Millega peab tegevjuht arvestama ja mida tegema selleks, et luua eeldused organisatsiooni infosüsteemide ja neis paiknevate andmete turvamiseks?
- Tegevjuht peaks läbi mõtlema, kuidas kaitsta arvutis olevaid andmeid nii, et need ei lekiks valedesse kätesse. Foto: Indrek Susi
Ettevõttes tasub määrata infoturbe turvalisuse eest vastutama kindel inimene, mitte loota, et IT-osakond või IT-juht peab seda enda ülesandeks, kirjutab 20. juuni Äripäev kuidas-rubriigis.
Viimase kümne-kahekümne aasta jooksul on organisatsioonide toimimine oluliselt muutunud. Organisatsioonide võime efektiivselt toota on oluliselt kasvanud ja viis, kuidas teenuseid osutatakse, palju muutunud. Seda on võimaldanud paljuski erinevate infotehnoloogiliste lahenduste kasutuselevõtt – IT on muutunud loomulikuks osaks äriprotsessidest, ilma milleta enam hakkama ei saada. Või kui saadakse, siis väga piiratud jõudluse või funktsionaalsusega.
Pane tähele
Kümme soovitust tegevjuhile:
Selgita välja, kas ja kui palju ettevõtte põhiprotsessid ja tugiprotsessid sõltuvad infosüsteemidest.
Mõtle läbi, mis juhtub, kui IT-süsteemid ei ole kasutatavad (kuni 10 minutit, kuni tund, kuni päev, kuni nädal)?
Mõtle läbi, mis juhtub, kui ettevõtte infosüsteemides olevad andmed lekivad?
Mõtle läbi, mis juhtub, kui ettevõtte infosüsteemides olevaid andmeid muudetakse? Kas ja millal on võimalik see avastada? Mida tähendab andmete taastamine?
Kui eelnevate küsimuste põhjal selgub, et infosüsteemid on asutuse töö tagamiseks olulised, siis määra infoturbealane vastutus, see tähendab võta tööle infoturbe juht või osta teenus sisse.
Jälgi, et kõigi töötajate infoturbealased rollid oleksid selgelt defineeritud.
Lase infoturbejuhil hinnata praegust infosüsteemide kaitstuse taset, riske ja töötada välja turvameetmete rakendamise plaan.
Eralda turvalisuse tagamiseks ressursid.
Rõhuta infoturbe olulisust organisatsioonis ja iga töötaja vastutust selle tagamisel.
Vaata regulaarselt üle infoturbe halduse süsteemi toimimine ja telli väliseid IT-auditeid objektiivse hinnangu saamiseks.
Informatsioonil on oluline roll juhtimisotsuste tegemisel ja äriprotsessides ning efektiivsuse kasv eesmärgina on õige ja vajalik selleks, et olla konkurentsivõimeline. Kuid teisalt, kas me ikka teame ja teadvustame, mis juhtub siis, kui infotehnoloogilised vahendid ei tööta – ei tööta üldse või ei tööta selliselt, nagu ette nähtud.
Tegevjuhid tunnevad tihti ent ebamugavalt situatsioonides, kus nad peavad IT ja infoturbe teemadega tegelema või tegema valdkonda puudutavaid otsuseid. Küsitakse endalt, kuidas juhtida midagi, millest suurt midagi ei teata või milles ollakse ebakindel. Suhtlemist pearaamatupidaja või haldusjuhiga peetakse ITga seonduvast lihtsamaks ja see ongi lihtsam, kuna teemad on juhile arusaadavamad. Mida peaks tegema ja millega arvestama tegevjuht sellises muutunud keskkonnas?
Esimene viga on, et ettevõttes ei panda kedagi konkreetselt infoturbe eest vastutama. Kui näiteks raamatupidamise eest vastutab organisatsioonis konkreetne inimene – finantsjuht või pearaamatupidaja, siis infoturbe vallas on sageli vastutus määratlemata või hajutatud. Mõnikord loodetakse, et IT-juht või IT-osakond vastutab ka infoturbe eest. Aga tegelikkuses ei vastuta, vastutab osaliselt või pole IT-osakond päriselt oma vastutusest aru saanud. Seetõttu tasuks määrata inimene, kes vastutab infoturbe eest organisatsioonis ja korraldab vastava valdkonna tegevust.
Hea teada
Levinumad pilveteenustega seonduvad riskid
Tootjalõks. Põhinevad tihti mittestandardsetel andmeformaatidel ja rakenduste loogikal, mis võib andmete ülekandmise ühe teenusepakkuja juurest teise juurde teha keeruliseks või isegi võimatuks.
Halduskontrolli kadumine. Pilveteenuseid kasutades võib klient teenusepakkuja kätte loovutada kontrolli mitme asjaolu üle, mis võivad mõjutada ka turvalisust.
Andmete õngitsemine. Eesmärk on infot koguda, inimestega manipuleerida konfidentsiaalsete andmete avaldamiseks või mingite tegevuste sooritamiseks arvutisüsteemidele ligipääsuks ohvri teadmata.
Isolatsiooni katkemine. Ühiskasutatavate keskkondade puhul pole võimatu, et süsteemivigade või sihilike rünnakute tõttu pääseb üks teenusekasutaja (või ründaja) ligi teise kasutaja ressurssidele või andmetele.
Haldusvahendite kompromiteerimine. Avaliku pilveteenuse puhul on haldusvahendid interneti kaudu ligipääsetavad, mis tähendab riski soovimatute ligipääsukatsete näol. Täiendav oht on kaugligipääsuvahendite ja veebilehitsejate vigade ärakasutamine.
Ebaturvaline või ebapiisav andmete kustutamine. Krüpteerimata andmete puhul on oht, et näiteks salvestusruumi mahu muutmisel suuremast väiksemaks või teenusepakkuja vahetamise korral avalduvad kustutamata andmed kas teistele teenuse kasutajatele või teenusepakkujale.
DDos-rünne. Ründe eesmärk on teenusepakkuja ülekoormamine, nii et klientidel on oma teenuseni jõudmine raskendatud. Tõenäosus, et niisugust rünnet tehakse teenusepakkuja ühe kliendi vastu, on väiksem kui üksiku kliendi ettevõttesisese IT-lahenduse vastu. Enamasti on pilveteenuste pakkujatel rohkem võimalusi ja ressursse sellise ründega toime tulla kui üksikettevõttel.
Pilveteenusest olenematud võrguprobleemid. Võivad ilmneda ka majasiseste IT-lahenduste puhul, ründed andmesidevõrgule, võrguoperaatori ühenduse probleemid, pilveteenuse pakkuja võrguoperaatori võrguprobleemid.
Allikas: CSA (Cloud Security Alliance)
Pakilisem probleem nõuab esimesena raha
Kui tegemist on organisatsiooniga, mis sõltub oluliselt ITst, tuleks võtta selle tarbeks tööle eraldi inimene või osta teenus sisse. Soovitatavalt peaks infoturbe juhi roll olema eraldatud IT-osakonnast. Ka väiksemad ja vähem ITst sõltuvad organisatsioonid peaksid olema valmis olukordadeks, mil midagi võib juhtuda nende infosüsteemidega või neis paiknevate andmetega – IT-juht, IT-spetsialist või IT-teenuse osutaja peaks tagama, et oleksid rakendatud kõik vajalikud turvameetmed.
Infoturbejuht koostöös IT-osakonnaga peab hindama infosüsteemide kaitstuse taset ja vajadusel töötama välja täiendavad turvameetmed selleks, et tagada infosüsteemidele piisav kaitstus. Infoturbejuht koostab turvameetmete rakendamise plaani ja teeb tegevjuhile ülevaate, mis sisaldab ka meetmete rakendamiseks vajalike ressursside ülevaadet.
Sageli ei jätku raha kõigi turvameetmete rakendamiseks, seetõttu tuleks paika panna, mis on olulisem enne ära teha ja mille teostamise saab hilisemaks jätta. Tegevjuht peab tagama, et oleks olemas vajalikud ressursid riske maandavate turvameetmete rakendamiseks.
Infoturbejuht peaks tegevjuhile pidevalt raporteerima toimunud turvaintsidentidest, missuguseid järeldusi on nendest tehtud, mida on ette võetud probleemide ärahoidmiseks, missugused riskid on maandamata, missuguseid riske tuleks aktsepteerida, kuidas edeneb erinevate turvameetmete rakendamine ja nii edasi.
Ei maksa jääda lootma sellele, et kui ollakse väike ettevõte väikese riigi väikelinnas, siis kes tahaks ikka rünnata – rünnatakse küll, sõltumata sellest, kui suur on organisatsioon ja kus see paikneb. Võidakse rünnata nii mõne suurema rünnaku käigus, aga see võib juhtuda ka eraldi konkreetselt teid sihtmärgiks valides.
Autor: Toomas Viira, OÜ CIIPUNIT juhatuse liige
Seotud lood
Riigi loodud IT-majad pakuvad erasektori IT-ettevõtetele järjest rohkem konkurentsi. Võisteldakse tööjõuturul, IT-firmadel on oht muutuda tööjõurendi pakkujateks, selgitavad saatekülalised Äripäeva raadios.