Artikkel
  • Kuula
    Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

    Milline on tegevjuhi roll ettevõtte infoturbes?

    Tegevjuht peaks läbi mõtlema, kuidas kaitsta arvutis olevaid andmeid nii, et need ei lekiks valedesse kätesse.Foto: Indrek Susi

    Millega peab tegevjuht arvestama ja mida tegema selleks, et luua eeldused organisatsiooni infosüsteemide ja neis paiknevate andmete turvamiseks?

    Ettevõttes tasub määrata infoturbe turvalisuse eest vastutama kindel inimene, mitte loota, et IT-osakond või IT-juht peab seda enda ülesandeks, kirjutab 20. juuni Äripäev kuidas-rubriigis.
    Viimase kümne-kahekümne aasta jooksul on organisatsioonide toimimine oluliselt muutunud. Organisatsioonide võime efektiivselt toota on oluliselt kasvanud ja viis, kuidas teenuseid osutatakse, palju muutunud. Seda on võimaldanud paljuski erinevate infotehnoloogiliste lahenduste kasutuselevõtt – IT on muutunud loomulikuks osaks äriprotsessidest, ilma milleta enam hakkama ei saada. Või kui saadakse, siis väga piiratud jõudluse või funktsionaalsusega.

    Kümme soovitust tegevjuhile: 

    Selgita välja, kas ja kui palju ettevõtte põhiprotsessid ja tugiprotsessid sõltuvad infosüsteemidest. 

    Mõtle läbi, mis juhtub, kui IT-süsteemid ei ole kasutatavad (kuni 10 minutit, kuni tund, kuni päev, kuni nädal)?

    Mõtle läbi, mis juhtub, kui ettevõtte infosüsteemides olevad andmed lekivad?

    Mõtle läbi, mis juhtub, kui ettevõtte infosüsteemides olevaid andmeid muudetakse? Kas ja millal on võimalik see avastada? Mida tähendab andmete taastamine?

    Kui eelnevate küsimuste põhjal selgub, et infosüsteemid on asutuse töö tagamiseks olulised, siis määra infoturbealane vastutus, see tähendab võta tööle infoturbe juht või osta teenus sisse. 

    Jälgi, et kõigi töötajate infoturbealased rollid oleksid selgelt defineeritud. 

    Lase infoturbejuhil hinnata praegust infosüsteemide kaitstuse taset, riske ja töötada välja turvameetmete rakendamise plaan.

    Eralda turvalisuse tagamiseks ressursid. 

    Rõhuta infoturbe olulisust organisatsioonis ja iga töötaja vastutust selle tagamisel.

    Vaata regulaarselt üle infoturbe halduse süsteemi toimimine ja telli väliseid IT-auditeid objektiivse hinnangu saamiseks.

    Informatsioonil on oluline roll juhtimisotsuste tegemisel ja äriprotsessides ning efektiivsuse kasv eesmärgina on õige ja vajalik selleks, et olla konkurentsivõimeline. Kuid teisalt, kas me ikka teame ja teadvustame, mis juhtub siis, kui infotehnoloogilised vahendid ei tööta – ei tööta üldse või ei tööta selliselt, nagu ette nähtud.
    Tegevjuhid tunnevad tihti ent ebamugavalt situatsioonides, kus nad peavad IT ja infoturbe teemadega tegelema või tegema valdkonda puudutavaid otsuseid. Küsitakse endalt, kuidas juhtida midagi, millest suurt midagi ei teata või milles ollakse ebakindel. Suhtlemist pearaamatupidaja või haldusjuhiga peetakse ITga seonduvast lihtsamaks ja see ongi lihtsam, kuna teemad on juhile  arusaadavamad. Mida peaks tegema ja millega arvestama tegevjuht sellises muutunud keskkonnas?
    Esimene viga on, et ettevõttes ei panda kedagi konkreetselt infoturbe eest vastutama. Kui näiteks raamatupidamise eest vastutab organisatsioonis konkreetne inimene – finantsjuht või pearaamatupidaja, siis infoturbe vallas on sageli vastutus määratlemata või hajutatud. Mõnikord loodetakse, et IT-juht või IT-osakond vastutab ka infoturbe eest. Aga tegelikkuses ei vastuta, vastutab osaliselt või pole IT-osakond päriselt oma vastutusest aru saanud. Seetõttu tasuks määrata inimene, kes vastutab infoturbe eest organisatsioonis ja korraldab vastava valdkonna tegevust. 

    Levinumad pilveteenustega seonduvad riskid

    Tootjalõks. Põhinevad tihti mittestandardsetel andmeformaatidel ja rakenduste loogikal, mis võib andmete ülekandmise ühe teenusepakkuja juurest teise juurde teha keeruliseks või isegi võimatuks.

    Halduskontrolli kadumine. Pilveteenuseid kasutades võib klient teenusepakkuja kätte loovutada kontrolli mitme asjaolu üle, mis võivad mõjutada ka turvalisust.

    Andmete õngitsemine. Eesmärk on infot koguda, inimestega manipuleerida konfidentsiaalsete andmete avaldamiseks või mingite tegevuste sooritamiseks arvutisüsteemidele ligipääsuks ohvri teadmata.

    Isolatsiooni katkemine. Ühiskasutatavate keskkondade puhul pole võimatu, et süsteemivigade või sihilike rünnakute tõttu pääseb üks teenusekasutaja (või ründaja) ligi teise kasutaja ressurssidele või andmetele.

    Haldusvahendite kompromiteerimine. Avaliku pilveteenuse puhul on haldusvahendid interneti kaudu ligipääsetavad, mis tähendab riski soovimatute ligipääsukatsete näol. Täiendav oht on kaugligipääsuvahendite ja veebilehitsejate vigade ärakasutamine.

    Ebaturvaline või ebapiisav andmete kustutamine. Krüpteerimata andmete puhul on oht, et näiteks salvestusruumi mahu muutmisel suuremast väiksemaks või teenusepakkuja vahetamise korral avalduvad kustutamata andmed kas teistele teenuse kasutajatele või teenusepakkujale.

    DDos-rünne. Ründe eesmärk on teenusepakkuja ülekoormamine, nii et klientidel on oma teenuseni jõudmine raskendatud. Tõenäosus, et niisugust rünnet tehakse teenusepakkuja ühe kliendi vastu, on väiksem kui üksiku kliendi ettevõttesisese IT-lahenduse vastu. Enamasti on pilveteenuste pakkujatel rohkem võimalusi ja ressursse sellise ründega toime tulla kui üksikettevõttel.

    Pilveteenusest olenematud võrguprobleemid. Võivad ilmneda ka majasiseste IT-lahenduste puhul, ründed andmesidevõrgule, võrguoperaatori ühenduse probleemid, pilveteenuse pakkuja võrguoperaatori võrguprobleemid. 

    Allikas:  CSA (Cloud Security Alliance)

    Pakilisem probleem nõuab esimesena raha
    Kui tegemist on organisatsiooniga, mis sõltub oluliselt ITst, tuleks võtta selle tarbeks tööle eraldi inimene või osta teenus sisse. Soovitatavalt peaks infoturbe juhi roll olema eraldatud IT-osakonnast. Ka väiksemad ja vähem ITst sõltuvad organisatsioonid peaksid olema valmis olukordadeks, mil midagi võib juhtuda nende infosüsteemidega või neis paiknevate andmetega – IT-juht, IT-spetsialist või IT-teenuse osutaja peaks tagama, et oleksid rakendatud kõik vajalikud turvameetmed.
    Infoturbejuht koostöös IT-osakonnaga peab hindama infosüsteemide kaitstuse taset ja vajadusel töötama välja täiendavad turvameetmed selleks, et tagada infosüsteemidele piisav kaitstus. Infoturbejuht koostab turvameetmete rakendamise plaani ja teeb tegevjuhile ülevaate, mis sisaldab ka meetmete rakendamiseks vajalike ressursside ülevaadet.
    Sageli ei jätku raha kõigi turvameetmete rakendamiseks, seetõttu tuleks paika panna, mis on olulisem enne ära teha ja mille teostamise saab hilisemaks jätta. Tegevjuht peab tagama, et oleks olemas vajalikud ressursid riske maandavate turvameetmete rakendamiseks.
    Infoturbejuht peaks tegevjuhile pidevalt raporteerima toimunud turvaintsidentidest, missuguseid järeldusi on nendest tehtud, mida on ette võetud probleemide ärahoidmiseks, missugused riskid on maandamata, missuguseid riske tuleks aktsepteerida, kuidas edeneb erinevate turvameetmete rakendamine ja nii edasi.
    Ei maksa jääda lootma sellele, et kui ollakse väike ettevõte väikese riigi väikelinnas, siis kes tahaks ikka rünnata – rünnatakse küll, sõltumata sellest, kui suur on organisatsioon ja kus see paikneb. Võidakse rünnata nii mõne suurema rünnaku käigus, aga see võib juhtuda ka eraldi konkreetselt teid sihtmärgiks valides. 
    Autor: Toomas Viira, OÜ CIIPUNIT juhatuse liige
  • Hetkel kuum
Karl Märka: piirame põhiseadusega riigikapitalismi „Kuidas mitte investeerida: 1001 näidet avalikust sektorist“
Piirame põhiseadusega ära, kui suure osa SKTst võib avalik sektor moodustada, kirjutab Karl Märka arvamuskonkursile Edukas Eesti saadetud artiklis.
Piirame põhiseadusega ära, kui suure osa SKTst võib avalik sektor moodustada, kirjutab Karl Märka arvamuskonkursile Edukas Eesti saadetud artiklis.
Ülevõtupakkumine pani suure tankerifirma aktsia taanduma
Ühe maailma suurima tankerifirma Euronavi aktsia kukkus Brüsseli börsil pärast suuromaniku ülevõtupakkumise lõppu 9,1%.
Ühe maailma suurima tankerifirma Euronavi aktsia kukkus Brüsseli börsil pärast suuromaniku ülevõtupakkumise lõppu 9,1%.
Articles republished from the Financial Times
Reaalajas börsiinfo
Myraka ettevõtlusblogi: nonii, tibulilled, kas tulete taas? Äripidaja intervjuu oma töötajatega
Äripäeva toitlustusettevõtjast kolumnist Üllar „Myrakas“ Priks tuletas vahelduseks meelde ajakirjaniku ametit pidades omandatud intervjueerimisoskused ning usutles oma sõpru, kellega koos ta on osaühingut Suur M jooksutanud. On’s tal uuel hooajal putkas üldse kedagi peale tema enda?
Äripäeva toitlustusettevõtjast kolumnist Üllar „Myrakas“ Priks tuletas vahelduseks meelde ajakirjaniku ametit pidades omandatud intervjueerimisoskused ning usutles oma sõpru, kellega koos ta on osaühingut Suur M jooksutanud. On’s tal uuel hooajal putkas üldse kedagi peale tema enda?
Gasellid
Kiiresti kasvavate firmade liikumist toetavad:
Gaselli KongressAJ TootedFinora BankGBC Team | Salesforce
Kogemuslugu: kui minu ettevõtte väärtused enam minuga ei ühti
Kuidas edasi, kui ettevõtjana avastad, et õhinaga loodud firma sinuga enam samu tõekspidamisi ei jaga?
Kuidas edasi, kui ettevõtjana avastad, et õhinaga loodud firma sinuga enam samu tõekspidamisi ei jaga?
Parima juhi konkursile esitati rekordiliselt üle 100 tippjuhi Vaata täisnimekirja
Konkursile "Parim juht 2024" esitati 110 tippjuhti, kelle seast selgub võitja mais Pärnu juhtimiskonverentsil.
Konkursile "Parim juht 2024" esitati 110 tippjuhti, kelle seast selgub võitja mais Pärnu juhtimiskonverentsil.
Uutele sõidukitele hakatakse väljastama keskkonnapasse
Sel kolmapäeval kiitis Euroopa parlament heaks uued ELi eeskirjad, mille eesmärk on vähendada sõiduautode, kaubikute, busside, veoautode ja haagiste heitkoguseid. Ühe uue meetmena nähakse ette uutele sõidukitele keskkonnapasside väljastamist, kirjutavad Logistikauudised.
Sel kolmapäeval kiitis Euroopa parlament heaks uued ELi eeskirjad, mille eesmärk on vähendada sõiduautode, kaubikute, busside, veoautode ja haagiste heitkoguseid. Ühe uue meetmena nähakse ette uutele sõidukitele keskkonnapasside väljastamist, kirjutavad Logistikauudised.
Hullumeelne seiklus: autoga läbi Euroopa ja Aafrika
Ühel päeval tekkis sõpradel hullumeelne idee osaleda rallil, mis viib nad läbi Euroopa ja Aafrika, kirjutavad Lääne-Virumaa Uudised.
Ühel päeval tekkis sõpradel hullumeelne idee osaleda rallil, mis viib nad läbi Euroopa ja Aafrika, kirjutavad Lääne-Virumaa Uudised.
Järgmine Soome ehitusfirma andis pankrotiavalduse sisse
Soome ehitusfirma Puukoti viis reedel kohtusse pankrotiavalduse, ettevõtte käive ulatus alles hiljuti 45 miljoni euroni, kirjutas Kauppalehti.
Soome ehitusfirma Puukoti viis reedel kohtusse pankrotiavalduse, ettevõtte käive ulatus alles hiljuti 45 miljoni euroni, kirjutas Kauppalehti.
Nädala lood. Eestlased hulluvad Hispaania kinnisvaraäri järele, kutsehaigus tõi firmale ootamatu nõude, suur tehas läks Lätti
Äripäeva selle nädala populaarsemad lood ja teemad puudutasid Hispaanias kinnisvaraäri ajamist.
Äripäeva selle nädala populaarsemad lood ja teemad puudutasid Hispaanias kinnisvaraäri ajamist.