Milline on tegevjuhi roll ettevõtte infoturbes?

Tegevjuht peaks läbi mõtlema, kuidas kaitsta arvutis olevaid andmeid nii, et need ei lekiks valedesse kätesse.Foto: Indrek Susi

Millega peab tegevjuht arvestama ja mida tegema selleks, et luua eeldused organisatsiooni infosüsteemide ja neis paiknevate andmete turvamiseks?

Kümme soovitust tegevjuhile: 

Selgita välja, kas ja kui palju ettevõtte põhiprotsessid ja tugiprotsessid sõltuvad infosüsteemidest. 

Mõtle läbi, mis juhtub, kui IT-süsteemid ei ole kasutatavad (kuni 10 minutit, kuni tund, kuni päev, kuni nädal)?

Mõtle läbi, mis juhtub, kui ettevõtte infosüsteemides olevad andmed lekivad?

Mõtle läbi, mis juhtub, kui ettevõtte infosüsteemides olevaid andmeid muudetakse? Kas ja millal on võimalik see avastada? Mida tähendab andmete taastamine?

Kui eelnevate küsimuste põhjal selgub, et infosüsteemid on asutuse töö tagamiseks olulised, siis määra infoturbealane vastutus, see tähendab võta tööle infoturbe juht või osta teenus sisse. 

Jälgi, et kõigi töötajate infoturbealased rollid oleksid selgelt defineeritud. 

Lase infoturbejuhil hinnata praegust infosüsteemide kaitstuse taset, riske ja töötada välja turvameetmete rakendamise plaan.

Eralda turvalisuse tagamiseks ressursid. 

Rõhuta infoturbe olulisust organisatsioonis ja iga töötaja vastutust selle tagamisel.

Vaata regulaarselt üle infoturbe halduse süsteemi toimimine ja telli väliseid IT-auditeid objektiivse hinnangu saamiseks.

Levinumad pilveteenustega seonduvad riskid

Tootjalõks. Põhinevad tihti mittestandardsetel andmeformaatidel ja rakenduste loogikal, mis võib andmete ülekandmise ühe teenusepakkuja juurest teise juurde teha keeruliseks või isegi võimatuks.

Halduskontrolli kadumine. Pilveteenuseid kasutades võib klient teenusepakkuja kätte loovutada kontrolli mitme asjaolu üle, mis võivad mõjutada ka turvalisust.

Andmete õngitsemine. Eesmärk on infot koguda, inimestega manipuleerida konfidentsiaalsete andmete avaldamiseks või mingite tegevuste sooritamiseks arvutisüsteemidele ligipääsuks ohvri teadmata.

Isolatsiooni katkemine. Ühiskasutatavate keskkondade puhul pole võimatu, et süsteemivigade või sihilike rünnakute tõttu pääseb üks teenusekasutaja (või ründaja) ligi teise kasutaja ressurssidele või andmetele.

Haldusvahendite kompromiteerimine. Avaliku pilveteenuse puhul on haldusvahendid interneti kaudu ligipääsetavad, mis tähendab riski soovimatute ligipääsukatsete näol. Täiendav oht on kaugligipääsuvahendite ja veebilehitsejate vigade ärakasutamine.

Ebaturvaline või ebapiisav andmete kustutamine. Krüpteerimata andmete puhul on oht, et näiteks salvestusruumi mahu muutmisel suuremast väiksemaks või teenusepakkuja vahetamise korral avalduvad kustutamata andmed kas teistele teenuse kasutajatele või teenusepakkujale.

DDos-rünne. Ründe eesmärk on teenusepakkuja ülekoormamine, nii et klientidel on oma teenuseni jõudmine raskendatud. Tõenäosus, et niisugust rünnet tehakse teenusepakkuja ühe kliendi vastu, on väiksem kui üksiku kliendi ettevõttesisese IT-lahenduse vastu. Enamasti on pilveteenuste pakkujatel rohkem võimalusi ja ressursse sellise ründega toime tulla kui üksikettevõttel.

Pilveteenusest olenematud võrguprobleemid. Võivad ilmneda ka majasiseste IT-lahenduste puhul, ründed andmesidevõrgule, võrguoperaatori ühenduse probleemid, pilveteenuse pakkuja võrguoperaatori võrguprobleemid. 

Allikas:  CSA (Cloud Security Alliance)