Keskmine Eesti firma on tavaliselt liiga väike, et pidada palgal täiskohaga infoturbe eest vastutavat inimest. Infoturbele ei pöörata tihti otsest tähelepanu või tehakse selle eest vastutavaks infosüsteemide osakond.
Kuid infosüsteemide osakonna turvalisuse eest vastutajaks panemine pole mitmel põhjusel soovitav -- kasvõi seepärast, et infoturve ei piirdu infosüsteemidega ja seega pole sellel osakonnal piisavalt volitusi.
Kui firma on väike või info pole kriitilise tähtsusega, pole see kõik nii oluline. Millest aga alustada siis, kui info lekkest või hävimisest võib sõltuda firma püsimajäämine?
Suurbritannia kaubandus- ja tööstusministeerium pakub oma eeskirjades kümmet tegevust, millest tuleb alustada firma infoturbe kujundamist (vt loetelu külgaknas).
Kõigepealt, efektiivne infoturve eeldab juhtkonna huvi ja kaasabi. Firmas peab olema välja töötatud turvapoliitika, mis sätestab turbe mõiste, sihid ja ulatuse, fikseerib juhtkonna aktiivse toe turvapoliitikale, selgitab firma infoturbe põhimõtteid, standardeid ja iseärasusi. Samuti tuleb siin fikseerida põhilised vastutuse ja aruandluse nõuded.
Varad (nt füüsilised varad, info, süsteemid) ja vastutus nende kaitse eest tuleb selgelt määratleda ja dokumenteerida. Näiteks igale infosüsteemile määratakse «omanik». Tehakse kindlaks ka vajalikud turbeprotsessid ja vastutus nende täitmise eest.
Turbe probleemide teadvustamine ja vastav koolitus ning treening kõigil tasemetel hõlmab teadmised turbe organisatsiooni, tehnoloogia õige kasutamise ja tegutsemise kohta eriolukordades. Soovitatav on määrata ja koolitada (info)turbe tugiisikud.
Turvarikked on tihti raskesti avastatavad, sest neist ei pruugi jääda jälgi ja osapooled on sageli huvitatud hoopis sellest, et juhtum ei saakski üldse firmas laiemalt teatavaks.
Siiski peavad eduka turvategevuse raames olema välja töötatud protseduurid turvariketest teavitamiseks, nende rikete kõrvaldamiseks ja turvaprotseduuride pidevaks edasiarendamiseks firmas.
- koostage ja juurutage (info)turbepoliitika
- määrake turvaalane vastutus
- teadvustage turvanõuded, korraldage vajalik (korduv)koolitus
- hoolitsege, et info turvariketest jõuaks vastutajate ja omanikeni
- kaitske süsteeme viiruste eest
- koostage süsteemi taasteplaan
- kontrollige kopeerimist ja tarkvara litsentse
- määratlege kõige tundlikum info ja kaitske seda
- jälgige firma töös andmekaitse seadusandlust
- jälgige oluliste infotehnoloogiavahendite otstarbekatkasutamist
Seotud lood
Kui 2015. aastal tuli Spotifys lauale idee Discover Weekly funktsiooni loomiseks, ei olnud ettevõtte asutaja sellest eriti vaimustuses. Sellele vaatamata oli töötajatel piisavalt autonoomsust funktsiooni edasi arendada, luues seeläbi ülipopulaarse toote. CVKeskus.ee uuris Eesti tippjuhtidelt Kai Realolt ja Toomas Tamsarelt, kuidas mõjutab juhtimiskultuur töötajate lojaalsust ja tööandja ihaldusväärsust.