Kaikki palvelumme

Yhteistyökumppaneilla on usein olennainen vaikutus siihen, miten organisaatio suoriutuu tehtävistään. Sopimuksissa saatetaan asettaa yhteistyökumppaneille tietoturvaa koskevia vaatimuksia, mutta vaatimusten toteutuminen saattaa jättää toivomisen varaa. Alihankkijoiden tietoturvatarkastus on palvelu, jonka avulla asiakkaamme voivat varmistaa, ettei yhteistyökumppaneiden tai alihankkijoiden tietoturvan taso muodosta tarpeettomia riskejä ja että tietoturvaa koskevia sopimusvelvoitteita noudatetaan. Yhteistyökumppaneiden tietoturvahallinto on kunnossa ja se noudattaa alan parhaita käytäntöjä.

Entistä useammalla organisaatiolla on käytössään laajalti sovelluksia ja palvelimia, joilla he palvelevat asiakkaitaan, kumppaneitaan ja työntekijöitään. Tuloksena on monimutkainen kokonaisuus, jota on hankala hallita. Yksityisessä bug bounty -ohjelmassa järjestelmiesi tietoturvaa arvioidaan etsivän kyberrikollisen silmin. Vaikka bug bounty ei voi kokonaan korvata kaikkea tietoturvatestausta tai tietoturvasuunnittelua, se täydentää niitä kustannustehokkaasti ja auttaa parantamaan tietoturvaasi ketterällä tavalla.

Järjestämme haavoittuvuuspalkkio-ohjelman puolestasi. Teemme yhteistyötä johtavien haavoittuvuuspalkintoalustojen kanssa, ja asiantuntijamme auttavat sinua määrittämään digitaaliset puitteet, joiden sisällä valkohattuhakkerit saavat toimia. Ammattitaitoiset haavoittuvuustestaajamme etsivät järjestelmistäsi sellaisia heikkouksia, joita pahantahtoinen toimija voisi käyttää. Kun heikkous on löydetty ja vahvistettu, raportoimme siitä ja autamme sinua korjaamaan vian.

 Ota yhteyttä ja kysy lisää haavoittuvuuspalkkio-ohjelmista.

Huono asiakaskokemus salasanojen takia voi haudata monet innovatiiviset digitaaliset palvelut. Näin ei tarvitse olla. On olemassa lukuisia parempia käyttäjän vaiheittaiseen tunnistamiseen soveltuvia ratkaisuja. Lisäksi, kun tunnistetun käyttäjän linkittää asiakkaan digitaalisen identiteettiin, siihen liitettävästä asiakastiedosta saa erinomaista hyötyä liiketoiminnan kehittämisessä. Helpommalla asiakkaan tunnistamisella voit parantaa digitaalisen kanavan myyntiä. 

Nixulla on vuosien kokemus yritysten välisistä sekä yrityksen ja kuluttajien välisistä identiteetin- pääsynhallintaratkaisuista (CIAM) ja ylläpidosta. Tarjoamme turvallisia ja asiakkaiden tietosuojaa suojaavia ratkaisuja, jotka auttavat sinua kehittämään liiketoimintaasi ja saavuttamaan digitalisaation hyödyt.

Haluatko lisätietoja? Ota meihin yhteyttä.

Lue lisää asiakkaistamme ja projekteistamme:

• VASTUU GROUP − Mydata-operaattoriverkosto mahdollistaa datan sujuvan liikkuvuuden 
• DNA − Parempi käyttökokemus digitaalisissa kanavissa
• POSTI – Asiakkaiden tunnistaminen verkossa ja kivijalassa SisuID:n avulla

Cloud Security Alliancen kehittämä Cloud Controls Matrix (CCM) on pilvipalvelujen tarjoajille suunnattu vaatimuskriteeristö. Keskeisimpänä periaatteena on tarjota pilvipalvelujen käyttäjille läpinäkyvyys ja varmuus pilvipalveluntarjoajien turvallisuuteen. CSA STAR -sertifiointi toteutetaan ISO 27001 -sertifioinnin jälkeen. Olemme kehittäneet yhdessä CSA:n kanssa jatkuvan auditoinnin konspetia pilvipalveluille (EU-SEC-projekti). Nixu Certification on CSA:n hyväksymä tarkastaja.

Lue lisää: https://www.sec-cert.eu

Muutokset digitaalisessa toimintaympäristössäsi voivat olla erittäin nopeita. Voit kuitenkin varmistaa, että teet oikeita asioita kehittääksesi kyberturvallisuutta silti optimaalisesti. Autamme sinua parantamaan organisaatiosi kyberturvakyvykkyyttä ja laatimaan etenemissuunnitelman. Näin voit sekä suunnitella että priorisoida tehokkaasti investointeja kyberturvallisuuteen. Tarjoamme 360 asteen näkymän organisaatiosi kyberturvan kypsyystasoon ja vertaamme sitä kansainvälisiin viitekehyksiin ja alan parhaisiin käytäntöihin.

Tarvitsetko automatisoitua tietoturvaa ja nopeasti? DevSecOps – jatkuva tietoturvan varmistaminen on palvelupohjainen ratkaisu, joka tarjoaa automatisoitua tietoturvaa hallittuna palveluna. Saat käyttöösi tarvittavat tekniset ratkaisut ja asiantuntevan tuen tietoturvatyökalujen käyttöönottoon ja käyttöön. Voimme hoitaa kaikki DevSecOps-toimintaasi liittyvät kehitys- ja käyttötarpeet:

• Suunnittelu – autamme sinua suunnittelemaan työkalu- ja käyttöönottoaikataulun, jolla saat tuloksia nopeasti.
• Työkalujen asennus ja integrointi ympäristöösi.
   
• Luokittelu – autamme sinua analysoimaan ja luokittelemaan automaattisten tietoturvaskannereiden havainnot.
• Koulutus – autamme sinua saamaan kaiken irti työkaluistasi ja raporteistasi sekä luomaan tietoturvallisen toimintatavan organisaatioosi. 

DevSecOps-palvelumme mahdollistaa haavoittuvuuksien löytämisen ja korjaamisen mahdollisimman varhaisessa vaiheessa, jolloin voit keskittyä kaikista kriittisimpien osa-alueiden hoitamiseen. Saat jatkuvaa tietoa sovelluksiesi tietoturvallisuudesta, mikä auttaa nopeuttamaan niiden markkinoille saattamista. 

DevSecOps-palvelumme avulla voit keskittyä kehitystyöhön ja nauttia automaattisten tietoturvatyökalujen tuloksista. Ota yhteyttä ja kysy lisää.

Haluaisitko sisällyttää tietoturvan osaksi ohjelmistosi kehityskaarta, mutta et ole varma, mistä aloittaa? Siinä tapauksessa DevSecOps-käyttöönottosuunnitelma on täydellinen valinta.

Ensin arvioimme käyttämäsi prosessit ja teknologiat. Sitten luomme sinulle vaiheittaisen DevSecOps-käyttöönottosuunnitelman, joka perustuu vahvuuksiisi ja nykyiseen työkaluvalikoimaasi. Autamme sinua muuttamaan nykyisen DevOps-menetelmäsi tietoturvalliseksi DevSecOps-lähestymistavaksi. DevSecOps-asiantuntijoidemme tarjoaman jäsennellyn arviointimenetelmän avulla saat:

• Arvion nykyisistä kehitys-, testaus- ja DevSecOps-prosesseistasi. Opit, miten organisaatiosi toimii verrattuna muihin alan yrityksiin.
• Arvion työkaluista, joita tällä hetkellä käytät tietoturvan automatisointiin ja järjestämiseen.
• Proof of Value -koodiskannauksen, jolla arvioidaan staattisen koodin tietoturvaskannauksen (SAST) soveltuvuutta sovelluksiesi testaamiseen.
• Parannusehdotuksia työkaluvalikoimaasi.
• Vaiheittaisen etenemissuunnitelman.

Ammattilaisillamme on runsaasti kokemusta ohjelmistokehityksestä, testausautomaatiosta ja tietoturvasta. Autamme sinua varmistamaan ohjelmistosi kehityskaaren tietoturvan. Ota yhteyttä ja kysy lisää.

Nopea reagointi kyberhäiriötilanteessa lyhentää häiriön kestoa ja säästää rahaa. Ympärivuorokautinen kyberturvallisuuden ja digitaalisen forensiikan palvelumme varmistaa, että pystyt reagoimaan hyökkäykseen tehokkaasti ja palaamaan takaisin normaalioloihin mahdollisimman nopeasti.

Huippuosaajamme ratkaisevat tehokkaasti kaikenlaiset kyberhäiriötilanteet hyödyntämällä useita haittaohjelmien analysointimenetelmiä, takaisinmallintamista, muistin ja tiedostojen forensiikkaa sekä yhdistämällä dataa ja uhkatietoa. Saat käyttöösi:

• ympärivuorokautisen puhelinpalvelumme kiinteällä hinnalla ja reaktioajalla
• häiriötilanteen käsittelystä vastaavan ja käsittelytiimin sekä forensiset tutkijat, joilla on käytössään erikoistyökalut
• kokonaisvaltaisen raportin häiriötilanteesta, mukaan lukien tiivistelmät, analyysit, suositukset ja selvityksen siitä, mikä meni pieleen
• paikallisen tietoturvahäiriöiden hallintatiimin, jotka sijaitsevat Suomessa, Ruotsissa, Alankomaissa ja Tanskassa. Meiltä saat apua sekä paikan päällä että etänä.

Aloitamme ramp up -projektilla, jotta saat mahdollisimman paljon irti palvelustamme. Digitaalisen forensiikan ja tietoturvaloukkausten selvityksestä vastaava tiimimme ottaa häiriön käsiteltäväkseen yhteydenotostasi alkaen siihen asti, kunnes häiriö on selvitetty ja voit palata takaisin normaalioloihin. Ota yhteyttä ja pyydä lisätietoja.

Tarvitsetko apua liiketoimintatarpeidesi ja yrityksellesi sopivien identiteetin- ja pääsynhallintaratkaisujen (IAM) kartoittamiseen vai kaipaatko IAM-ratkaisun toteuttajaa ja ylläpitäjää? Autamme sinua kaikissa digitaalista identiteettiä koskevissa tarpeissasi. 

Konsultointipalvelumme auttavat muun muassa IAM-käytäntöjesi viimeistelyssä ja digitaalisten identiteettiprosessien turvaamisessa. Tuemme työskentelyäsi IAM-palveluntarjoajien kanssa ja suoritamme ennakkoarviointeja. Halutessasi otamme ratkaisun käyttöön ja ylläpidämme sitä puolestasi. Asiakkaanamme voit hyödyntää pitkää kokemustamme, jonka olemme saaneet lukuisista digitaalista identiteettiä koskevista projekteistamme. Meiltä saat seuraavat edut:

• Saat käyttöösi oman IAM-konsultin ja Nixu-asiantuntijatiimin laajan ammattitaidon.
• Muunnamme liiketoiminnan tarpeesi teknisiksi vaatimuksiksi ja tarjoamme niihin ratkaisut.
• Tuemme yritystäsi kaikissa vaiheissa aina ratkaisun suunnittelusta sen käyttöönottoon ja ylläpitoon.

Autamme sinua ratkaisemaan IAM-haasteesi. Ota meihin yhteyttä, niin kerromme lisää.

EU:n uusi maksupalveludirektiivi PSD2 pakottaa pankit avaamaan rajapintoja asiakastileihin ja maksamiseen. Tämä mahdollistaa uuden markkinapaikan innovatiivisille finanssipalveluiden tarjoajille. PSD2 ja GDPR tuovat toimijoille haasteita saavuttaa vaatimuksenmukaisuus riskipohjaisessa tietoturvan hallinnassa, jatkuvassa tietoturvan monitoroinnissa ja tietoturvapoikkeamien raportoinnissa. Tarjoamme asiantuntemustamme tietoturvan ja tietosuojan vaatimusten toteuttamisessa kaikissa digitaalisten palveluiden elinkaaren vaiheissa. Autamme varmistamaan vaatimuksenmukaisuuden PSD2:n ja GDPR:n osalta.

Toisinaan ohjelmien nopea kehittäminen uhkaa laatua ja turvallisuutta. Onko juuri hankkimassasi palvelinohjelmistossa haavoittuvuuksia, jotka voisivat aiheuttaa sinulle kalliita keskeytyksiä? Entä korjaako IT-palveluntarjoajasi tietoturvapuutteet nopeasti?

Mittaamme ympäristöjesi vaaroja tietoturvan näkökulmasta, ja käännämme teknisten haavoittuvuuksien tiedot tietoturvaa koskeviksi päätöksiksi.
Haavoittuvuuksien tunnistus on jatkuvaa ja automatisoitua. Saat:

• asiantuntijan mielipiteen nykyisistä haavoittuvuuksistasi ja suosituksia siitä, miten voisit parantaa kyberturvallisuuttasi 
• tiedon siitä, kuinka vastustuskykyinen tietojärjestelmäsi ja verkkosi ovat yleisimpiä uhkia vastaan
• tiedon haavoittuvuuksien hallintasi tehokkuudesta ja siitä, kuinka nopeasti haavoittuvuudet korjataan.

Tekemällä jatkuvia tarkistuksia internetiä tai sisäistä verkkoa käyttäville sovelluksille ja tietojenkäsittelyalustoille voit olla varma siitä, että yleisimmät ohjelmistohaavoittuvuudet havaitaan ja raportoidaan. Jatkuva valvonta vähentää merkittävästi keskeytyksiä ja muiden häiriöiden todennäköisyyttä. Ajantasainen raportointi varmistaa, että korjaustoimenpiteet voidaan kohdistaa tärkeimpiin resursseihisi.

Palvelumme kattaa skannaustekniikan ja sen ylläpidon, lisenssin, valittujen sovellusten ja IT-infrastruktuurin säännölliset haavoittuvuustarkastukset ja niiden raportit sekä tukikeskuksemme ympärivuorokautisen tuen. Ota yhteyttä ja kysy lisää.
 

Kysynnän äkillinen kasvu ja digitaalisten palvelujen muuttuvat kapasiteettitarpeet voivat olla haastavia. Jos organisaatiosi ei ole ajan tasalla turvallisten digitaalisten palvelujen ylläpidosta tai sen tarjoama asiakaskokemus on huono, asiakkaat eivät palaa palveluun. Tietojen käsittelyn ja tietoturvan avoimuus ovat monille asiakkaille ensisijaisen tärkeitä, joten identiteetin hallintaprosessien on herätettävä luottamusta.

Nixun MIAM-palvelu (Nixu Managed Identity and Access Managent Service) on avaimet käteen -ratkaisu, joka täyttää digitaaliset liiketoimintavaatimuksesi. Se tarjoaa kattavan yksityisyyden suojan ja tietoturvan, ja joustavuutensa ansiosta se on skaalattavissa organisaatiosi vaatimusten mukaan. Huolehdimme palvelun ylläpidosta ja jatkuvasta optimoinnista, jotta sinä voit keskittyä rauhassa liiketoimintaasi.

Nixun MIAM-ratkaisu on räätälöity kuluttajien ja yritysten väliseen identiteetin- ja pääsynhallintaan, mutta palvelun sisältämiä teknologioita voidaan käyttää myös identiteetin ja pääsynhallinnan hallinnointiin (IGA-palvelu), IoT-laitehallintaan ja työntekijöiden IAM-hallintaan.

Ota meihin yhteyttä, niin kerromme lisää.

IAM-roadmap on yrityksen suunnitelma identiteetin- ja pääsynhallinnan prosessien ja toimintojen valvomiseksi. Roadmapissa esitetään haluttu IAM-tila ja konkreettiset toimenpiteet tilaan pääsemiseksi. Analysoimme yhdessä kaikkien asiaankuuluvien sidosryhmien kanssa tarvittavia identiteetin- ja pääsynhallintaprosesseja (IAM) ja niitä tukevaa arkkitehtuuria. Ehdotamme sinulle ratkaisuja, jotka auttavat sinua saavuttamaan liiketoimintatavoitteesi..       

IAM Roadmapin avulla saat:

• Riippumattomien asiantuntijoidemme tekemän nykytila-analyysin.
• Suosituksia liiketoimintatavoitteista, prosessiparannuksista ja mahdollisista teknologiatoimittajista, jotka vastaavat yrityksesi tarpeisiin.
• Etenemissuunnitelman konkreettisine toimenpiteineen ja ennen ratkaisun hankintaa tarvittavine suosituksineen.

Nosta yrityksesi digitaalinen identiteetinhallinta aivan uudelle tasolle. Ota meihin yhteyttä, niin kerromme lisää.

Miten voit parhaiten löytää tasapainon kyberturvallisuuden ja fyysisen turvallisuuden välillä, kun teollisuusympäristöt digitalisoituvat? Autamme sinua laatimaan käytännönläheisen kehitysohjelman, joka parantaa ICS/OT-ympäristöjesi kyberturvallisuuden tasoa. Näin voit tehokkaasti suunnitella ja priorisoida kyberturvallisuuteen liittyviä investointejasi.

Aloitamme nykytila-analyysilla, jossa otetaan huomioon yrityksessäsi olevat työntekijät, prosessit ja teknologia. Saat 360 asteen näkymän kyberturvallisuutesi tasoon ja keskeisiin ominaisuuksiin kansainvälisten viitekehysten, alan standardien ja parhaiden käytäntöjen perusteella.

Autamme sinua määrittämään haluamasi tavoitetilan kyberturvallisuudellesi eri riskien, vaatimusten ja aiemman kokemuksemme perusteella. Samalla laadimme kehitysohjelman, jonka avulla voit luoda varman perustan kyberturvallisuusprosesseillesi ja suojata ICS/OT-ympäristöjäsi, havaita ja reagoida häiriöihin ja toipua haitallisista tapahtumista.

Ota meihin yhteyttä saadaksesi lisätietoja siitä, kuinka voit jatkuvasti parantaa ICS-kyberturvallisuutesi tasoa.

Haluatko tietää, miten luotettava ICS-ympäristösi on? ICS-ympäristön tietoturva-arviointimme vertaa tietoturvaprosessejasi, järjestelmäarkkitehtuuriasi ja verkkosi tietoturvaa perusteellisesti alalla vallitseviin kyberturvallisuusstandardeihin, kuten IEC 61511:een ja IEC 62443:een, sekä muihin vaadittaviin alakohtaisiin (sähkö-, merenkulku-, kemian alan) standardeihin. ICS-tietoturva-asiantuntijamme hyödyntävät sekä arkkitehtuuri- ja prosessiarviointeja että uhkamallinnusta ja teknistä tietoturvatestausta. Meiltä saat:

• Katsauksen tietoturvavalvontasi ja -prosessiesi heikkouksista. Kaikki turvallisuusraporttimme ovat ihmisten – ei robottien – laatimia ja selittämiä.
• Analyysin mahdollisista sisäisistä ja ulkoisista uhkatekijöistä, jotka voivat vaarantaa järjestelmäsi.
• Yksityiskohtaisia ja vaiheittaisia suosituksia tietoturvallisuutesi parantamiseen.  

Autamme sinua testaamaan puolustusvalmiuksiasi. Ota yhteyttä ja kysy lisää.

Tietoturvallisuutesi ja liiketoimintasi jatkuvuuden varmistaminen on ensisijaisen tärkeää meille. Siksi olemme valmiita ottamaan ohjat ICS-ympäristösi tietoturvan kehittämisessä ja ylläpitämisessä. Asianmukaisten tietoturvakäytäntöjen, -ohjeiden ja teknisten valvontatoimien lisäksi vertaamme ympäristöjäsi alan standardien mukaisesti. Teemme yhteistyötä kanssasi varmistaaksemme, että kyberturvallisuutesi on optimoitu uhkaympäristösi ja riskinsietokykysi mukaan, häiritsemättä tuotantoa. Kokeneilla asiantuntijoillamme on runsaasti kokemusta erityisesti öljy-, kaasu- ja ydinteollisuudessa käytettävien ICS-ympäristöjen tietoturvan varmistamisesta.

Kun haluat varmistaa tärkeimpien palveluidesi saatavuuden, sinun tulee valvoa teollista ympäristöäsi haitallisen toiminnan ja toimintahäiriöiden varalta ja reagoida poikkeamiin nopeasti. ICS/OT-valvontaratkaisumme sisältää teollisuusautomaatiojärjestelmien valvonnan, resurssien havaitsemisen sekä organisaatiosi toimintaympäristöön liittyvät toiminta-, verkko- ja tietoturvatapahtumat. Palvelumme sisältää:

• Asiantuntijoiden tietotaitoa ja teknologiaa yhdistävän lähestymistavan, joka tarjoaa tietoa häiriöistä ja uhkista.
• ICS/OT-ympäristöjen tietoturvavalvonnan työpäivän aikana tai ympärivuorokautisesti ympäri vuoden.
• Hälytykset häiriötilanteista.
• Paikan päällä tai etänä tarjottavan tuen toimintahäiriöiden analysointia varten.
• Paikan päällä tai etänä tarjottavan tuen tietoturvaloukkauksiin reagointia ja niiden tutkintaa varten.

Autamme sinua reagoimaan nopeasti ICS-kyberturvallisuushäiriöihin ja palaamaan takaisin normaalioloihin mahdollisimman nopeasti. Ota yhteyttä ja kysy lisää.

Internetiin yhdistetyt laitteet ja IoT-ekosysteemit ovat helppoja kohteita automatisoiduille hyökkäyksille. Harvat käyttäjät muistavat kuitenkaan päivittää IoT-laitteitaan, sillä he olettavat niiden olevan tietoturvallisia ja yksityisyyttä suojaavia ja ovat valmiita maksamaan enemmän näistä ominaisuuksista. Kyberturvallisuusstandardien noudattaminen on useammalla alalla pakollista – terveydenhuoltoalalla, teollisuusautomaatiossa ja muilla säännellyillä aloilla vaaditaan tietoturvan todentamista ja kyberturvallisuussertifiointia, ennen kuin tuote voidaan saattaa myyntiin.

IoT-kyberturvallisuuden kehitysohjelman avulla luot IoT-tuotteita ja -palveluita, joiden tietoturva ja yksityisyydensuoja edustavat alasi kirkkainta kärkeä. IoT:hen ja sulautettujen ratkaisujen, ohjelmistokehityksen ja pilvipalveluiden tietoturvaan erikoistuneet asiantuntijamme tutkivat tuotteesi arkkitehtuuria, kehityskaarta ja pilviarkkitehtuuria, jotta he voivat antaa käytännönläheisiä suosituksia. Kehitysohjelman avulla:

• Saat tietoa IoT-ekosysteemisi tietoturvaratkaisujen vahvuuksista ja heikkouksista. Samalla voit verrata, miten ne vastaavat niihin odotuksiin ja uhkiin, jotka liitetään digitaalisessa maailmassa toimimiseen.
• Voit verrata, kuinka hyvin täytät tuotteisiisi sovellettavien standardien, määräyksien sekä alan parhaiden käytäntöjen asettamat tietoturvavaatimukset.
• Saat vaiheittaisen kehitysohjelman, jonka avulla varmistat koko ekosysteemisi tietoturvan liiketoimintatavoitteidesi mukaisesti.
• Saavutat kestävän tietoturvatason budjettiisi sopivalla tavalla.
• Saat asiakkaidesi ja käyttäjiesi luottamuksen.

Kyberturvallisuuden avulla IoT-tuotteesi erottuvat joukosta. Ota yhteyttä ja kysy lisää.

Kun haluat varmistaa asiakkaidesi tyytyväisyyden, sinun tulee valvoa IoT-ekosysteemiäsi haitallisen toiminnan ja toimintahäiriöiden varalta ja reagoida poikkeamiin nopeasti. IoT-valvontaratkaisumme sisältää IoT-laitteiden ja niihin liittyvien palveluiden valvonnan. Palvelumme sisältää:

• Asiantuntijoiden tietotaitoa ja teknologiaa yhdistävän lähestymistavan, joka tarjoaa tietoa verkkoihisi ja laitteisiisi kohdistuvista häiriöistä ja uhkista.
• Valittujen ympäristöjen tietoturvavalvonnan työpäivän aikana tai ympärivuorokautisesti ympäri vuoden.
• Hälytykset häiriötilanteista.
• Paikan päällä tai etänä tarjottavan tuen toimintahäiriöiden analysointia varten.
• Paikan päällä tai etänä tarjottavan tuen tietoturvaloukkauksiin reagointia ja niiden tutkintaa varten.

Autamme sinua reagoimaan nopeasti IoT-kyberturvallisuushäiriöihin ja palaamaan takaisin normaalioloihin mahdollisimman nopeasti. Ota yhteyttä ja kysy lisää.

Teemme ISO 27001 -sertifiointiauditointeja. ISO 27001 -sertifiointi sopii kaikille tietoturvaan panostaville organisaatiolle ja erityisesti niille, jotka haluavat osoittaa ulkopuoliselle taholle toimivansa hyvien tietoturvakäytäntöjen mukaisesti. ISO 27001 keskittyy tietoturvan johtamisjärjestelmään. Tarjoamme mahdollisuutta yhdistää samaan tarkastukseen myös muita viitekehyksiä kuten CSA STARia, VAHTIa, Katakria ja PCI:tä. Nixu Certification on Finnish Accreditation Servicen (FINAS) akkreditoima ISO 27001 -tarkastaja.

Teemme ISO 27001 -sertifiointiauditointeja. ISO 27001 -sertifiointi sopii kaikille tietoturvaan panostaville organisaatiolle ja erityisesti niille, jotka haluavat osoittaa ulkopuoliselle taholle toimivansa hyvien tietoturvakäytäntöjen mukaisesti. ISO 27001 keskittyy tietoturvan johtamisjärjestelmään. Tarjoamme mahdollisuutta yhdistää samaan tarkastukseen myös muita viitekehyksiä kuten CSA STARia, VAHTIa, Katakria ja PCI:tä. Nixu Certification on Finnish Accreditation Servicen (FINAS) akkreditoima ISO 27001 -tarkastaja.

Pilvipalvelujen parhaita käytäntöjä kuvataan myös ISO-standardeissa 27017 ja 27018. Virallisesti näitä standardeja vasten ei voi sertifioitua, mutta yhdessä ISO 27001 -sertifioinnin kanssa Nixu Certification Oy voi antaa asiakkaalle lausunnon myös näiden kontrollien täyttymisestä.

Teemme ISO 27701 -tietosuojasertifiointitarkastuksia. ISO 27701 sopii kaikille tietosuojaan panostaville organisaatioille ja erityisesti niille, jotka haluavat osoittaa ulkopuoliselle taholle toimivansa hyvien tietosuojakäytäntöjen mukaisesti. ISO 27701 on laajennus ISO 27001 -standardille. Nixu Certification hakee akkreditointia ISO 27701-tarkastuksille, kun se tulee mahdolliseksi. 

Tarjoamme tietosuoja-asiantuntijat organisaatiosi tietosuojakäytäntöjen kehittämiseen ja ylläpitoon. Tietosuojan asiantuntijapalvelumme kattaa niin vuosikelloon kirjatut tehtävät, päivittäisen työn ohessa nousevat käytännön kysymykset kuin yllättävät kriisitilanteetkin ja tarjoaa asiantuntemusta jatkuvaan tietosuojan kehitysohjelman suunnitteluun ja läpivientiin organisaatiossasi. Palvelua johtaa nimetty tietosuoja-asiantuntija tukenaan kattava tiimi tietoturvan, teknologian, pääsyn- ja identiteetinhallinan ja juridiikan asiantuntijoita Nixulta. Jatkuva tietosuojatuki skaalautuu kaikenkokoisille organisaatioille ja räätälöidään tarpeidesi mukaan. 

Kanta on terveydenhuollon keskitetty tietojärjestelmä, jonne tallennetaan kansalaisten terveystietoa. Kanta-palveluihin liittyvien järjestelmien ja välityspalveluiden tulee läpäistä tietoturvallisuuden auditointi. Nixu Certification voi arviointilaitoksen ominaisuudessa suorittaa virallisen auditoinnin.

Katakri on turvallisuusauditointikriteeristö, jota voidaan käyttää arvioitaessa organisaation kykyä suojata viranomaisten salassa pidettävää tietoa. Katakria käytetään tarkastustyökaluna myös yritysturvallisuusselvityksiä tehtäessä. Katakriin kuuluu kolme osa-aluetta:

T: Turvallisuusjohtaminen 
F: Fyysinen turvallisuus
I: Tekninen tietoturvallisuus

Virallinen Katakri-hyväksyntä edellyttää kaikkien osa-alueiden arviointia, mutta osittaisesta arvioinnista voi saada erillisen lausunnon arviointilaitokselta. Nixu Certification on Finnish Accreditation Servicen (FINAS) akkreditoima Katakri 2015 -tarkastaja suojaustasoille STIV ja STIII.
 

Valtiovarainministeriön VAHTI-toiminta sisältää useita ohjeita tietoturvallisuuden kehittämiseen ja arviointiin valtionhallinnossa. Ohjeita voi hyödyntää kaikenlaisissa organisaatioissa ja ohjeet kattavat mm. fyysisen turvallisuuden, päätelaitteet, varautumisen ja sovelluskehityksen. Nixu Certification on Finnish Accreditation Servicen (FINAS) akkreditoima VAHTI-tarkastaja suojaustasolle STIV.

Joskus hyökkäjä yrittää hyödyntää inhimillisiä heikkouksia teknisen laitteiston asemesta aloittaessaan kyberhyökkäystä organisaatiota vastaan. Tätä kutsutaan käyttäjän manipuloinniksi (social engineering). Nixun koulutuspalvelun komponentteja ovat luokkahuoneessa tapahtuva opetus, tietokonepohjaiset itseopiskelukurssit ja pelin muotoon rakennettu harjoitus. Näitä osia yhdistelemällä räätälöimme organisaatiollesi  koulutusohjelman, joka parantaa henkilöstösi kykyä ehkäistä käyttäjän manipulointiin perustuvat hyökkäykset.

Kyberharjoittelu parantaa ja nopeuttaa kykyä reagoida tietoturvaloukkauksiin, toipua niistä ja pienentää niiden vaikutuksia. Harjoittelun jälkeen organisaatiollasi on paremmat edellytykset havaita ja torjua kyberhyökkäykset ennen kuin toimintanne vaarantuu. Harjoitus toteutetaan simuloimalla kriisitilanne, jonka harjoitukseen osallistujat saavat selvittää soveltamalla olemassa olevaa ohjeistusta. Samalla ohjeistuksessa olevat puutteet havaitaan ja voidaan korjata.

Kyberturvaan liittyvää osaamista ja valmiuksia voidaan kehittää organisaatiossa hyödyntäen luokkahuoneopetusta tai tietokonepohjaista itseopiskelua. Luokkahuoneessa opetuksen sisältö voi tarvittaessa joustaa, kun taas tietokonepohjaisen kurssi on helpompi sovittaa henkilöstön aikatauluihin. Hyödynnämme laajaa kokemustamme koulutusten järjestämisestä erilaisille organisaatioille ja räätälöimme koulutuksen toiveidesi mukaisesti.

Perinteiset virustentorjuntaratkaisut ja havainnointityökalut eivät tunnista pitkälle kehitettyjä hyökkäyksiä. Niiden avulla voit parhaimmillaan reagoida kiireellä hyökkäykseen ja yrittää lieventää vahinkoa. Hallinnoidulla uhkien tunnistus ja reagointi -palvelullamme (MDR) suojaat yrityksesi kyberhyökkäyksiltä proaktiivisella tavalla. Siinä yhdistyvät:

• osin automatisoitu uhkien havainnointi- ja reagointipalvelu
• aktiivinen puolustus eli havaittuihin uhkiin perustuva eristäminen ja estäminen
• hallinoidut teknologiat, kuten SIEM-järjestelmä, EDR- ja NDR-ratkaisut, joiden avulla puolustaudut paremmin
• kyberturvallisuuden ammattilaisten analytiikka ja asiantuntemus
• uhkien metsästys, uhkatieto ja hyökkäysten torjunta

Hallinnoitu uhkien tunnistus ja reagointi -palvelumme hyödyntää koneoppimista, kehittyneitä havainnointiteknologioita ja kyberturvallisuuden ammattilaistemme taitoja. Palvelun avulla tunnistat tehokkaasti kyberhyökkäykset niin päätelaitteilla kuin verkossa, puolustaudut ja estät ne. Avullamme:

• suojaat työasemat, mobiililaitteet, palvelimet, paikalliset ja pilvessä olevat IoT- ja OT-laitteet
• puolustaudut tietovarkauksilta, kiristysohjelmilta, haittaohjelmilta ja muilta uhkilta
• huomaat tietojen, kuten työntekijän tunnistetietojen tai arkaluontoisten asiakirjojen, katoamisen
• saat kattavan käsityksen yrityksesi kyberturvallisuuden tilasta selkeästi esitetyssä muodossa, ja voit tarkastella ajantasaista tietoa datastasi, hälytyksistä sekä tutkintatiedoista.

Ota yhteyttä kokeillaksesi Proof of Value -kokeilujaksoa.

Toimimme Microsoftin akkreditoimana tietoturva- ja tietosuojavaatimusten tarkastajana. 

Microsoft on määrittänyt tietoturva-ja tietosuojavaatimukset toimittajilleen, yhteistyökumppaneilleen ja alihankkijoilleen, joilla on hallussaan Microsoftin luottamuksellista tietoa tai henkilötietoja (Supplier Security and Privacy Assurance Program, eli SSPA-ohjelma). Toteutamme Microsoftin puolesta toimittajien ja alihankkijoiden toiminnan tarkastuksen SSPA-vaatimuksia vasten.

Tuote on testattava haavoittuvuuksien varalta ennen sen tuomista markkinoille. Murtotestauspalvelumme todentaa tuotteen tietoturvatason, jolloin asiakkaisiin kohdistuvat tietomurtoriskit voidaan minimoida. Murtotestauspalvelun sisältö sovitetaan aina yrityksen tarpeisiin. Testaukseen voi kuulua esimerkiksi alan standardeihin perustuva tietoturva-arviointi tai sekä fyysistä että digitaalista turvallisuutta testaava hakkerointisimulaatio. Asiantuntijamme avustavat testauslaajuuden määrityksessä.

Oletko koskaan miettinyt, kuinka helposti järjestelmääsi voidaan murtautua? Ammattitaitoiset murtotestaajamme tutkivat tuotteitasi ja IT-infrastruktuuriasi kuin verkkorikolliset – etsien puolustuksesi heikointa lenkkiä. Murtotestausmenetelmämme keskittyy haavoittuvuuksiin: voidaanko niitä käyttää tietojen vuotamiseen, poikittaisliikkeisiin tai koodin etäsuorittamiseen? Käytämme huippuluokan testaustyökaluja, tarkastelemme lähdekoodia ja hyödynnämme ammattilaistemme kokemusta hyvishakkereina. Meiltä saat:

• Asiantuntijan laatiman analyysin löydetyistä ja todennetuista haavoittuvuuksista sekä tarkat haavoittuvuustiedot ja kriittisyysarviot. Kaikki turvallisuusraporttimme ovat ihmisten – ei robottien – laatimia ja selittämiä.
• Ohjeita suojauskeinojen ja korjausehdotusten toteuttamiseksi.
• Parannussuosituksia vastaavanlaisten haavoittuvuuksien estämiseksi tulevaisuudessa.

Skaalaamme murtotestauksen tarpeidesi ja järjestelmän riskitason mukaan. Voimme auttaa sinua varmistamaan tuotteesi laadun ennen julkaisua, tarkistamaan kaikki yrityksesi IT-kohteet tai jopa simuloimaan hyökkäyksen voimalaitosta vastaan. Ota yhteyttä ja kysy lisää

Nixu tarjoaa tietoturvaan ja tietosuojaan liittyviä koulutuspalveluita kaikille organisaatioille ja kaikille organisaatiotasoille johdosta teknisiin asiantuntijoihin. Tavoitteena on varmistaa, että heillä on tarvittavat tiedot ja taidot kriittisten tietojen ja järjestelmien suojaamiseksi ja uusien digitaalisten palveluiden käyttöönottoon. Haluamme kasvattaa työntekijöiden motivaatiota ja kykyä havaita kyberriskejä ja toimia turvallisesti. Palveluihimme kuuluvat muun muassa erilaiset kybersimulaatioharjoitukset, verkko-oppimismateriaalit, työpajat, koulutukset ja kyberkampanjat.

Nixu Cyber Defense Center on jatkuva tietoturvapalvelu, joka valvoo ja suojaa yrityksesi prosesseja ja tietojärjestelmiä puolestasi 24/7. Asiantuntijamme ja järjestelmämme valvovat sekä hallitsevat liiketoimintaasi kohdistuvia tietoturvauhkia. Seuraamme ydinprosessiesi kaikkia vaiheita, emme vain yksittäisiä järjestelmiä. Tietoturvaryhmämme johtaa tutkimuksia, kun tarvitset apua havaitun uhan selvittämisessä. Avullamme havaitset ongelmat ajoissa ja korjaat seuraukset vauhdilla.

Palvelumme auttaa saamaan kyberturvallisuuden hallintaan. Se laskee ja selvittää selkokielellä tietoturvainvestointien kannattavuuden. Sen avulla hallitset riskejä ja todistat asiakkaillesi miten prosessisi on suojattu.

Tietoturvaloukkauksen tyypillinen syy on pilven virheellinen konfiguraatio. Älä anna kyberturvahyökkäyksen estää liiketoimintaasi. Office 365 -tietoturvakatsauksemme antaa kokonaisvaltaisen kuvan pilven tietoturvan tasosta. Tunnistamme riskialttiit konfiguraatiot ja suunnittelumallit sekä tarjoamme selkeät toimintaohjeet pilviratkaisusi suojaamiseksi. Näin voit suunnitella ja priorisoida tietoturvan parannuksia parhaiden käytäntöjen ja asiantuntijoidemme suositusten perusteella.

Nixun PCI PA-DSS -palvelut on tarkoitettu maksusovelluksia kehittäville ohjelmistotoimittajille. Autamme validointiin valmistautumisessa, vaatimustenvastaisuuksien korjaamisessa sekä suoritamme varsinaisen validoinnin. Validoinnin tuloksena laaditaan määrämuotoinen validointia koskeva raportti ja validointitodistus ja maksusovellus lisätään PCI Councilin verkkosivustolle.

PCI Preparation -palvelu on PCI-vaatimusten noudattamisen ensimmäinen askel. Koulutamme henkilöstön ymmärtämään, mitä PCI-standardit ja niihin liittyvät vaatimukset tarkoittavat, teemme gap-analyysin ja laadimme suunnitelman vaatimustenmukaisuuden toteuttamista varten. PCI Preparation -palvelu sopii erityisesti organisaatioille, jotka aikovat ryhtyä valmistelemaan vaatimustenmukaisuuden toteuttamista, mutta joilta puuttuu tieto siitä, miten työ pitäisi aloittaa.

Otettaessa käyttöön pilven IaaS- tai PaaS-toimitusmalleja, useiden toimittajien lukuisia palveluita voidaan hyödyntää ketterästi tukemaan omien palvelujen tai tuotteiden nopeaa julkaisua. Toisaalta kaikkien näiden toimittajien ja palvelujen tietoturvakäytäntöjen yhteensovittaminen voi olla haastavaa. Jos näitä taas ei oteta huomioon voi lopputulos olla tietoturvan kannalta puutteellinen. Näiden puutteiden korjaaminen myöhemmin palvelun elinkaaressa voi olla kallista ja aikaa vievää ja johtaa liiketoiminnan katkoihin ja pahimmassa tapauksessa kriittisen liiketoimintadatan ja maineen menettämiseen.

Asiantuntijamme tukevat pilviympäristönne rakentamista toimittajien suositusten sekä oman osaamisemme avulla, jonka olemme kehittäneet työskennellessämme useiden pilviteknologioiden kanssa. Lisäksi olemme myös Cloud Security Alliancen (CSA) jäsen.

Kun pilvipalveluita otetaan käyttöön kasvavalla tahdilla, voidaan joutua tilanteeseen, jossa pilviekosysteemi on hajaantunut moniin organisaatioihin ja kokonaisuuden kontrollointi on haastavaa. Pilven ketterän luonteen vuoksi käyttäjien identiteetti tulee hallita oikein tukemaan palvelun elinkaarta. Autamme yritystäsi löytämään oikean identiteetin- ja pääsynhallintaratkaisun, joka tukee pilvitransformaatiota. Voimme auttaa hyödyntämään jo tehtyjä investointeja ja laajentaa näitä ratkaisuja ja prosesseja hybridipilvessä tai auttaa kehittämään uusia toimintatapoja, kun otetaan käyttöön uusia pilvipalveluita. Varmistamme, että oikeat ihmiset ja laitteet saavat pääsyn oikeisiin sovelluksiin, dataan sekä palveluihin oikeista liiketoimintasyistä johtuen. Tämä on erityisen arvokasta pilvitransformaatiossa, missä muutoksen tahti kasvaa jatkuvasti.

Uudet ja vanhat pilvipalvelujen tarjoajat ovat alkaneet tarjota spesifejä palveluita eri liiketoimintayksiköille yhä kasvavissa määrin. Nämä palvelut antavat liiketoimintayksiköille usein selkeitä liiketoimintahyötyjä, kuitenkin ennen kuin kriittisiä toimintoja ja dataa siirretään pilveen tulisi näihin palveluntarjoajiin pystyä luottamaan. Voimme auttaa arvioimaan pilvipalvelujen tarjoajiin liittyviä riskejä, oli kyseessä tekninen tai hallinnollinen arviointi.

Näillä voidaan varmistaa, että olennaiset menetelmät ja kontrollit suojaavat liiketoimintaanne. Voimme myös auttaa varmistamaan, että pilvipalvelujen tarjoajien sertifikaatit vastaavat tarvettanne sekä suojaavat relevantit osat toiminnoistanne.

Yleisesti pilvipalveluja käyttöön ottavat organisaatiot noudattavat pilvistrategiaansa tai näkevät selkeät käyttötapaukset, joiden hyötyjen perusteella on tehty laskelmat. Kuitenkin usein käyttötapausten riskejä ei ole määritelty riittävällä tasolla, jos lainkaan. Tällöin liiketoimintapäätöksiä tehdään puutteellisilla tiedoilla, jolloin pahimmassa tapauksessa toteutuneita riskejä yritetään lieventää jälkikäteen.

Voimme auttaa teitä kehittämään tietoturvaviitekehyksen pilvipalveluille tukemaan pilvitransformaatiotaanne. Tämä perustuvat menetelmiin, joita olemme kehittäneet vuosien varrella eri asiakkaiden ja organisaatioiden kanssa. Tietoturvaviitekehyksen tarkoitus on määritellä sekä lieventää riskit turvallisten toimintatapojen ja ohjeiden avulla.

Otettaessa käyttöön pilvipalveluita voi olla haastava nähdä koko projektiin liittyvä riski- ja uhkamaisema. Ilman selkeää lähestymistä voi olla haastava nähdä, mikäli tehdyt tietoturvainvestoinnit ovat järkeviä ottaen huomioon kyseisen käyttötapauksen. Meillä on laaja kokemus uhkamallinnuksien tekemisestä erilaisille tuotteille ja palveluille. Suurin hyöty uhkamallinnuksen tekemisessä on identifioida relevantit uhat sekä riskit, joka tarjoaa arvokasta tietoa järkevien tietoturvainvestointien sekä -päätösten tekemiseksi. Voimme auttaa teitä varmistamaan, että pilveen siirryttäessä relevantit riskit ovat identifioitu ja ne voidaan käsitellä tarvittavalla tavalla.

PiTuKri on pilvipalveluiden turvallisuuden arviointikriteeristö, joka on ensisijaisesti tarkoitettu viranomaiskäyttöön, mutta soveltuu kaikkien niiden organisaatioiden käyttöön, jotka hyödyntävät toiminnassaan pilvlpalveluita. Nixu Certification tarjoaa pilvipalveluiden arviointeja ja tulee hakeutumaan akkreditoiduksi PiTuKri-auditoijaksi, kun se tulee mahdolliseksi.

Organisaatiot investoivat puolustukseen liiketoimintansa suojelemiseksi. Mutta ovatko nämä toimenpiteet todella tehokkaita? Kuinka hyvin organisaatio voi ylipäätään suojata arvokkainta omaisuuttaan?

Nixun Red Team testaa, kuinka hyvin ihmiset, työkalut ja prosessit toimivat yhdessä kohdistetun hyökkäyksen aikana. Harjoitusta voi verrata paloharjoitukseen, jonka avulla organisaation turvatiimi voi mitata havaitsemiskyvykkyyttään ja reagointiaikaansa.
Nixun Red Team hyödyntää MITER ATT&CK ja TIBER-FI -viitekehyksiä hyökkäystestauksissa. Kehykset luonnehtivat ja kuvaavat vastustajan käyttäytymistä, työkaluja, tekniikoita ja taktiikoita kohdistettujen hyökkäyksien aikana. Se auttaa myös ymmärtämään paremmin hyökkäystekniikoita ja tunnistamaan aukkoja organisaatiosi puolustuksessa. 

Red Team -harjoituksen avulla organisaatio saa arvokasta tietoa havaitsemis- ja reagointikyvystään. Se tarjoaa kokonaisvaltaisen kuvan kontrollien ja prosessien heikkouksista kohdistetuissa hyökkäyksissä sekä yksityiskohtaiset suositukset tietoturvan parantamiseksi. Harjoituksen jälkeen hyökkäys käydään läpi perusteellisesti organisaation kanssa oppimisen maksimoimiseksi. 
 
Hyökkäystestausten avulla saat:

• arvokasta tietoa havainnointi- ja reagointikyvyistäsi kohdistetun hyökkäyksen aikana
• katsauksen turvakontrolliesi ja -prosessiesi heikkouksista
• yksityiskohtaisia suosituksia turvallisuutesi parantamisesta 
• kokonaisvaltaisen kuvauksen tehdyistä hyökkäyksistä, jotta opit niistä mahdollisimman paljon

Räätälöimme Red Team -harjoituksen vastaamaan organisaatiosi tarpeita ja todellisia uhkia. Ota yhteyttä, niin kerromme mielellämme lisää, miten voimme parantaa yhdessä organisaatiosi kyberturvaa.

Tiedonkalasteluhyökkäyksen tavoitteena on saada sähköpostin vastaanottaja klikkaamaan linkkiä, lataamaan liitetiedosto, luovuttamaan salasana tai jakamaan muuta luottamuksellista tietoa hyökkääjälle. Rakennamme sinun organisaatiollesi kohdennetun kampanjan, joka näyttäytyy henkilöstölle pelin kaltaisena. Kun työntekijä onnistuu torjumaan hyökkäyksen, hän saa kannustuksen lisäksi lyhyen tietoiskun torjutusta hyökkäystyypistä. Positiivinen vahvistus auttaa motivoimaan henkilöstöä ja lisää halukkuutta jatkaa koulutusta.

Osaava tietoturvatestaaja on paras valinta, kun haluat löytää sovelluksen liiketoimintalogiikassa piileviä haavoittuvuuksia tai ketjuttaa useita heikkouksia. Joskus saatat myös tarvita riippumattoman kolmannen osapuolen varmistuksen tuotteesi tietoturvallisuudesta. Kokeneet tietoturvatestaajamme tutkivat verkko- ja mobiilisovelluksesi, IoT-laitteiden sulautetut järjestelmät ja muut laitteesi. Arvioimme sovellustesi tietoturvan määritettyjen kriteerien, kuten OWASP Top 10:n, ASVS:n (Application Security Verification Standard), MASVS:n (Mobile Application Security Verification Standard) tai muiden alan parhaiden käytäntöjen ja koventamisohjeiden perusteella. Arviointi voi sisältää myös lähdekoodin tietoturvallisuuden tarkastamisen.
 

Tietoturva-arviointimme on yhdistelmä huippuluokan testaustyökaluja, lähdekoodin tutkimista ja ammattilaistemme tietoturvaosaamista. Meiltä saat:

• Asiantuntijan laatiman analyysin löydetyistä ja todennetuista haavoittuvuuksista sekä tarkat kriittisyysarviot. Kaikki turvallisuusraporttimme ovat ihmisten – ei robottien – laatimia ja selittämiä.
• Ohjeita suojauskeinojen ja korjausehdotusten toteuttamiseksi.
• Parannussuosituksia vastaavanlaisten haavoittuvuuksien estämiseksi tulevaisuudessa.

Skaalaamme testauksen järjestelmäsi koon ja riskitason perusteella – menetelmämme sopii kaikenlaisille sovelluksille yksinkertaisista verkkosivustoista kriittisiin pankkijärjestelmiin.

Tietoturvatarkastuksemme pysyvät myös ketterän kehityksen perässä. Voimme suorittaa testauksen useassa eri vaiheessa ja auttaa sinua kehittämään ja varmentamaan lievennyskeinoja toistuvasti. Ota yhteyttä ja sovitaan oikeanlainen tietoturvatarkastus sinun tarpeisiisi.

Asiantuntijamme tukevat tietosuojaa koskevan vaikutustenarvioinnin tekemisessä. Takaamme luotettavan ja todennetun GDPR:n mukaisen riskien hallintaprosessin, joka kattaa sekä tekniset että juridiset tietosuojanäkökulmat. Menetelmämme koostuu käyttötapaus- ja prosessityöpajoista. Niihin kuuluu teknisten ja juridisten seikkojen tarkastelu, mahdollisten tietovuokaavioiden laatiminen tietojen käsittelyn kuvaamiseksi, kokonaisvaltainen riskinarviointi eri näkökulmista sekä kattava raportti tehdystä arvioinnista. Vaikutustenarvioinnin tulokset raportoidaan järjestelmällisesti. Raportti sisältää kattavan kuvauksen käsittelystä ja mahdolliset tietovuokaaviot, asiantuntijoidemme arviot käsittelyn välttämättömyydestä ja oikeasuhteisuudesta, asetuksessa vaadittu ja kattava yksilöön kohdistuvien riskin arviointi sekä oikeudelliset, tekniset ja organisatoriset toimenpiteet riskin korjaamiseksi. Tuotettu vaikutustenarviointiraportti toimii myös todisteena viranomaisille ja kumppaneille tietosuoja-asetuksen vaatimuksiin vastaamisesta.

Tietosuojavastaavapalvelumme varmistaa, että organisaatiosi saa laajaa juridista, teknistä ja johtamisosaamista tietosuojan osalta. Organisaatiollesi nimetään Nixulta tietosuojavastaava, jonka tukena on eri osa-alueiden erityisosaajien ammattitaitoinen tiimimme. Tietosuojavastaava hoitaa ja koordinoi asiantuntijana tietosuoja-asetuksesta juontuvia tehtäviä, kuten tietosuojakoulutusten järjestämisen, asiantuntevan neuvonnan vaikutustenarviointeja tehtäessä, osoitusvelvollisuutta toteuttavan dokumentaation tarkastelut, tietosuojaloukkausten selvitystyön hallinnan ja yhteydenpidon viranomaisiin. Tietosuojavastaavapalvelumme on aina ajan tasalla tietosuojalainsäädännön kanssa ja varmistaa, että organisaatiosi tietosuojan ohjausryhmässä käsitellään tarpeelliset aiheet.

OT-järjestelmäsi turvallisuus perustuu toimitusketjusi ja siinä olevien yksittäisten komponenttien turvallisuuteen. Joidenkin pienempien toimittajien järjestelmät on suunniteltu suorituskykyä eikä kyberturvallisuutta silmällä pitäen, mikä voi osoittautua ongelmaksi, kun kyseessä on kriittinen komponentti. Kolmannet osapuolet tarvitsevat usein myös pääsyn OT-järjestelmäsi keskiöön, ja heidän järjestelmässään oleva tietoturva-aukko voi vaarantaa sinunkin tuotantosi. Siksi on tärkeää varmistaa, että toimittajasi ja kumppanisi noudattavat IEC62443-standardissa määritettyjä vaatimuksia sekä muita hyviä kyberturvallisuuskäytäntöjä.

Autamme sinua arvioimaan toimittajiesi ja kumppaniesi kyberturvavalmiudet sekä heidän tarjoamiensa järjestelmien ja laitteiden kyberturvallisuuden tilan. OT- ja ICS-järjestelmiin erikoistuneet tietoturva-ammattilaisemme analysoivat järjestelmäsi ja yhteistyökumppaneillesi paljastetut kriittiset resurssit ja arvioivat koko järjestelmälle aiheutuvat riskit. Samalla he tarkistavat, että yhteistyökumppanisi seuraavat sopimuksissaan määritettyjä turvallisuusvaatimuksia ja -menetelmiä. Asiantuntijamme tarjoavat myös alan standardeihin perustuvia lisäsuosituksia järjestelmäsi riskitason ja alan parhaiden käytäntöjen mukaisesti, jotta voit toteuttaa kokonaisuuden turvallisesti. Palveluumme sisältyy toistuvia tarkastuksia sekä itsearviointeja, joiden avulla voit varmistaa teollisuusympäristösi tietoturvan.

Sopivien kyberturvallisuusvaatimuksien määrittäminen heti alusta alkaen on tehokkain ja halvin tapa lisätä kyberturvallisuuden valvonta järjestelmääsi ja toimitusketjuusi. Ota yhteyttä ja kysy lisää.

Haluatko hallita IoT-laitteitasi yhtä turvallisesti kuin yrityksesi työasemia ja käyttäjätilejä? Keskitetty laite-, käyttäjä- ja pääsynhallinta, tietoturvapäivityksiä, tietoturvapoikkeamailmoituksia – saat kaikki nämä IoT-laitteillesi tietoturvallisen laitehallintapalvelumme avulla. Palvelumme avulla saavutat uudenlaisen kilpailuedun maailmassa, joka keskittyy entistä enemmän kyberturvallisuussääntelyyn ja -standardeihin. Asiakkaasi odottavat, että tuotteidesi tietoturvallisuus on varmennettavissa. Myös kuluttajat haluavat turvallisia, luotettavia ja heidän yksityisyyttään suojaavia tuotteita, ja he ovat valmiita maksamaan enemmän näistä ominaisuuksista. 

Tietoturvallinen laitehallinta on avaimet käteen -ratkaisu, jonka avulla saat tietoturvallisen ja tietoturvallisesti hallinnoidun IoT-laitekannan. Nixun tietoturvallinen laitehallinta sisältää seuraavat ominaisuudet:

• Vaivaton käyttöönotto
• Monitasoinen laitehallinta ja langattomat päivitykset
• Haavoittuvuuksien hallinta 
• Julkisten avainten hallintajärjestelmä (Public Key Infrastructure eli PKI)
• Identiteetin- ja pääsynhallinta
• Tietoturvavalvonta
• Laitteiston suojaama tietoturvallinen laiteympäristö
• Automaattinen laitteen provisiointi (0-touch provisioning)

Tietoturvallisen laitehallinnan avulla varmistat IoT-laitteidesi tietoturvan koko niiden elinkaaren ajan. Voit olla varma, että tuotteesi ovat tarvittavien kyberturvallisuusstandardien mukaisia, budjettiisi sopivia ja nopeammin saatettavissa markkinoille. Palvelumme avulla voit keskittyä sovelluksiesi kehittämiseen, sillä palvelumme vaatii vain vähäistä räätälöintiä eikä se ole riippuvainen mistään tietystä pilvipalvelusta. Lopputuloksena saat turvallisen, vaatimustenmukaisen ja hallittavan laitekannan. Ota yhteyttä ja kysy lisää.

Tietoturvan iskostaminen ohjelmistoon alkaa suunnittelusta ja koodauksesta. Autamme sinua parantamaan ohjelmistokehitysmenetelmiäsi tarjoamalla uusia, tietoturvaa parantavia elementtejä nykyiseen lähestymistapaasi, kuten Scrumiin. Nämä elementit ovat täysin räätälöitävissä tarpeidesi perusteella. Tässä muutama esimerkki käyttämistämme menetelmistä ohjelmistokehityksen tietoturvan parantamiseksi:

• uhkamallinnustyöpajat
• tutkiva koodin tietoturva-arviointi
• turvallisiin koodaus- ja suunnittelukäytäntöihin perehdyttävät kehittäjävalmennukset.

Voimme myös tarjota ohjelmistokehittäjän projektisi käyttöön. Tarjoamme sisäistä tukea, opastusta ja sparrausta koko kehitystiimille tietoturvallisen toimituksen varmistamiseksi. Sen avulla kehittäjäsi voivat keskittyä projektiinsa liittyviin tietoturvakysymyksiin ja parantaa arkkitehtonisia ratkaisujaan ja ohjelmistokehitysprosessejaan. Tietoturvallinen ohjelmistokehitys tarjotaan jatkuvana palveluna. Yksittäisiä projekteja voidaan tukea arvioimalla kehittäjätiimisi tietoturvaratkaisujen ja -käytäntöjen kypsyyttä, ja näistä arvioinneista saatavia havaintoja voidaan hyödyntää myös muissa kehitysprojekteissa.

Nixu hoitaa tietoturvapoikkeamien hallinnan ja tutkinnan asiakkaan yhteydenotosta tilanteen normalisoitumiseen asti. Tietoturvapoikkeamien hallinta koostuu monesta osa-alueesta, joista tärkeimpiä ovat varautuminen, sovitut toimintatavat ja osaava tiimi. Nixun tietoturvapoikkeamien hallintapalvelu on kokonaisvaltainen palvelu, joka koostuu käynnistysprojektista ja jatkuvasta tukipalvelusta. Käynnistysprojektin aikana asiakkaalle luodaan taidot havaita ja käsitellä poikkeamia, henkilöstö koulutetaan ja Nixun päivystyspalvelu integroidaan osaksi asiakkaan toimintatapoja. Nixu tarjoaa jatkuvana palveluna 24/7-päivystyksen ja -tuen poikkeustilanteiden varalta. Näissä tilanteissa Nixun asiantuntijat vastaavat tutkinnan johtamisesta ja forensiikasta.

Johdamme tietoturvaa puolestasi ja vastaamme siitä, että kaikki toimii ja tiedät missä mennään. Emme ainoastaan luo riskeihin perustuvaa tietoturvaohjeistoa, vaan jalkautamme asiat antamalla välitöntä palautetta. Huolehdimme koeteltujen mallien avulla siitä, että prosessit ja ihmiset toimivat oikein ja johto tietää missä mennään. Saatuamme suojaukset kuntoon testaamme puolustuksen hyökkäämällä kimppuusi. Testaamme järjestelmiesi lisäksi ihmiset sosiaalisen hakkeroinnin keinoin. Vuosisopimuksemme takaa, että saat palvelupäällikön vetämän huipputiimin täydentämään omaa organisaatiotasi.

Toteutamme lyhytkestoisen tietoturvakoulutusohjelman toiveidesi pohjalta. Tapahtuma voi olla esimerkiksi tietoturvapäivä, -viikko tai -kuukausi, jonka tavoitteena on parantaa koko henkilöstön tietoisuutta tietoturvauhkista, korostaa arkipäivän tietoturvan merkitystä ja antaa työkaluja suojautumiseen internetissä. Ohjelma koostuu luennoista, harjoituksista ja hyvien toimintatapojen jakamisesta. Harjoitukset voivat olla esimerkiksi lyhyitä ryhmätöitä tai simuloituja sähköpostiin pohjautuvia tiedonkalasteluhyökkäyksiä.

Tukeaksemme erilaisia sovellus- ja tuotekehitysmalleja, tarjoamme tietoturvatarkastuspalveluita aina perinteisestä auditoinnista automatisoituun skannauspalveluun sekä bug bounty -ohjelmiin. Lisäksi Security Engineering -tiimimme auttaa kehitysprojektin aikana arvioimaan tietoturvan tasoa ja tukee kehittäjiä parantamaan sovelluksen tai tuotteen sisäänrakennettua tietoturvaa ja -suojaa. Tämä on tavallisesti kaikkein kustannustehokkain tapa parantaa tietoturvan tasoa ja auttaa varmistamaan, että tietoturvan parantamiseen sijoitetut rahat käytetään siellä missä niitä eniten tarvitaan.

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa velvoittaa viranomaisen tietojenkäsittelyn vastaamaan tietoturvallisuuden perustason vaatimuksia. Tietoturvatasot ovat työkaluja, joilla vastataan tietoturva-asetuksen vaatimuksiin. Valtionhallinnon tulee ulottaa vaatimukset myös palveluntarjoajiin. Teemme valtionhallinnon toimijoille tietoturvallisuuden tilan arviointeja, toimenpidesuunnitelmia tavoitetilaan pääsemiseksi ja konsultoimme yksittäisiin vaatimuksiin vastaamisessa. Yrityksiä autamme liittämään tietoturvatasojen vaatimukset osaksi vaatimustenmukaisuuden hallintaa.

Lokitietojen keräys mahdollistaa hyökkäyksiin vastaamisen ja forensiikan säilyttäen täydellisen jäljitysketjun vaatimusten mukaisesti. Lokitietojen ja SIEM-järjestelmän tietojen yhdistäminen on välttämätöntä, jotta yksittäisistä lokitiedoista voidaan tulkita kyberturvallisuutta koskevia tietoja.

Hallittu SIEM-ratkaisumme yhdistää tietoja useista lokilähteistä ja asettaa tiedot kontekstiin. Koneoppimisen ja UEBA-järjestelmän (User and Entity Behavior Analytics) avulla tunnistat uhkan ennen tietomurron tapahtumista ja voit seurata tapahtumatietoja. SIEM-järjestelmällämme mahdollistaa:

• lokitietojen keräämisen ja tulkitsemisen säilyttäen jäljitysketjun
• tapahtumiin, tapahtumaketjuihin ja uhkatietosyötteisiin perustuvien hälytysten tekemisen
• tiedon esittämisen havainnollistetusti koontinäytöissä ja raporteissa

SIEM-palvelumme avulla ymmärrät paremmin verkkoasemiesi tapahtumia. Palvelumme sisältää hallinnoinnin, lisenssit, ylläpidon ja integroinnin kaikkiin laitteisiisi. Ota yhteyttä ja kysy lisää.

Toteutamme tunnistus- ja luottamuspalveluiden vaatimuksenmukaisuuden arviointeja. Vuonna 2016 voimaan astunut lakimuutos velvoittaa vahvaa sähköistä tunnistamista sekä allekirjoitusta tuottavat palveluntarjoajat suorittamaan vaatimustenmukaisuuden arvioinnin ja toimittamaan arvioinnin tulokset Traficomille. Palveluntarjoajiksi katsotaan sekä tunnistusvälineen, tunnistuspalvelun sekä tunnistusvälityspalvelun tarjoajat. Vaatimukset pohjautuvat suurilta osin EU:n eIDAS-asetukseen ja laajalti käytettyihin standardeihin, kuten ISO 27001-standardiin. Auditointi tulee tehdä kahden vuoden välein.

Kun sisällytät tietoturvan osaksi suunnittelu- ja tuotekehitysprosessiasi, tuotteesi välttyvät tietoturvaloukkauksilta. Tavoitteenamme on räätälöidä yrityksesi tuotekehitysprosessiin ja toimialasi standardeihin sopiva tietoturvakokonaisuus. Käytämme tunnettuja menetelmiä ja standardeja (BSIMM, SAMM, Microsoft SDL, IEC 62443-4-1), jotka sisältävät erilaisia tietoturvavalvontaan ja -toimintoihin liittyviä menetelmiä, kuten uhkamallinnuksia, liiketoimintavaikutusten arviointeja, koodikatselmointeja sekä paljon muuta.

Johtamisjärjestelmä- ja tietojärjestelmäauditointien lisäksi tarjoamme tietoturvallisuuden tuotesertifiointeja. Käytettävä viitekehys valitaan yhdessä asiakkaan kanssa ja voimme toimia yhteistyössä viranomaisten kanssa. 

Nykymaailmassa tietoturva on olennainen osa tuotteen kokonaislaatua. Tuomme kyberturvanäkökulman DevOps-toimintamalliin tietoturvakontrollien ja -käytäntöjen sekä testaustekniikan muodossa. Tuotteiden tietoturvatason seurantaa tukevat havainnolliset, yrityksesi tarpeisiin rakennetut mittarinäkymät.

Turvallinen ohjelmistokehitys varmistaa ohjelmiston turvallisuuden jo sen rakentamisvaiheessa, sillä tietoturvan rakentaminen jälkikäteen on kallista. Kehitämme yrityksen sovelluskehitysmenetelmiä siten, että käytössä oleviin kehitysmenetelmiin lisätään tietoturvallisuuden parantamiseen tarvittavia elementtejä. Elementit voidaan määrittää asiakkaan tarpeen mukaan, ja ne voivat olla esimerkiksi uhkatyöpajoja, koodikatselmointeja tai kehittäjien valmennusta turvallisissa käytännöissä. Toimimme kehitystiimin sisäisenä tukena. Neuvomme ja sparraa tiimiä kohti turvallista ohjelmistotoimitusta.

Räätälöimme koulutusohjelmia turvallisuustietoisuuden kehittämiseen organisaatiossasi. Otamme kokonaisvaltaisesti huomioon tarpeesi ja voimme sisällyttää ohjelmaan sekä yleistä turvallisuustietoa että syvää teknistä osaamista toimintaympäristöösi ja toimialaasi liittyen.  Ohjelmaan voidaan sisällyttää e-opiskelua, nano-oppimista, luokkahuoneopetusta, harjoituksia, kokeita sekä tapahtumia, kuten esimerkiksi harjoituksen pakohuoneessa.

Organisaation sisäisten ja ulkopuolisten työntekijöiden on tavallisesti käytettävä työssään lukuisia tietojärjestelmiä. Uudet työntekijät tarvitsevat nopeasti käyttöoikeudet kaikkiin organisaation järjestelmiin. Käyttöoikeudet on myös poistettava työntekijöiden lähtiessä tai heidän työnkuvansa muuttuessa, mikä asettaa usein organisaatiot paineen alle. Identiteetin- ja pääsynhallinnan hallinnoimiseen tarkoitetuilla IGA-ratkaisuillamme selätät kaikki haasteet, joita työvoiman identiteetin- ja pääsynhallinta pitää sisällään.

Neuvomme sinua kaikissa työntekijöiden IAM-hallintaan liittyvissä asioissa. Tarjoamme yrityksellesi parhaat IGA-ratkaisut, joiden avulla parannat organisaatiosi tietoturvaa, täytät vaatimustenmukaisuudet ja parannat toiminnan tehokkuutta. Teemme yhteistyötä johtavien IGA-pilvipalveluntarjoajien ja teknologiatoimittajien kanssa. Suosittelemme joko IGA-ratkaisua, joka sopii yksilöllisiin tarpeisiisi tai rakennamme yrityksellesi oman IGA-ratkaisun erityistarpeidesi pohjalta. 

IGA-ratkaisullamme voit:

• Hallita pääsyä hajautetusti ja tehokkaasti.
• Varmistaa, että uudet ja siirtyvät työntekijät saavat käyttöoikeutensa oikeaan aikaan, ja että käyttöoikeus peruutetaan työntekijän jättäessä yrityksen.
• Ottaa käyttöön riskiperusteisia tarkastuksia ja tehtävien erottelua myöntäessäsi uusia käyttöoikeuksia.
• Varmistaa, että organisaatiosi täyttää työntekijöiden identiteetin- ja pääsynhallintaan liittyvät vaatimustenmukaisuudet.

Ota meihin yhteyttä, niin kerromme lisää.

Uhkamallinnus on ensimmäisiä toimenpiteitä, joilla voit parantaa ohjelmistosi tietoturvaa. Ennen kuin yhtäkään koodiriviä on kirjoitettu, ammattitaitoiset asiantuntijamme auttavat sinua löytämään vakavia tietoturva- ja tietosuojaongelmia uhkamallinnusmenetelmien avulla. Näin vältyt kalliilta muutoksilta ohjelmistosi ominaisuuksiin tai arkkitehtuuriin sen kehityskaaren loppuvaiheissa, ja samalla vältyt myös tietoturvaltaan puutteellisilta integroinneilta kolmannen osapuolen palveluihin.

Uhkamallinnusmenetelmämme perustuu useampaan uhkamallinnustekniikkaan, kuten arkkitehtuurissa olevien uhkien löytämiseen STRIDE:n avulla, tietosuojauhkien löytämiseen LINDDUN:in avulla ja ominaisuuksien tietoturvaongelmien arviointiin väärinkäyttötapausten (engl. evil user stories) avulla. Otamme aina huomioon teknologiset ratkaisusi sekä järjestelmäsi taustalla toimivat prosessit, kuten ylläpidon ja käyttäjähallinnan. Sovelluksen tai järjestelmän koosta riippuen voimme järjestää yhden tai useamman uhkatyöpajan, jossa uhkamallinnusasiantuntijamme neuvovat, kuinka voit löytää uhkia yhdessä ohjelmistokehittäjien, testaajien, tuotteiden omistajien ja muiden vaadittujen sidosryhmien kanssa.

Uhkamallinnuksen avulla löydät mahdolliset heikkoudet jo varhaisessa vaiheessa sekä tunnistat myös prosesseissasi piilevät uhat, joita ei voi havaita tietoturva-arvioinneilla tai tunkeutumistestauksella. Uhkamallinnuksen avulla tunnistat myös kriittisimmät toiminnot, jotka tulee testata tietoturvatarkastuksilla tai murtotestauksella. Meiltä saat:

• Uhka-analyysiraportin, jossa on kuvattu tunnistetut uhkat, mahdolliset seuraukset ja suositellut suojaustoimenpiteet.
• Riskiarviot löydetyistä uhkista. Riskiarvio tehdään yhdessä organisaatiosi kannalta tärkeimpien liiketoiminnan sidosryhmien kanssa.
• Tietoa järjestelmän tietoturvallisuudesta jo suhteellisen lyhyessä ajassa.

Uhkamallinnusta voidaan soveltaa sekä kehityksen alla oleviin että ostettaviin ohjelmistoihin ja palveluihin. Voimme tutkia myös prosesseista, kuten ohjelmistokehitysputkesta, sekä suuremmista järjestelmistä tai liiketoiminnoista löytyviä uhkia. Ota yhteyttä ja kysy lisää.

Kyberturvallisuudesta on saatavilla paljon tietoa: on uudenlaisia uhkia, hyökkäystapoja, uusia verkkorikollisten ryhmiä – joskus myös väärin tulkittuja tuloksia ja valeuutisia. Voi olla vaikeaa pysyä perässä siitä, millaisia kyberuhkia yritykseesi kohdistuu, sekä varmistaa, että kyberturvallisuuteen käyttämäsi varat on optimoitu.

Uhkatietopalvelullamme saat yksityiskohtaista uhkatietoa (engl. threat intelligence) yrityksestäsi, kuten toimialastasi, brändistäsi ja kriittisistä resursseistasi. Yrityksellesi räätälöity uhkaympäristöraportti antaa sinulle strategisen, taktisen ja operatiivisen näkemyksen yritykseesi kohdistuvista uhkista. Saat ajantasaista tietoa viimeisimmistä hyökkäystrendeistä ja hyökkäyksistä Pohjois-Euroopassa sekä toimialaasi ja toimintaympäristöäsi uhkaavista teknisistä haavoittuvuuksista ja uhkista. Uhkatietopalvelullamme:

• pysyt haavoittuvuuksien, hyökkäysten ja hyökkäystekniikoiden tasalla
• saat räätälöidyn uhkaympäristöraportin, jonka avulla tunnistat yritykseesi ja toimialaasi kohdistuvat uhat
• pienennät kyberhyökkäyksen riskiä ja optimoit kyberturvallisuuteen käytetyt kulut
• parannat organisaatiosi kyberresilienssiä.

Palvelumme avulla valmistaudut uhkiin ja olet askeleen edellä kyberrikollisia. Ota yhteyttä ja kysy lisätietoja.

Oletko tietoinen nykyisen kyberpuolustuksesi tehokkuudesta? Luotatko kykyysi havaita varastettuja henkilötunnuksia käyttävä tai yrityksesi omia ohjelmistoja hyödyntävä hyökkääjä? Epäiletkö jonkun hyökänneen sisältä käsin ja välttelevän havainnointisovelluksia? Vai etsitkö merkkejä uhkatiedon ilmoittamasta kohdistetusta haittaohjelmahyökkäyksestä?

Uhkien metsästyspalvelumme (engl. threat hunting) auttaa sinua havaitsemaan kyberuhkia, jotka osaavat vältellä nykyisiä tietoturvaratkaisujasi, ja reagoimaan niihin. Ammattitaitoiset uhkien etsijät tutkivat yrityksesi SIEM-järjestelmän, päätelaitteiden suojauksen (EDR) ja verkonsuojauksen (NDR) läpi kulkevaa dataa MITRE ATT&CK -arviointikehyksen ja Nixun oman uhkienetsintämenetelmän avulla. Uhkia metsästävillä asiantuntijoillamme on vuosien kokemus digitaalisesta forensiikasta ja tietoturvaloukkausten selvittämisestä, minkä ansiosta he tunnistavat harvemmin käytettyjä hyökkäysmenetelmiä sekä sellaisia haittakoodeja, uhkia ja muita poikkeavuuksia, joita havainnointisovellukset eivät huomaa.

Uhkien metsästyspalvelullamme:

• varmistat yrityksesi nykyisten uhkien ehkäisy- ja havainnointisovellusten tehokkuuden
• tiedät, onko järjestelmiisi murtauduttu ja mitä on tapahtunut
• saat meiltä suosituksia kyberturvallisuutesi ja kyberturvatasosi parantamiseksi.

Ota yhteyttä ja kysy lisätietoja.