin? Suoritamme kattavia tietoturva-arviointeja teknologiariippumattomasti erilaisiin järjestelmiin, sovelluksiin ja organisaatioihin. Arviointi räätälöidään aina asiakkaan tarpeiden, riskiprofiilin ja liiketoiminnan erityispiirteiden mukaan – olipa kyseessä sitten yksittäinen sovellus, koko IT- ympäristö tai liiketoimintaprosessit.
Kenelle palvelu sopii:
- Yrityksille ja organisaatioille, joilla on erityistarpeita tai monimutkaisia ympäristöjä
- Toimialoille, joissa perinteiset arviointimallit eivät täysin riitä
- Projekteihin, joissa halutaan yhdistää useita eri arviointikohteita (esim. pilvipalvelut, sovellukset, sisäverkot)
Ota yhteyttä ja suunnitellaan juuri sinun organisaatiollesi sopiva tietoturva-arviointi!