kehittämisen työkaluna Kokemuksia esimerkkiarvioinnista — 11.8.2023
Kybermittari yritysturvallisuuden
Mikko Suomu
• Teknisen ja hallinnollisen tietoturvallisuuden asiantuntija vuodesta 2010.
• Tausta:
• Ericsson: Product Security & CTO office 2010 – 2017
• Nixu 2017 – 2021
• Teliacompany Group Security 2022
• KPMG 2022 –
• Kokemus:
Koulutus Insinööri YAMK, Kyberturvallisuus, Jyväskylän Ammattikorkeakoulu (2015), Sertifikaatit ISC2 CISSP, CCSP, SSCP
• Erilaiset tietoturvallisuuden asiantuntija-, konsultointi- ja johtamistehtävät mm. ISO27001-pohjaisten tietoturvallisuuden johtamisjärjestelmien kehitysja ylläpito.
• Laajasti erilaiset konsultointi-, auditointi- ja tarkastustoimeksiannot, esim:
• Tietoturvallisuuden kypsyysanalyysit, kyberstrategian ja tiekarttojen kehittäminen ja kyberstrategian toimeenpano.
• ISO27001 sertifiointiauditoinnit ja Katakri-arvioinnit.
• Vaatimustenmukaisuusarvioinnit, esim. NIS2.
• Liiketoiminnan jatkuvuus- ja toipumissuunnittelu.
2 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Manager, Cyber Advisory +358 40 843 3460 mikko.suomu@kpmg.fi
SABSA CSF ISO27001 Lead auditor Erityisosaaminen Tietoturvallisuuden johtaminen, ISMS kehitysprojektit riskienhallinta, auditoinnit
3 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. • Toimeksiannon tausta
Kybermittarin esittely
Kokemukset esimerkkiarvioinnista
Kybermittarityökalun kokeilu / harjoitustehtävä
Työpajan yhteenveto
Liitteet
•
•
•
•
•
Sisältö
01
Toimeksiannon tausta
Toimeksiannon tausta ja toteuttamistapa
• Suoritettu esimerkkiarviointi Kybermittarilla liittyy Prizztechin koordinoimaan Yritysturvallisuuden kehittämisohjelma –hankkeeseen, Satakuntaliiton EAKR rahoittama kehittämishanke.
• Hankkeen tavoitteena on tarjota yrityksille uutta tietoa yritysturvallisuuden kehittämisen menetelmistä ja käytännöistä sekä käynnistää keskustelua ja tiedon jakamista saaduista kokemuksista.
• Hankkeen puitteissa haluttiin kokeilla turvallisuusjohtamisen arviointimallin toimivuutta aidossa toimintaympäristössä ja tämän jälkeen jakaa tietoa, kokemuksia ja näkemyksiä työpajatyöskentelynä.
• KPMG ehdotti, että esimerkkiarviointi toteutettaisiin Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen laatimalla Kybermittarilla.
• Verrattuna EK:n Yritysturvallisuusmalliin, Kybermittarin pääpaino on nimenomaan tieto- ja kyberturvallisuudessa sekä jatkuvuudessa. Fyysinen, ympäristö -, pelastus- sekä työturvallisuus jää kattamatta.
• Esimerkkiarvioinnin kohteena oli case study -yrityksen pääliiketoimintaprosessien kyberturvallisuutta tukevat toiminnot (kyberturvallisuuden hallinta) ja toimintavarmuuden kannalta tärkeimmät riippuvuudet (sovellukset, tietojärjestelmät, tietovarannot).
5 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
02
Kybermittarin esittely
Kybermittarin esittely
Mikä Kybermittari on Kybermittari on organisaatioiden johdolle ja tietoturva-ammattilaisille suunnattu työkalu kyberturvallisuuden
hallintaan, toimialakohtaiseen vertailuun ja kehityspanostusten ohjaamiseen. Kybermittari auttaa:
• Tunnistamaan yrityksen ja yhteiskunnan kannalta kriittiset palvelut ja riskit.
• Muodostamaan tilannekuvan kyberturvallisuuskyvykkyyksistä ja tunnistaman potentiaaliset kehityskohteet
• Mahdollistaa yritysten ja toimialojen vertailun ja parhaiden käytäntöjen jakamisen
v. 2.1. julkaistiin Toukokuun lopussa Kybermittari on Liikenne-ja viestintävirastolle (Traficom) rekisteröity tavaramerkki.
7 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
8 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Kybermittari esitellään tarkemmin Kyberturvallisuuskeskuksen laatimissa materiaaleissa. Kybermittari | Kyberturvallisuuskeskus https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybermittari_esittely_V2.1_web.pdf Kybermittarin esittely
9 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Poimintoja Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
10 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
Poimintoja
11 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Poimintoja Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
12 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Poimintoja Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
13 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Poimintoja Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
14 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Poimintoja Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
15 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Poimintoja Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
16 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Poimintoja Kyberturvallisuuskeskuksen laatimasta Kybermittarin esittelymateriaalista Kybermittarin esittely
17 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Kybermittarin raportit, esiteltynä KTK:n täyttämästä esimerkkidokumentista
Kybermittarin esittely
03
Kokemukset esimerkkiarvioinnista
Esimerkkiarvioinnin toteuttamistapa
• Esimerkkiarvioinnin kohteena oli case study yrityksen pääliiketoimintaprosessien kyberturvallisuutta tukevat toiminnot (kyberturvallisuuden hallinta) ja toimintavarmuuden kannalta tärkeimmät riippuvuudet (sovellukset, tietojärjestelmät, tietovarannot).
• Toimeksiannon esimerkkiarviointi suoritettiin viidessä erillisessä työpajassa 27. ja 28.4.2023
• Työpajat fasilitoitiin KPMG:n toimesta, fasilitoijina toimivat Mikko Suomu ja Rosangela Limachi.
KPMG:n asiantuntijat auttoivat osallistujia tulkitsemaan arviointikysymyksiä ja arvioimaan kunkin alueen maturiteetin tasoa.
19 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Esimerkkiarvioinnin toteuttamistapa
• Ennen työpajoja
• Case study -yritys esitteli KPMG:lle pääliiketoimintaprosessinsa ja niihin liittyvät tärkeimmät tietojärjestelmät
• Osallistujille lähetettiin valmistautumisohjeistus (esityksen liite 1)
• Työpajaan osallistui Case study -yrityksen henkilöstöä, kuten toimitusjohtaja, laatupäällikkö, henkilöstöpäällikkö, hankintapäällikkö, tietohallintojohtaja ja ICT-asiantuntija
• Työpajoissa tehtiin Kybermittarin mukainen itsearviointi. KPMG tiivisti arvioinnissa käytyä keskustelua työkaluun.
• Arvioinnin jälkeen KPMG laati havaintojen pohjalta suositukset Kybermittari työkaluun ja arvioinnista laadittiin johdon yhteenveto. Arvioinnissa käytetty täytetty työkalu sekä johdon yhteenveto toimitettiin arvioinnin jälkeen Case study -yritykselle.
• Case study -yrityksen tietohallintojohtaja kommunikoi arvioinnin tulokset yrityksessä sisäisesti.
20 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Kokemusten kerääminen
• Case study –yritykselle tehdyn arvioinnin jälkeen osallistujille lähetettiin palautekysely, jonka tavoitteena oli kerätä palaute Kybermittarin käytöstä turvallisuusjohtamisen kehittämisen työkaluna.
• Palautekyselyssä pyrittiin pureutumaan työkalun laadulliseen ja kattavuuden näkökulmiin. Arviointi tehtiin asteikolla 1 – 4
1 = ei toteutunut / heikosti
2 = toteutui osittain / kohtalaisesti
3 = toteutui pääosin / hyvin
4 = toteutui täysin / erinomaisesti
• Palautekyselyyn vastasi viisi osallistujaa kuudesta.
• Seuraavilla kalvoilla yhteenveto palautekyselyn tuloksista
21 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Kokemukset esimerkkiarvioinnista
22 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Laatu
Kysymykset Vastaukset keskiarvo Auttoiko Kybermittari teitä saamaan mitattua tietoa kehittämisen ja päätöksenteon tueksi? 3.2 Auttoiko Kybermittari teitä saamaan tilannekuvan teidän yrityksen kyberturvallisuuden tilasta? 3.4 Auttoiko Kybermittari teitä tunnistamaan kehityskohteita? 3.8 Auttoiko Kybermittari teitä asettamaan tavoitetason kyberturvallisuudelle? 2.8 Auttoiko Kybermittari teitä kohdentamaan kyberturvallisuuteen liittyviä investointeja? 2.5 Auttoiko Kybermittari teitä kyberturvallisuuden hallintaan liittyvässä tiedonjaossa organisaationne sisällä? 3.6 KOKONAISARVIOINTI LAATU 3.2 Kattavuus Kysymykset Vastaukset keskiarvo Auttoiko Kybermittari teitä ymmärtämään millainen kyvykkyys teillä on suojautua kyberuhilta? 2.8 Auttoiko Kybermittari teitä ymmärtämään millainen kyvykkyys teillä on varmistaa liiketoimintanne jatkuvuus häiriötilanteissa? 2.8 Kuinka hyvin Kybermittari kattoi organisaation kyberturvallisuuden keskeiset osa-alueet? 3.6 Oliko Kybermittarin sisältö relevanttia organisaation kyberturvallisuuden arvioinnissa? 2.8 Kuinka syvällisesti Kybermittari käsitteli kyberturvallisuuden eri osa-alueet? 2.8 Oliko Kybermittarin sisältö riittävän kattava organisaation tarpeiden ja kyberturvallisuuden hyvien käytäntöjen näkökulmasta? 3.2 Oliko Kybermittarin sisältö tasapainoinen eri osa-alueiden välillä? 2.8 Kuinka hyvin Kybermittarin sisältö vastasi organisaation odotuksia ja tarpeita kyberturvallisuuden arvioinnissa? 3.6 KOKONAISARVIOINTI KATTAVUUS 3.1
Kokemukset esimerkkiarvioinnista – avoimet kysymykset
Kattavuus
”Työkalu vaikutti kattavalta ja siten varmasti auttaa kehittämistyössä”
Laatu
”Kaikilta osin ei sovi täysin pk-yritykselle. Esimerkiksi kyberarkkitehtuuria ei varmasti ole olemassa dokumentoituna monellakaan pk -yrityksellä”
”Toimiva työkalu. Sopii erityisesti suuremmille yrityksille. Työkalusta olisi hyvä miettiä version myös pienempien yritysten tarpeisiin. Osa kybermittarin osaalueista ei ole mahdollista järkevällä resursoinnilla edes toteuttaa pienemmissä yrityksissä”
”Mittari on varmastikin tarkoitettu ensisijaisesti tietohallinnon ihmisille. Mittariin liittyvät esimerkit voisivat avata mittaria muillekin kuin IT ihmisille”
23 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Kokemukset esimerkkiarvioinnista – avoimet kysymykset
Miten Kybermittari-työkalun avulla tehty tietoturvaarviointi auttoi organisaatiota lisäämään tietoisuutta ja ymmärrystä kyberturvallisuuden merkityksestä?
”Sen avulla pystyttiin esittämään johdolle kyberturvallisuuden tasoa”
” Konkretia on tärkeää, sillä kyberturvallisuus on monesti hyvin abstraktia ja vaikeaselkoista. Arviointi auttoi visualisoimaan tilannetta helpommin.”
” Tämäntyyppistä arviointia ei ole tehty, joten yleisesti tietoisuuden lisääminen on hyvä asia.”
”On hyvä painottaa toiminnassa myös kyberturvallisuutta ja tietoturva-arviointi syvensi osaamista/ lisäsi tietämystä”
”Auttoi paljastamaan heikkoja kohtia ja nosti keskustelua asiasta”
Miten hyvin Kybermittari tarjosi organisaatiolle käytännöllisiä ohjeita ja suosituksia kyberturvallisuuden parantamiseksi?
”Melko hyvin”
”Vakio-ohjeistuksella pääsee kohtuullisen hyvin alkuun, mutta ohjeistuksen tulkinta vaatii organisaatiolta vielä lisää tutkintaa.”
”Toimenpide-ehdotusten perusteella voimme parantaa kyberturvallisuuden tasoa.”
”Mittarin avulla tunnistettiin hyviä kehityskohteita”
”Tarjosi pääpiirteittäin”
24 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Miten hyvin Kybermittarin raportti auttoi organisaatiota ymmärtämään nykyisen kyberturvallisuustilanteensa kokonaisvaltaisesti?
”Hyvin. Kybermittari nosti esiin kehityskohteita, joita ei muutoin välttämättä mietittäisi.”
”Osittain. Työkalu on joiltain osin haasteellinen ja arviointimenetelmä saa tilannekuvan helposti näyttämään heikommalta, kun mitä todellisuudessa.”
”Vaikea sanoa auttoiko kokonaisvaltaisesti, mutta auttoi varmasti ainakin joiltain osin.”
”Havainnollistamalla tasomme eri osa-alueilla (kypsyystasoraportti) sekä tunnistamalla kehityskohteita”
”Hyvin. Mittari oli jaettu ymmärrettäviin osakokonaisuuksiin”
Muu avoin palaute
”Hyvä ja tarpeellinen arviointi”
25 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Kokemukset esimerkkiarvioinnista – avoimet kysymykset
Kybermittarityökalun kokeilu / harjoitustehtävä 04
27 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. Laajamittaisen kyberhäiriön vaikutus - harjoitustehtävä
Vaikutusanalyysi harjoitustehtävä
Kybermittarin harjoitustehtävä
• Tutustutaan yhdessä Kybermittarin välilehtiin
• Katsotaan miten välilehdet on
28
Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Document
jaoteltu ja täytetään esimerkkinä yksi osio keskustellen sisällöstä
05
Työpajan yhteenveto
Työpajan yhteenveto
• Miten odotuksenne tämä työpajan osalta täyttyivät?
• Näkemänne ja kokemuksienne perusteella, miten näette Kybermittarin turvallisuuden kehittämisen työkaluna?
• Mitkä olivat mielestänne tämän päivän parhaat havainnot / oivallukset?
• Mitkä asiat olisimme voineet tehdä paremmin tänään?
30 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Some or all of the services described herein may not be permissible for KPMG audit clients and their affiliates or related entities.
kpmg.com/socialmedia
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.
© 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
The KPMG name and logo are trademarks used under license by the independent member firms of the KPMG global organization.
Document Classification: KPMG Public
Liite 1
Case study –Työpajojen valmistautumisohje
Kybermittarityöpajojen valmistautumisohje
Taustaa
Teille tullaan suorittamaan KPMG:n fasilitoima tietoturva-arviointi pohjautuen Liikenne-ja viestintäviraston
Kyberturvallisuuskeskuksen Kybermittariin. Arviointi toteutetaan viidessä KPMG:n fasilitoimassa työpajassa, joiden sisältö on kuvattu alla. Arviointi liittyy Satakunnan alueen yritysturvallisuuden kehittämisohjelma –hankkeeseen, jota koordinoi Prizztech Oy.
Mikä Kybermittari on Kybermittari on organisaatioiden johdolle ja tietoturva-ammattilaisille suunnattu työkalu kyberturvallisuuden hallintaan, toimialakohtaiseen vertailuun ja kehityspanostusten ohjaamiseen. Kybermittari auttaa:
• Tunnistamaan yrityksen ja yhteiskunnan kannalta kriittiset palvelut ja riskit.
• Muodostamaan tilannekuvan ja ymmärryksen mahdollisista kehityskohteista.
Mitkä ovat työpajojen aihealueet
• CRITICAL, RISK, ASSET: Kriittisten palveluiden suojaaminen, Riskienhallinta, Omaisuuden muutosten ja konfiguraatioiden hallinta
• ACCESS: Identiteetin- ja pääsynhallinta
• WORKFORCE: Henkilöstön johtaminen ja kehittäminen
• PROGRAM, ARCHITECTURE, THIRD PARTY: Kyberturvallisuuden hallinta, Kyberturvallisuusarkkitehtuuri, Kumppaniverkoston riskien hallinta
• THREAT, SITUATION, RESPONSE: Uhkien ja haavoittuvuuksien hallinta, Tilannekuva, Tapahtumien ja häiriöiden hallinta, toiminnan jatkuvuus
33 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Kybermittarityöpajojen valmistautumisohje
Arvioinnin kohde
• Kybermittariarviointi keskittyy yrityksenne kolmen pääliiketoimintaprosessin kyberturvallisuutta tukeviin toimintoihin (kyberturvallisuuden hallinta) ja niiden toimintavarmuuden kannalta tärkeimpiin riippuvuuksiin (sovellukset, tietojärjestelmät, tietovarannot).
Arviointityöpajojen läpivienti
• Työpajoissa kukin aihealue sisältää 3 – 5 kpl
tavoitteita, jotka sisältävät käytäntöjä.
• Käytännöt on jaettu kolmelle kypsyystasolle
jotka toteutetaan järjestyksessä. Eli jos taso 1 ei
täyty, tasoa 2 ei välttämättä ole tarkoituksenmukaista
käydä kokonaan läpi.
• Käytännöt käydään läpi yksitellen ja arvioidaan niiden
toteutuminen asteikolla 1 – 4 (ei toteutettu, osittain toteutettu, enimmäkseen toteutettu, täysin toteutettu).
• KPMG fasilitoi keskustelun ja pyrkii keskustelujen perusteella todentamaan toteutuu käytäntö.
KUVA. Esimerkki CRITICAL (Kriittisten palveluiden suojaaminen)
aihealueen yhdestä tavoittealueesta ja siihen liittyvistä käytännöistä.
34 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Tavoite Käytännöt
Kybermittarityöpajojen valmistautumisohje
Työpajoihin valmistautuminen
• Kyseessä ei ole tietoturva-auditointi, vaan KPMG:n asiantuntijat tulevat käymään avointa keskustelua vaatimusten täyttämisestä yrityksenne asiantuntijoiden ja johdon kanssa. Tarkoituksena on muodostaa mahdollisimman
todenmukainen ymmärrys kyberturvallisuuden nykytilasta, jotta siihen liittyvät puutteet havaitaan ja tarvittavia kehityspanostuksia pystytään ohjaamaan oikein.
• KPMG edellyttää osallistuvilta henkilöiltä valmiutta avoimeen keskusteluun sekä kertomaan avoimesti mahdollisista havaituista puutteista vaatimusten toteutumisessa, jotta näiden korjaamiseksi pystytään osoittamaan relevantteja korjaustoimenpiteitä.
• Analyysien tehokas toteutuminen edellyttää myös, että nimetyt avainhenkilöt osallistuvat haastatteluihin, ja kykenevät osoittamaan riittäviltä osin dokumentaatiota sekä muuta pyydettyä materiaalia haastattelutilanteissa.
Työpajojen jälkeen
• Työpajojen jälkeen KPMG viimeistelee arvion ja käy sen vielä läpi yrityksenne edustajan kanssa.
• KPMG dokumentoi tunnistetut kehitystoimenpiteet ja auttaa niiden priorisoinnissa ja tavoitetason määrittelyssä.
Arvioinnista laaditaan myös johdon yhteenveto.
• KPMG järjestää yrityksellenne lopputyöpajan jossa tulokset esitellään.
• Yrityksenne arviointiin osallistuneille henkilöille tehdään palautekysely arviointityöstä. Tämän tarkoituksena on kerätä
osallistuneiden havainnot ja palaute arvioinnin toimivuudesta ja hyödyllisyydestä. Palaute koostetaan
yleisluontoiseksi raportiksi, joka esitellään Prizztechin koordinoimassa turvallisuusjohtamisen kehittämisen
avoimessa työpajassa.
35 Document Classification: KPMG Public © 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
Some or all of the services described herein may not be permissible for KPMG audit clients and their affiliates or related entities.
kpmg.com/socialmedia
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.
© 2023 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
The KPMG name and logo are trademarks used under license by the independent member firms of the KPMG global organization.
Document Classification: KPMG Public