Infoturbe audit näitas Fontesele ohuallikaid

Inforiskide analüüsi järele tekkis Fonteses vajadus, kui firma omanikering muutus. Soovisime saada ülevaate, mis tasemel on meie olulisim vara info hoitud ja kaitstud, sõnab Lilleorg.

Fontes on inforohke ettevõte ja seega infoturbe teema suhtes tundlik. Lisaks on Fontese infosüsteemis palju kolmandate isikute andmeid.

Riskianalüüs tähendas Fontesele eelkõige kõikvõimalikul kujul info edastamist analüüsi läbi viinud andmeturbe konsultatsioonifirma HLP eksperdile, et tagada talle adekvaatne arusaam Fontese igapäevasest töökorraldusest ja infosüsteemi toimimisest. Samuti intervjueeriti analüüsi käigus mitmeid Fontese töötajaid ja IT-alaseid koostööpartnereid.

Aasta alguses toimunud analüüsi tulemusena määras HLP Fontese infosüsteemi ohud, nõrkused ja turvaklassid. Detailselt kirjeldati tarkvara, personali, dokumentide, side, riistvara, keskkonna ja infrastruktuuri riske.

Riskianalüüsi läbiviimine toimus Lilleoru sõnul tänu ekspertide kompetentsusele ja korrektsusele ladusalt. Kas miski Fontest analüüsi käigus ka üllatas? "See võib tunduda kummaline, kuid üllatasid pisiasjad, millest ei olnud ise teadlik ja mis oleks võinud kindlalt teatud asjaolude kokkulangemisel kujutada endast väga tõsist ohtu ärile," vastab Lilleorg.

HLP koostatud andmeturbe tegevuskava on põhjalik ja mahukas selge struktuuriga dokument. Tegevuskava on jaotatud kahte etappi. Esimeses etapis on tegevused, mis tuleb rakendada kiiremini, sest nende tegevuste tegematajätmine põhjustab asutusele suuremat riski. Teises etapp sisaldab tegevusi, mille tegemine pole nii ajakriitiline.

Organisatsiooni töökorraldust Fontes pärast analüüsi ja kava koostamist oluliselt muutma ei pidanud. "Pigem saime hulgaliselt ideid, kuidas peaksime edaspidi teatud valdkondadele lähenema ja milliseid loogikaid soovitavad eksperdid kasutada kõrgema turvalisuse loomise eesmärgil," sõnab Lilleorg. Seni suurim muutus oli otsus vahetada välja koostööpartner IT-hoolduse alal.

Andmeturbe tegevuskava elluviimine on Fonteses alles poolel teel ja eesmärgid vaid osaliselt saavutatud. Tänaseks on teemasse tõsisemalt kaasatud ettevõtte võtmeisikud, ülejäänud meeskond on projektist ja auditist teadlik. Samas on tänaseks Fonteses sisse viidud mitmeid olulisi pisimuudatusi ja ettevõtte kõik töötajad on pidanud muutma teatud tööks vajalikke turvaaspekte. Põhjalikum ülevaade töötajatele antakse siis, kui Fontes on koos uue IT-partneriga kokku pannud selge tegevusplaani.

Lilleoru kinnitusel on selliste teenuste kasutamine andnud Fontesele ülevaate hetkeolukorrast. "Oleme teadlikud tänastest riskidest, omame etapilist tegevuskava, kuidas vähendada võimalust, et ettevõtte üks olulisemaid varasid info võiks hävida või saada kahjustatud mittetahtliku või tahtliku vea tõttu," selgitab ta.

Lilleorg lisab, et on inforiskide analüüsi järel juhina rohkem teadlik infoturbest ja oskab edaspidi esitada uusi äririske vähendavaid nõudmisi ja ootusi nii oma meeskonnale kui ka Fontese IT-alastele koostööpartneritele.