Ads 468x60px

maanantai 5. maaliskuuta 2012

KPMG:n tietoturvaraportti 2012 on julkaistu!

KPMG julkaisi tänään yhteenvedon yleisimmin havaitsemistaan tietoturvaongelmista vuonna 2011. Raportin tulokset perustuvat 83 eri auditointiraporttiin ja lähdemateriaali sisältää tuloksia sekä hallinnollisen tietoturvallisuuden että teknisen tietoturvallisuuden tarkastuksista. Tilastomatematiikasta kiinnostuneille todettakoon, että olemme pyrkineet normalisoimaan tarkastustuloksia suhteessa toisiinsa ja suhteessa tarkastuksien tarkastussuunnitelmiin, jotta tuloksia olisi edes jollain tasolla mielestä laittaa yleisyysjärjestetykseen. Päädyimme tähän siksi, että koska räätälöimme tekemämme tarkastukset pääsääntöisesti asiakkaidemme toiveiden/tarpeiden mukaan ja tarkastukset ovat harvoin yhteismitallisia, niin havaintolistan järjestäminen absoluuttisten havaintomäärien mukaan ei tuntunut järkevältä.

Summa summarum, vuoden 2011 yleisimpien havaintojen lista näyttää seuraavalta:


  1. Puutteelliset salasanakäytännöt (Erityisesti liittyen pääkäyttäjien tunnuksiin ja teknisiin tunnuksiin)
  2. Web-haavoittuvuudet (SQL-injektiot ja XSS-haavoittuvuudet)
  3. Käyttövaltuushallinnan ongelmat (Käyttövaltuuksien ylläpitämiseen ei ole määriteltyä prosessia)
  4. Dokumentaation haasteet (Dokumentaatio ei ylläpidetä systemaattisesti ja tämän johdosta se on joko vanhentunutta tai vähintäänkin hankalasti löydettävissä)
  5. Varmuuskopioinnin käytännöt (Varmuuskopioiden toimivuuden testaamista ei suunnitella / toteuteta)
  6. Tietoturvapäivitykset (Sovelluksiin liittyviä tietoturvapäivityksiä laiminlyödään)
  7. Henkilökunnan tietoturvakoulutuksen puute (Koulutus on pääasiallisesti kertaluontoista eikä säännöllisesti toistuvaa)
  8. Lainsäädännön vaatimusten täyttymisen puutteet (Lainsäädännöstä tulevien velvoitteiden tunnistaminen on luvattoman heikkoa)
  9. Riskienhallinnan puutteet (Riskejä ei arvioida systemaattisesti eikä näin ollen osata keskittää voimavaroja oikeiden asioiden suojaamiseen)
  10. Tietoturvavaatimukset järjestelmähankinnan yhteydessä (Uusien hankintojen yhteydessä ei muisteta tai osata vaatia tietoturvallisuuden huomioimista riittävässä määrin).

Kuten yllä oleva lista osoittaa, niin yleisimmät havainnot muodostuvat melko yksinkertaisista asioista. Siksi onkin yllättävää törmätä samoihin havaintoihin täysin eri organisaatiossa kerta toisensa jälkeen. Näin ollen, eiköhän jokainen huolehdita omalta osaltamme, että korjaamme yllämainitut asiat omassa organisaatiossamme!



Raportti kokonaisuudessaan löytyy täältä.

Ystävällisin terveisin
Antti

Ei kommentteja:

Lähetä kommentti