Konkurents sunnib infoturvet sisse ostma

Firmadel tuleb tugevdada sisemist juhtimiskompetentsi põhitegevuse alal ning vajadusel otsida rutiinseks IT-halduseks ja ka tipptasemel kompetentsi kasutamiseks abi mõnelt professionaalselt IT-firmalt. Infoturve on informatsiooni kaitseks rakendatud meetmete kogum, millega kindlustatakse, et korrektne informatsioon on õigeaegselt kättesaadav ainult selleks volitatud inimestele. Info ei oma alati väärtust siis, kui see on peidus väga tugeva luku taga, vaid alles siis, kui infot kasutavad õiged inimesed õigeks otstarbeks.

Seetõttu loob teabe pidev ringlus ning kasutusvajadus info kaitsmisel arvukalt eksimisvõimalusi. IT-turve on osa infoturbest ning keskendub informatsiooni kaitsele, mida töödeldakse, hoitakse või edastatakse infotehnoloogia ja kommunikatsioonivahendite abil. Võiks arvata, et see kõik on puhtalt nii-öelda patsiga poiste rida: meil on arvutivõrgud, rakendused, andmed ja kasutajad, võitleme eelarve pärast, lisame kaitsemeetmed ja ongi valmis! Päris nii lihtne turvalisuse saavutamine siiski pole. Turvalisus on protsess, mitte lõpptulemus. Protsessid eeldavad aga pidevat ressursside jagamist nende täitmiseks.

Tüüpilises infoturbeprotsessis tuuakse välja viis-kuus etappi, kuid tihti jäetakse kahe silma vahele üks oluline koht ? nimelt äriotsus. See on koht, kus äri- ja IT-maailm peavad kokku saama ning hindama protsessi kulu ja tasuvust. Tihtipeale ei oska äripool siin kõiki tehnilisi riske ette näha ning IT-inimesed ei pruugi alati ärieesmärke kõige paremini tabada. Seega on äriotsus ülioluline teineteisemõistmise koht.

Peale arendustegevusega kaasneva suure ressursivajaduse vajatakse teineteisemõistmist ka eriolukordades, mille lahendamine võib muidu toimivaid protsesse sealt ressursi äravõtmisega korralikult halvata. Ebameeldivad asjad juhtuvad varem või hiljem seetõttu, et protsess ei olnud järjepidev (mis on kellegi viga või tegematajätmine) või kuna ei suudetud kõike ette prognoosida. Tõenäosusteooria on põnev asi, aga põhjus, miks piksenool just teie serveri või sidesõlme kaudu maaga ühendust otsis, võib jäädagi müsteeriumiks.

Ettearvamatud olukorrad on mingil määral paratamatus sellegi pärast, et turvalisus on ka pidev balansseerimine turvameetmete maksumuse ja sellest tuleneva optimaalse kaitstustunde vahel. Kuna emotsionaalsel tasemel on turvalisus kõige olulisem just siis, kui IT-süsteem hakkab kokku kukkuma, tuleb ettenägelikul IT- või turvajuhil selleks tihtipeale piltlikult öeldes mitu seina maha joosta, et oma kulutusi piisavalt varakult enne IT-süsteemi kokkukukkumist õigustada ja turvaprotsessi järjepidevana hoida. Ootamatute üllatustega tuleb arvestada ja selleks peab olema ressurssi, teadmisi ja tegutsemisvalmidust.

Turvahalduses võib ilmselt välja tuua kaks äärmust: ühe järgi on turvalisus pidur ehk ärisoovide takistus, teise kohaselt ei suuda IT ja turvahaldus äriga sammu pidada.

Tegelikult on mõlemal juhul probleemiks see, et äri ja tehnoloogia suudab esitada väljakutseid kiiremini, kui IT pool suudab neid organisatsioonis lahendada. Näiteks on äriprotsessiks vajalik arendus aeglane, sest IT-halduse ning turvaprotsessi tagamine sööb suure osa ressursist, olgu siis tegu töötajate, raha või tehniliste vahenditega. Teisalt tähendab tehnoloogia survel kasvav mobiilsuse trend seda, et töötajad peavad õppima kasutama uusi vahendeid ning töövõtteid. Sülearvuti omanikud vajavad oma andmete kaitseks ja turvaliseks kaugtööks krüptolahendusi, personaalset tulemüüri ja keskset haldust. Paralleelselt tuleb aga kujundada reeglid olukorraks, kus töökeskkonnaga on ohtlikult seotud isiklikud töövahendid. Kaameratelefonid, USB WiFi adapterid, mälupulgad või pihuarvutid võivad kiiresti muutuda infolekete allikaks, kui seda temaatikat õigel ajal ei käsitleta. Et need väikeseadmed on isiklik laiatarbekaup, ei anna nende keelamine ilmselt alati tulemust.

Kõik need väljakutsed ootavad lahendusi, kuid kas igal ettevõttel on kõigi küsimuste terviklikuks lahendamiseks töötajaid, tehnoloogiat, oskusi või muid ressursse?

Tehnoloogiat ei saa liigselt usaldada, eriti siis, kui mängus on tarkvara. Meie maailm on niimoodi seatud, et kui satute autotootja eksimuse tõttu avariisse, siis saab tootjalt kahjutasu nõuda. Kui tarkvara rike või puudujääk aga ärikriitilise andmebaasi hävitab, siis seda kahju kohtus ilmselt välja nõuda ei õnnestu. Parim kaitse on olla valmis kõige halvemaks ning panustada järjepidevasse protsessi, mis kindlustab äri jätkusuutlikkuse ka sellises olukorras.

Tänapäeva maailmas on äridünaamika ja infotehnoloogia areng tinginud olukorra, kus IT on muutunud tugifunktsioonist ärikriitiliseks valdkonnaks. Äritsüklid on kokku surutud ning selleks, et efektiivselt kliendini jõuda, on välja kujunenud globaalsed ettevõtted arvukate ärisidemetega. Globaalsus väljendub selles, et klient, töötajad, partnerid, tarnijad, edasimüüjad ja lõpptarbijad on kõik seotud info tarbimisega. Näiteks on tänapäeva arveldus- ja müügisüsteemid interneti vahendusel viidud kõikide eeltoodud osapoolteni ning katkestus süsteemis haavab kogu äritegevust.

Selles keerulises ning tempokas keskkonnas on mõistlik leida koostööpartnereid, kes võtaksid üle ressursimahukad rutiinsed tegevused ning kõrget kompetentsi nõudva arenduse, sest kummagi jaoks vajalike oskustega meeskonna palkamine ja juhtimine pole tavaliselt otstarbekas ettevõttele, kellel infotehnoloogia pole põhitegevuseks.

Tänu koostööpartneri kaasamisele tekib firma IT-spetsialistidel võimalus keskenduda senisest enam ettevõtte äri toetamisele ja tegevuse planeerimisele, milleks varem kippus aega nappima. Eriolukordadele reageerimine ei katkesta samuti enam sedavõrd muude protsesside jätkupidevust. Andmeturbe kui teenuse ettevõttesse sisseostmine sunnib ka paremini määratlema oma tegelikke vajadusi ja seadma nende hindamiseks mõõdikuid. Samuti võimaldab see organisatsioonil varasemast edukamalt ette planeerida ja kontrolli all hoida IT-kulutusi. Kui IT-valdkonnas täiesti omal käel tegutseda, on tehnoloogiakulutusi tunduvalt raskem kontrollida ja jälgida.

Asjatundlik koostööpartner annab parema ülevaate IT vajadustest ja aitab kaasa ettevõtte ärieesmärkide elluviimisele. Seades peamised tegevussuunad paika, saate koostööpartneri abiga tekitada kõik vajaliku selleks, et infoturbeprotsess annaks võimalikult efektiivse tulemuse.

Infoturbeprotsess sisaldab seitset järjestikust omavahel loogiliselt seotud sammu.

1. Hindamine. Infoturve põhineb pidevalt muutuva olukorra hindamisel, mis hõlmab riskide hindamist (uute tehnoloogiate kasutuselevõttu, äriprotsesside muutumist, varasemate meetmete efektiivsuse jms parameetrite hindamist). Näiteks liiga lihtsalt äraarvatavad kasutaja salasõnad on olnud probleemiks volitamata juurdepääsu näol.

2. Äriotsus. Tihtipeale seda äriotsuse etappi ei väljendata, aga kogemused näitavad, et äri peab avalikustama sellistes asjades oma selgeid seisukohti või vähemalt visioone. Kui ärijuhid on kategooriliselt kasutaja juurdepääsu keerulisemaks muutmise vastu, siis see ilmselt ka ei õnnestu tänu äri ja kasutajate vastuseisule, enamasti võib see olla puhtalt emotsionaalne.

3. Rakendamine. Selle põhjal tuleb kujundada poliitika või põhimõte, mida asutakse rakendama (valida tehnoloogia, valida parameetrid nagu salasõna pikkus, keerukusenõue, aegumine, lukustumine jms).

4. Koolitamine. Turvapoliitika rakendamine üldjuhul ei eelda mitte ainult teostava personali koolitamist, vaid eelkõige poliitika teadvustamist kogu ettevõtte personalile ehk igapäevasele kasutajale. Turvalisus on pidev müümine. Esmalt tuleb teha vajadus selgeks juhtidele ja siis ka kõikidele lõppkasutajatele ja loomulikult teostajatele. Kui see ei toimu põhjalikult ja hästi, on suur tõenäosus läbikukkumiseks.

5. Jälgimine. Turvapoliitika elluviimist ja soovitud või mittesoovitud efekti tuleb pidevalt jälgida: kas poliitika adresseeris õigeid probleeme või tõstatas uusi nüansse. Vahel võib tulemus olla täiesti negatiivne ja tuleb valida teine lähenemine.

6. Testimine. Enamasti tuleb teostada ka teste ja auditeid poliitika rakendumise osas. Auditivõimalus on näiteks katse kasutajate paroole murda, et selgitada, kas keerukusreegleid järgitakse. Samuti on süsteemsetest logidest näha, kas parooli vahetakse piisav arv kordi järjest. Oletame, et süsteem peab viis viimast parooli meeles, kuid vana tuttava parooli tagasisaamiseks eiratakse parooli muutmise nõuet.

7. Eriolukordade haldus. Alati esineb eriolukordi ja see peaks olema turvapoliitika planeerimise osa. Uue poliitika rakendamine võib tekitada tööseisaku. Kuna töötajad ei saa massiliselt oma uute keeruliste paroolide meeldejätmisega hakkama, peab olema näiteks valmisolek kiiresti vanale süsteemile tagasi minna, kuni kasutajaid on paremini teavitatud. Samas võib tehnoloogia alt vedada. Selliseid asju tuleb ette planeerida varunduse, taastusplaani ja dubleerivate süsteemide abil, et äri jätkuvus oleks tagatud.

Idee järgi peaks kirjeldatud infoturbe protsess toimima iga uue asja puhul: näiteks kui ettevõte hakkab kasutama sülearvuteid, toob nende spetsiifika uusi riske varguse, kadumise ja turvalise kasutamise osas. Vajatakse ketta krüpteerimist, virtuaalset privaatvõrku VPNi, personaalset tulemüüri, sülearvutite kasutamise reegleid jms. See teeb kasutaja elu keerulisemaks ja teda on vaja koolitada, kindlasti tekib ka loomulik kihk eeskirju eirata, mida tuleb omakorda jälgida.

Uued tehnoloogiad nagu mälupulgad, WiFi-adapterid ja kaameratelefonid muutuvad igapäevaseks, aga kujutavad ka uusi riske, mille kohta tuleb jälle sama ring läbi käia. Vahel tuleb seetõttu öelda, et näiteks kaameratelefonid ei ole lubatud, kuna nendega on lihtne konfidentsiaalset infot lekitada. Samas võtab selle keelamise läbisurumine ja kontroll ikka ressurssi, kuigi võib näida, et keelamisega saab kõige rohkem aega ja vaeva kokku hoida.