Iga ambitsioonikas ettevõte, kes soovib sõita innovatsiooni laineharjal, ei saa täna jätta tähelepanuta küberturvalisust. Korralikult turvatud IT tagab konkurentsieelise ja loob kindla vundamendi, mille peale innovatsiooni üles ehitada.
Küberturvalisus on innovaatilise ettevõtte alus. Kuidas seda saavutada?
OIXIO küberturbe ja võrgu ärisuunajuhi Andres Vallistu sõnul pole täna enam vaja sellel peatuda, miks on vaja küberturbega tegeleda ja sellesse investeerida. „Piisab, kui vaatate korra „aknast välja”, kus läheb olukord järjest hullemaks – kõik see, mis globaalselt toimuv kui ka pidevad meediakajastused rünnetest. Pihta on saanud nii riigi infosüsteemid ja teenused kui ka paljud erasektori ettevõtted. Enamasti sooritavad küberkurjategijad automatiseeritud ründeid valimata kindlat sihtmärki ja huvi tundmata, millega ettevõte tegeleb, aga esineb ka sihitud ründeid, kus soovitakse konkreetse ettevõtte tegevust häirida või tegevus sootuks peatada, kas siis peamiselt teenustõkestusründe või lunavararünde tulemusel.”
Seega peab iga innovaatilise ettevõtte juht mõtlema, mis saab, kui küberründe tagajärjel IT ei toeta enam äriprotsesse? Mida te teete, kui ükspäev enam e-kirjad ei liigu? CRM ei tööta? Laotarkvara tõrgub Tootmissüsteemid on maas? Veebipood on funktsioneeri? Äriandmed/isikuandmed lekivad?
Kuidas liikuda süngest olukorrast helgema tuleviku poole?
Esmalt on vaja selgust, mis olukorras ettevõte täna on:
* Kas rollid ja vastutajad on määratud?
* Millised on infovarad, teenused, andmekogud, mida üleüldse peab kaitsma?
* Kas dokumentatsioon on olemas või ainult IT mehe peas?
* Kas vajalikud protsessid on loodud ja töötajateni viidud?
* Kas küberturbe arhitektuur on tehnoloogilisest vaatest piisav?
* Kas töötajate küberhügieeni tase on piisav?
* Kas süsteemides esinev turvanõrkusi ja valeseadistusi, mida küberkurjamid saavad sissetungiks ära kasutada?
Sellise selguse aitab luua sõltumatu küberturbepartneri koostatud küberturbeaudit, mille tulemiks on prioritiseeritud turbeplaan küberturbe küpsustaseme tõstmiseks.
Aga mis saab edasi, kui turbeplaan on olemas? „Küberturbeaudit on justkui ühekordne projekt, mis annab tänaste leidude pinnalt plaani, kuidas edasi minna, aga heal tasemel turbe tagamiseks on vaja teha pidevat tööd,” sõnab Vallistu. „On vaja kedagi, kes võtab turbaplaani ellu viimise eest vastutuse, kes kaasab vajalikud osapooled, neid koordineerib ning kõik kokku juhib ja võtab ühtlasi vastutuse pideva turbeolukorra parendamise eest.”
blank
Kui ise ei oska, tasub palgata ekspert väljastpoolt!
Väljapääs on infoturbejuht teenusena. Nii nagu laev vajab pinnal püsimiseks kaptenit, on vaja ettevõtetel infoturbejuhti, et võtta parim kurss turvalisema tuleviku poole. Nii nagu laeval on insenerid, navigaatorid, tekimeeskond, teenindajad, kokad, koristajad jne, kes igaüks mängib laeva pinnal hoidmisel olulist rolli. Kuid ilma koordineerimise ja juhtimiseta võivad nad tahtmatult üksteisele vastu töötada. Äärmuslikel juhtudel võib laev isegi selliselt karile sõita. Laeva ohutuks edasijuhtimiseks on vaja pädevat kaptenit ehk „küberjulgeolekulaeva kaptenit”. Infoturbejuht võtab vastutuse, teeb koostööd äripoolega, koordineerib vajalikke osapooli, hindab riske, seab infoturbe valdkonnale eesmärgid ja mõõdikud, töötab välja vajalikud juhendid ja protsessid, teeb regulaarseid kokkuvõtteid infoturbe olukorrast ning on turbeplaanist tulenevate vastumeetmete rakendamise veduriks, millega on tagatud pidev turbeolukorra parendamine.
Miks infoturbejuht teenusena? Põhjuseid on Vallistu sõnul mitmeid. „Sageli, just ettevõtte suurust arvestades, ei ole kuluefektiivne täiskohaga infoturbejuhti palgata. Isegi kui täiskohaga infoturbejuhile oleks piisavalt tööd anda, siis teisalt ei pruugi vabalt tööjõuturult lihtsalt selliste kompetentsidega inimest leida. Või kui õnnestub leida, siis sellise inimese palgal hoidmine võib osutuda keerukaks,” ütleb ta. „Teenuse näol ei ole infoturbejuht alati üks kindel indiviid, vaid teenuse taga on tegelikult laiem toetav turvameeskond, kes on kompetentne, omades vastavaid sertifikaate ning kellel on kogemusi mitmete teiste ettevõtete infoturbe juhtimisega.”