Infoturbe audit on targa IT-investeerimise alus

Artikkel

Kuidas saab ettevõte sõidukite kasutamise pealt kulusid kokku hoida?

Kuidas majandada targalt?

Kuidas alustav ettevõtja saab raamatupidamiselt kokku hoida?

- Erilehed ST
- 25. september 2017 kell 6:15
Kuula
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Infoturbe audit on targa IT-investeerimise alus
Foto: fotolia.com
Igapäevase IT-süsteemide käimashoidmise ja nendega seonduvate probleemide lahendamise kõrval on iga IT-töötaja prioriteetide tipus veel üks oluline teema – infoturve. Sellesse investeeritakse üha rohkem ning 2018. aasta mais jõustuv isikuandmete kaitse üldmäärus on seda trendi võimendamas. Kuidas targalt infoturbesse investeerida, räägib ASi Võrguvara müügimeeskonna juht Tauno Telvik.
Tauno Telvik Võrgunduse ja Infoturbe Summitil 2016. Sel aastal korraldab Võrguvara Võrgunduse ja Infoturbe Foorumit 360°, mis toimub 5. oktoobril 2017 Mektorys.Foto: Kristi Kamenik
Turul on arvukalt erinevaid tehnilisi lahendusi, mis lubavad aidata – ja õigesti kasutades ka aitavad – organisatsioonide infoturbe taset oluliselt tõsta. Alates kõige algelisemast pahavara tõrje tarkvarast, tulemüüride ja sandbox’ide ning kõikide andmete krüpteerimist või ka töötajate lausjälgimist võimaldavate lahendusteni välja.
Infoturve ei ole aga alati niivõrd tehniliste lahenduste, kuivõrd info küsimus, mille baasil lahendusi valitakse ning protsesse juurutatakse. Pidevas ülekoormatuse ja info ülekülluse tingimustes töötavatel IT-osakondadel ei pruugi olla oma süsteemidest täielikku ülevaadet ega ka ühtset nägemust nende arendamisel. Nii võib juhtuda, et investeerimisel minnakse standardlahenduste teed, mis ehk ei võta arvesse valdkonna ja organisatsiooni eripärasid.
GDPR ehk Euroopa Liidu isikuandmete kaitse üldmäärus jõustus aastal 2016, kohaldub aga mais 2018. See puudutab kõiki ettevõtteid ja organisatsioone, kes käitlevad füüsiliste isikute andmeid, mh lojaalsusprogrammide, uudiskirjade, e-poe kliendibaaside ja muu säärase tarbeks. Määrus sätestab andmete käitlemise põhimõtted ja annab füüsilistele isikutele suurema kontrolli oma andmete üle. Samas sunnib see organisatsioone sisse seadma rangemaid andmete käitlemise protsesse ning enamasti ka mõningaid uusi tehnilisi lahendusi. Ettevõtted peavad andmeid koguma põhjendatult, olema valmis neid andmete subjektile taasesitama ja tema nõudmisel kustutama. Andmete kogumiseks tuleb küsida luba läbipaistvalt ja konkreetselt ning selle loa ära võtmine peab isiku jaoks olema sama lihtne kui loa andmine. Andmete lekkimisel tuleb sellest viivitamatult teavitada järelevalveorganeid ja teatud juhtudel ka andmesubjekti. Trahvid määruse nõuete rikkumise eest on märkimisväärsed.
Audit aitab mõelda kaks sammu ette
Targalt investeerimiseks on vaja piisavalt head alusinformatsiooni. Arukas oleks lasta hinnata oma süsteeme põhjalikult – kaardistada ära infrastruktuur, privilegeeritud kasutajate õigused, paroolihaldus, tulemüürireeglid, andmete talletamine ja varundamine, isikuandmete käitlemise protsessid, turvanõrkused, testida infosüsteeme rünnete vastu, testida turvalahendusi reaalsete rünnakute vastu, hinnata töötajate küberhügieeni, kaardistada ära kasutatavad rakendused ja veebiaadressid ja muud vajalikud aspektid.
Sellise auditi raport annab piisavalt hea ülevaate olemasolevast. Välja peaks olema toodud riskid, nende potentsiaalne kulu ja realiseerumise tõenäosused. Lisaks parandusettepanekud, tulevikuvisioon ja investeerimiskava.
Infoturbe audit on suur ja potentsiaalselt kulukas teenus, kuid siiski mitte märkimisväärne, kui näiteks keskmisest suuremas ettevõttes võrrelda infoturbe auditeerimisele ja lahendustele kuluvat raha muu eelarvega. On enam kui tõenäoline, et kvaliteetse info põhjal tehtavad investeeringuotsused, välditavad intsidendid ning mainekahju õigustavad seda kulu juba lühikeses perspektiivis.
Kui info on kogutud, analüüsitud ja tegevused ajajoonele asetatud, võib olla kindel, et investeeringud tulemüüridesse, sandbox’idesse, krüptolahendustesse, varundusse, mobiilseadmete haldusesse, pahavara kaitsesse ja muudesse turbelahendustesse on tehtud arukalt ning need teenivad organisatsiooni huve maksimaalselt.
Terviklik info ja terviklik lahendus
Infoturve on teema, millele tuleb läheneda kõikidest külgedest. Võtame näitena maja – majale ei ole mõtet ette panna turvaust, kui aknad on pärani lahti. Samuti ei ole mõtet investeerida raudustesse ja trellitatud akendesse, kui ei teata, mis materjalist on seinad. Sellised aspektid võetakse alati arvesse maja ehituse puhul, kuid ehk mitte alati infoturbe lahendusi planeerides, sest infot ei ole piisavalt kogutud ja analüüsitud.
Organisatsioonid peaksid endale selgeks tegema, mida nad turvavad, kus see turvatav info asub, kellel on sellele ligipääs, kui palju ta väärt on, mis on kahjud info lekkimisel, mis on tõenäolised lekke kohad ja palju muud.
Lisaks tuleb arvesse võtta, et turvalisus ja kasutatavus ei liigu tihti ühes suunas, vaid nende vahel tuleb teha kompromisse. Maksimaalne turvalisus tähendab reeglina minimaalset kasutusmugavust. Seega kogu eelneva info konteksti tuleb lisada ka äri vajadused. Lõppkokkuvõttes ei eksisteeri organisatsioonid selleks, et enda käes hoida ja turvata infot, vaid selleks, et infot kasutades viia ellu oma põhitegevust.
Soovitame enne lahenduste rakendamist koguda ja analüüsida põhjalikult informatsiooni, mis otsuste tegemise seisukohalt on oluline. Ja leida endale partner, kes suudab pakkuda nii vajalikku auditit kui ka disainida tehnilisi lahendusi. Tehniline pädevus infoturbe alase info analüüsimisel on võtmetähtsusega.
Tauno Telvik Võrgunduse ja Infoturbe Summitil 2016. Sel aastal korraldab Võrguvara Võrgunduse ja Infoturbe Foorumit 360°, mis toimub 5. Oktoobril 2017 Mektorys.Foto: Kristi Kamenik
VõrguvaraVõrguvara on väga laialdase tooteportfelliga ettevõte, esindades suurt osa tuntumaid infovõrgu- ja infoturbe lahenduste tootjaid. Ettevõte pakub arvutivõrgu ja infoturbe lahendusi igal võrgu kihil kaabeldusest kõrgetasemelise turbeni. Eesmärk on leida lahendus kliendi murele, mitte sobitada ühte lahendust kõikide probleemidega. Valdava osa Võrguvara käibest moodustab infovõrkude ja infoturbega tegelemine, lisaks tegeleb targa maja lahenduste pakkumisega sama grupi ettevõte Nutimaja OÜ.
www.vorguvara.ee
Artiklid