Eesti keel English Pусский

Infoturbe audit on targa IT-investeerimise alus

Igapäevase IT-süsteemide käimashoidmise ja nendega seonduvate probleemide lahendamise kõrval on iga IT-töötaja prioriteetide tipus veel üks oluline teema – infoturve. Sellesse investeeritakse üha rohkem ning 2018. aasta mais jõustuv isikuandmete kaitse üldmäärus on seda trendi võimendamas. Kuidas targalt infoturbesse investeerida, räägib Võrguvara OÜ müügimeeskonna juht Tauno Telvik.

Turul on arvukalt erinevaid tehnilisi lahendusi, mis lubavad aidata – ja õigesti kasutades ka aitavad – organisatsioonide infoturbe taset oluliselt tõsta. Alates kõige algelisemast pahavara tõrje tarkvarast, tulemüüride ja sandbox’ide ning kõikide andmete krüpteerimist või ka töötajate lausjälgimist võimaldavate lahendusteni välja.

Infoturve ei ole aga alati niivõrd tehniliste lahenduste, kuivõrd info küsimus, mille baasil lahendusi valitakse ning protsesse juurutatakse. Pidevas ülekoormatuse ja info ülekülluse tingimustes töötavatel IT-osakondadel ei pruugi olla oma süsteemidest täielikku ülevaadet ega ka ühtset nägemust nende arendamisel. Nii võib juhtuda, et investeerimisel minnakse standardlahenduste teed, mis ehk ei võta arvesse valdkonna ja organisatsiooni eripärasid.

Pildid / - 360

Tauno Telvik Võrgunduse ja Infoturbe Foorumil 360° | FOTO: Kati Visnap

Kuidas puudutab ettevõtteid isikuandmete kaitse üldmäärus GDPR? Audit aitab mõelda kaks sammu ette 

GDPR ehk Euroopa Liidu isikuandmete kaitse üldmäärus jõustus aastal 2016, kohaldub aga mais 2018. See puudutab kõiki ettevõtteid ja organisatsioone, kes käitlevad füüsiliste isikute andmeid, mh lojaalsusprogrammide, uudiskirjade, e-poe kliendibaaside ja muu säärase tarbeks. Määrus sätestab andmete käitlemise põhimõtted ja annab füüsilistele isikutele suurema kontrolli oma andmete üle. Samas sunnib see organisatsioone sisse seadma rangemaid andmete käitlemise protsesse ning enamasti ka mõningaid uusi tehnilisi lahendusi. Ettevõtted peavad andmeid koguma põhjendatult, olema valmis neid andmete subjektile taasesitama ja tema nõudmisel kustutama. Andmete kogumiseks tuleb küsida luba läbipaistvalt ja konkreetselt ning selle loa ära võtmine peab isiku jaoks olema sama lihtne kui loa andmine. Andmete lekkimisel tuleb sellest viivitamatult teavitada järelevalveorganeid ja teatud juhtudel ka andmesubjekti. Trahvid määruse nõuete rikkumise eest on märkimisväärsed. 

Audit aitab mõelda kaks sammu ette 

Targalt investeerimiseks on vaja piisavalt head alusinformatsiooni. Arukas oleks lasta hinnata oma süsteeme põhjalikult – kaardistada ära infrastruktuur, privilegeeritud kasutajate õigused, paroolihaldus, tulemüürireeglid, andmete talletamine ja varundamine, isikuandmete käitlemise protsessid, turvanõrkused, testida infosüsteeme rünnete vastu, testida turvalahendusi reaalsete rünnakute vastu, hinnata töötajate küberhügieeni, kaardistada ära kasutatavad rakendused ja veebiaadressid ja muud vajalikud aspektid.

Sellise auditi raport annab piisavalt hea ülevaate olemasolevast. Välja peaks olema toodud riskid, nende potentsiaalne kulu ja realiseerumise tõenäosused. Lisaks parandusettepanekud, tulevikuvisioon ja investeerimiskava.

Infoturbe audit on suur ja potentsiaalselt kulukas teenus, kuid siiski mitte märkimisväärne, kui näiteks keskmisest suuremas ettevõttes võrrelda infoturbe auditeerimisele ja lahendustele kuluvat raha muu eelarvega. On enam kui tõenäoline, et kvaliteetse info põhjal tehtavad investeeringuotsused, välditavad intsidendid ning mainekahju õigustavad seda kulu juba lühikeses perspektiivis.

Kui info on kogutud, analüüsitud ja tegevused ajajoonele asetatud, võib olla kindel, et investeeringud tulemüüridesse, sandbox’idesse, krüptolahendustesse, varundusse, mobiilseadmete haldusesse, pahavara kaitsesse ja muudesse turbelahendustesse on tehtud arukalt ning need teenivad organisatsiooni huve maksimaalselt.

Terviklik info ja terviklik lahendus

Infoturve on teema, millele tuleb läheneda kõikidest külgedest. Võtame näitena maja – majale ei ole mõtet ette panna turvaust, kui aknad on pärani lahti. Samuti ei ole mõtet investeerida raudustesse ja trellitatud akendesse, kui ei teata, mis materjalist on seinad. Sellised aspektid võetakse alati arvesse maja ehituse puhul, kuid ehk mitte alati infoturbe lahendusi planeerides, sest infot ei ole piisavalt kogutud ja analüüsitud.

Organisatsioonid peaksid endale selgeks tegema, mida nad turvavad, kus see turvatav info asub, kellel on sellele ligipääs, kui palju ta väärt on, mis on kahjud info lekkimisel, mis on tõenäolised lekke kohad ja palju muud.

Lisaks tuleb arvesse võtta, et turvalisus ja kasutatavus ei liigu tihti ühes suunas, vaid nende vahel tuleb teha kompromisse. Maksimaalne turvalisus tähendab reeglina minimaalset kasutusmugavust. Seega kogu eelneva info konteksti tuleb lisada ka äri vajadused. Lõppkokkuvõttes ei eksisteeri organisatsioonid selleks, et enda käes hoida ja turvata infot, vaid selleks, et infot kasutades viia ellu oma põhitegevust.

Soovitame enne lahenduste rakendamist koguda ja analüüsida põhjalikult informatsiooni, mis otsuste tegemise seisukohalt on oluline. Ja leida endale partner, kes suudab pakkuda nii vajalikku auditit kui ka disainida tehnilisi lahendusi. Tehniline pädevus infoturbe alase info analüüsimisel on võtmetähtsusega.

 

Artikel ilmus Äripäeva veebiraamatus "Kuidas majandada targalt?"

Kõik postitused
Tauno Telvik
Tauno Telvik

Müügimeeskonna juht

tauno.telvik@vorguvara.ee

MazeboltCarbon BlackLastlineDigiCheck PointA10FortinetCiscoVMwareMicrosoftQRadarBluecat NetworksIBMNetavisAdvaHPETrendMicroObserveITAirwatchGemaltoBarcoBrocadeDynatraceTripwirePulse SecureFireEyeExtreme NetworksYubicoJuniper Networks