Kybermittari Goverissa: Suorita Traficomin arvioinnit ilman Excel-tuskaa

Kybermittari on Traficomin Kyberturvallisuuskeskuksen kehittämä työkalu, joka on vakiinnuttanut asemansa yhtenä Suomen tärkeimmistä kyberturvallisuuden arviointimalleista. Se auttaa organisaatioita selvittämään kyberturvallisuutensa nykytilan (kypsyystason), tunnistamaan kehityskohteet ja johtamaan tietoturvaa systemaattisesti.

Vaikka itse malli – joka pohjautuu kansainvälisiin C2M2- ja NIST CSF -viitekehyksiin – on erinomainen, sen perinteinen Excel-pohjainen toteutustapa voi olla kankeaa. Tiedostojen versiointi, sähköpostitse tapahtuva kommentointi ja tehtävien seuranta manuaalisesti vievät aikaa varsinaiselta kehitystyöltä.

Gover tuo Kybermittarin moderniin vaatimustenmukaisuustyötilaan, jolloin arviointiprosessi on sujuvampi, osallistavampi ja helpompi seurata. Organisaatiot voivat työskennellä reaaliajassa, linkittää riskit ja hallintakeinot suoraan Kybermittarin vaatimuksiin, hyödyntää tekoälyä ja lopuksi viedä tulokset takaisin Traficomin viralliseen raportointimuotoon.

Tässä artikkelissa käymme läpi, miten Kybermittari toimii Goverin sisällä, kuinka arviointi suoritetaan ja miten viralliset raportit luodaan.

Laajuuden valinta

Kybermittari-arviointi alkaa valitsemalla organisaation osa-alue, jota halutaan tarkastella. Goverissa käyttäjät voivat luoda rajattoman määrän työtiloja ja kutsua mukaan juuri ne asiantuntijat ja sidosryhmät, joiden panosta kyseisessä arvioinnissa tarvitaan.

Kun työtila on luotu, pääkäyttäjä (tai kuka tahansa riittävillä oikeuksilla varustettu käyttäjä) aktivoi Kybermittari-viitekehyksen ja käynnistää arvioinnin.

Arvioinnin toteutus

Goveriin aktivoitava Kybermittari sisältää kaikki viralliset osa-alueet (kuten riskienhallinta, tilannekuva ja tapahtumien hallinta) sekä niihin liittyvät käytännöt ja ohjeistukset.

Arvioinnin aikana tiimi käy läpi valitut käytännöt ja arvioi niiden toteutumista asteikolla 0–4. Jokaiselle käytännölle on määritelty tavoitetaso (MIL, Maturity Indicator Level), mikä auttaa organisaatiota suhteuttamaan tavoitteensa ja rajaamaan arviointia tarpeen mukaan.

Jokaisen käytännön tukena on tarkka kuvaus. Käyttäjät voivat myös pyytää apua Goverin tekoälyavustajalta. Avustajalla on pääsy Kybermittarin materiaaleihin ja yleisiin tietoturvaohjeistuksiin, joten se osaa selventää vaatimuksia luonnollisella kielellä ja antaa esimerkkejä toteutustavoista.

Kehitystoimenpiteet ja hallintakeinot

Kun nykytila on arvioitu ja pisteytetty, on aika laatia kehityssuunnitelma ja jakaa tehtävät.

Suosittelemme, että organisaatio luo tai linkittää jokaiseen kehitettävään käytäntöön vähintään yhden hallintakeinon ja nimeää sille omistajan. Hallintakeinon omistaja voi puolestaan pilkkoa työn konkreettisiksi tehtäviksi ja delegoida ne organisaation oikeille asiantuntijoille.

• Kun hallintakeinon kaikki tehtävät on tehty, hallintakeino katsotaan toteutetuksi.
• Kun kaikki käytäntöön liittyvät hallintakeinot on toteutettu, itse käytäntö voidaan merkitä valmiiksi.

Seuraavassa arvioinnissa (tai milloin tahansa) organisaatio voi tarkastella käytäntöä uudelleen ja päivittää pisteytystään Kybermittarin asteikolla 0–4.

Goverin todellinen voima näkyy siinä, että samat hallintakeinot voidaan linkittää useisiin eri viitekehyksiin (esim. ISO 27001 ja Kybermittari). Kun hallintakeino toteutetaan kerran, se parantaa kypsyystasoa samanaikaisesti kaikissa relevanteissa viitekehyksissä.

Myös riskienhallinta on integroitu saumattomasti. Tietoturvariskit voidaan linkittää suoraan Kybermittarin kohtiin sisäisinä viittauksina. Riskit arvioidaan Goverissa, ja niiden mitigointitoimenpiteet luovat uusia hallintakeinoja ja tehtäviä, jotka kytkeytyvät takaisin Kybermittariin.

Raporttien luominen

Traficomin Excel-pohjainen Kybermittari sisältää erinomaiset raportointiominaisuudet, joiden avulla tuloksia voi vertailla ja viestiä sidosryhmille. Gover hyödyntää näitä olemassa olevia, virallisia pohjia.

Prosessi toimii siten, että organisaatio tekee kaiken työn ja datan syötön Goverin modernissa käyttöliittymässä. Tämän jälkeen tiedot viedään viralliseen Kybermittari-Exceliin raporttien generointia varten.

Prosessi vaihe vaiheelta:

1. Käyttäjä suorittaa Kybermittari-arvioinnin loppuun Goverissa ja täyttää vaaditut kentät.
2. Kybermittari-sivulla Goverissa käyttäjä klikkaa ”Vie”.
3. Käyttäjä avaa tyhjän, virallisen Kybermittari-Excel-työkirjan.
4. Käyttäjä kopioi Goverista saadut sarakkeet (esim. ”Score”, ”Comments”, ”Internal references”, ”Development need”).
5. Tiedot liitetään Kybermittari-Excelin ”Import”-välilehdelle alkaen oikeasta rivistä (yleensä käytäntö ”ACCESS-1a”).

Data päivittyy tämän jälkeen automaattisesti Excelin laskentaan. Jos haluat verrata tuloksia aiempiin arviointeihin, voit kopioida edellisen arvioinnin tiedot vastaaviin sarakkeisiin Excelin ohjeiden mukaisesti.

Onneksi olkoon! Olet nyt suorittanut Kybermittari-arvioinnin modernilla työkalulla ja tuottanut raportit, jotka noudattavat täysin Traficomin virallista formaattia. Tulokset ovat valmiita lähetettäväksi eteenpäin tai esiteltäväksi johdolle.

Traficom-tyylisten kypsyysraporttien tarkastelu

Kun olet vienyt tiedot Kybermittari-työkirjaan, voit tarkastella kaikkia visuaalisia raportteja täsmälleen sellaisina kuin Traficom on ne suunnitellut.

Tähän sisältyy muun muassa NIST Cybersecurity Framework Core (CSF v1.1) -yhteensopiva näkymä. Työkirja luo selkeät kaaviot, jotka kuvaavat organisaatiosi suorituskykyä viidellä pääalueella: Tunnista (Identify), Suojaa (Protect), Havaitse (Detect), Reagoi (Respond) ja Palaudu (Recover). Värikoodatut kuvaajat ja painotetut pisteytykset auttavat viestimään kyberturvallisuuden nykytilan ymmärrettävästi.

Nämä raportit tarjoavat standardoidun ja luotettavan tavan viestiä kypsyystasosta johdolle, tilintarkastajille ja kumppaneille. Gover hoitaa yhteistyön ja datan laadunhallinnan – virallinen Kybermittari-työkirja hoitaa lopullisen raportoinnin vaatimusten mukaisesti.

‍