Kui turvaline on meie arvutisüsteem ?

Arvutivõrgu turvalisuse küsimust esitavad tippjuhid üha sagedamini IT-juhtidele. Vastuseid võib saada väga erinevaid. Kuidas saaks tehnilisi üksikasju tundmata ettevõtte arvutisüsteemi turvalisusest adekvaatse ülevaate? Sellest kohe lähemalt.

Sarnaselt muude aladega kehtib ka arvutisüsteemi turvalisuses reegel: 100% turvalisust pole olemas. Selle asemel võib rääkida ettevõtte jaoks optimaalsest turvatasemest, mille puhul turvasüsteemile tehtavad kulutused ja ärahoitav potentsiaalne kahju on tasakaalus. Ettevõtte äriprotsessidele võib saada saatuslikuks nii turvalisusele pööratav liiga vähene tähelepanu kui ka liigsed kulutused sellele. On vaja leida kulude ja riskide tase, millega mõõdukate kuludega saavutatakse ettevõtte suurust ja tegevusala arvestades piisavalt väike risk.

Arvutisüsteemi turvalisuse aluseks on ettevõtte turvapoliitika, mis peaks sündima tippjuhi tasemel. Kuna tippjuht tavaliselt ei oma tehnilist ja spetsiaalharidust, et adekvaatselt hinnata oma ettevõtte arvutisüsteemi turvalisust, siis tegeleb sellega ettevõtte IT-juht. Tema aga ei tunne piisavalt kõiki ettevõtte äriprotsesse ja võimalikke riske nende puhul. Mis siis teha?

Kõigepealt peaks lähtuma seisukohast, et arvutisüsteemi turvalisus ei ole ühekordne tehniline aktsioon, mis lõpeb tulemüüri või mõne turvalahenduse ostmisega. Arvutisüsteemi turvalisus on pidev protsess, mille võib tinglikult jagada kuude ossa :

1. Turvariskide hindamine.

2. Turvariskide kaardistamine.

3. Lahenduste valik vastavalt turvariskidele ja nende juurutamine.

4. Personali koolitus, turvaprotseduuride loomine.

5. Turvalisuse jälgimine.

6. Turvajuhtumitele reageerimine.

Turvajuhtumite esinemine tekitab vajaduse uuesti üle vaadata ettevõtte arvutisüsteemi turvariskid, nii et tsükkel algab otsast peale.

Ettevõtte tippjuht ei tohiks jätta kogu vastutust arvutisüsteemi turvalisuse eest ITjuhile, sest see puudutab kõige otsesemalt ka ettevõtte äriprotsesse. IT-juhile peaks jääma arvutisüsteemi erinevate osade turvalisuse tagamine ja lahenduste otsimine.

Et ettevõtte tippjuht oskaks ise hinnata arvutisüsteemi turvalisust ja sellest tulenevaid riske, on loodud erinevaid automaatseid vahendeid. Näiteks Axent Technology toode Enterprise Security Manager võimaldab ettevõtte juhil küllalt ülevaatlikult ja kiirelt reaalajas hinnata arvutisüsteemi turvalisust. Tavalise sektordiadrammi pealt näeb ettevõtte juht kogu ettevõtte arvutisüsteemi turvataset.

Arvutisüsteemi eri osade turvariskide hindamisega tegelevad vastavad programmid, nn agendid, tuues info kogu arvutisüsteemist firmajuhile kätte. Kui selline agent leiab, et mõni arvutisüsteemi osa on muutunud ebaturvaliseks, muutub diagrammi sektor kollaseks või punaseks olenevalt turvariski suurusest. Kuna agent tegeleb turvariskide hindamisega, on nii võimalik suurem osa turvariskidest õigeaegselt maandada.

Autor: Aivar Vadi