ITvaatust! Kuidas planeerida ja alustada organisatsioonis tõhusa küberturbega (Directo näitel)

Tihti arvatakse, et küberturbega seotud meetmed on olulised vaid suurte ettevõtete jaoks, aga tegelikult puudutab see teema kõiki, kes kasutavad äritegevuses internetiühendust, tarkvaralahendusi ja võrku ühendatud seadmeid. Küberturvalisust peetakse sageli ekslikult ka vaid IT osakonna vastutusvaldkonnaks. Tegelikkuses on see tervet ettevõtte tegevust puudutav teema, mis nõuab tippjuhtkonna ja kogu organisatsiooni tähelepanu. Infoturve algab lihtsatest sammudest, millega saad alustada juba täna ning tihti on küberruumist tulenevad ohud tegelikult hallatavad mitte ainult tehniliste IT vahendite, vaid mõistliku käitumise abil. Anname ülevaate, kuidas tegeleme nende küsimustega meie ja millised Directo äritarkvara funktsionaalsused on küberturbe planeerimisel ja ellu viimisel kasulikuks osutunud.

Selleks, et alustada ettevõttes efektiivse küberkaitse alase tegevusega, tuleb esmalt selgeks teha, mida üldse on vaja kaitsta. Selleks soovitame materiaalsete varade kõrval defineerida ning registreerida ka kõik ettevõtte infovarad. Directo on ISO/IEC 27001:2013 sertifitseeritud tarkvaraettevõte ja infovarade defineerimine ning registri pidamine on ISO sertifikaadi üks esimesi nõudeid. Lisaks viime regulaarselt läbi ka infovarade registri kontrolli ning vajadusel korrigeerimist.

Infovarade haldus

Directos on lisaks seadmetele ja materiaalsetele vahenditele väikevahenditena arvel ka kõik ligipääsud ettevõtte võrkudele, võrguseadmetele ja erinevatele tarkvaradele, kasutajakohad ettevõttega seotud portaalides, admin õigused tarkvarades ning portaalides jne. Samuti on registreeritud iga töötaja õigused ja ligipääsud, mis on Directos töötajakaardil varadena registreeritud.

Infovarade (seadmed, uksekaardid, ligipääsud, kasutajakohad, sertifikaadid, SIM kaardid/telefoninumbrid jms.) haldamiseks kasutame me Directo äritarkvaras uue kujundusega varadokumenti, millel võtame infovarad väikevarana arvele ja seome iga töötajaga just need, millele temal reaalselt ligipääs on. Nii omame pidevalt selget ülevaadet, milliseid varasid peame kaitsma, kes on nende kasutajad ning hinnata, millised võivad olla ohud. Näiteks, kui töötaja positsioon ettevõttes muutub või ta lahkub Directost, saame töötaja kaardilt kiiresti ülevaate ligipääsudest ja kasutajakohtadest, mis tuleb tühistada või mille staatust tuleb muuta.

Näide töötajakaardil olevast varakaardist, millel kajastuvad nii töötajaga seotud materiaalsed kui infovarad.

Jooksev kontroll ja riskide hindamine

Nagu juba eelpool mainitud, siis järgmiseks sammuks on jooksev kontroll, kas kõik varad on kirjas, kas kõik kasutajate õigused on registreeritud ja kas need vastavad ka tegelikkusele. Nii leiame üles kohad ja ohud, millega tuleb tegeleda. Näiteks, kui ettevõttest lahkunud töötajale on ekslikult jäänud ligipääs mõnele infovarale, siis on kontrolli käigus selle avastamine ja korrigeerimine lihtne.

Auditeerimist ja riskide hindamist viime läbi regulaarselt vastavalt ISO reeglites sätestatud korrale ja reageerime koheselt. Directos vastutab selliste tegevuste eest infoturbejuht, kelle ees vastutavad omakorda kõik infovarade haldajad ja kasutajad. Väiksemates ettevõtetes ei pruugi see töökoormus nii suur olla, et nõuab eraldi ametikoha loomist ning vastavaid ülesandeid võib täita ka IT juht, haldusjuht, finantsjuht või ettevõtte juht.

Riskide hindamiseks on mõistlik luua või välja valida ja kasutusele võtta riskimaatriks, mis aitab otsustada, kas ja milliseid tegevusi on vaja rakendada iga potentsiaalse riski maandamiseks. Meie kasutame viieastmelist riskimaatriksit, mis aitab välja selgitada iga potentsiaalse riski taseme ja sellele vastavalt otsustada, kuidas edasi toimida.

Näide riskimaatriksist, mille abiga on võimalik riske hinnata (viide: Vikipeedia).

Riskide tuvastamine ja maandamine

Riskide tuvastamise ning hindamise järel selgub, kui suur on nende tõenäosus ning kui suureks võib osutuda selle mõju/tagajärg. Õigete tööriistade ja meetodite abil on võimalik otsustada, mida tuleb riskide maandamiseks ette võtta. Näiteks võivad järgnevad tegevused olla kas riskide leevendamine, vältimine, delegeerimine või aktsepteerimine. Edasi tuleb neid kohti monitoorida ning potentsiaalsete või reaalsete intsidentide puhul need registreerida. Directos kasutame me selleks meie äritarkvara Sündmuseid, kus oleme registreerinud eraldi tüübi „Infoturbe sündmus“. Nii omame selget ülevaadet kõigist parandusettepanekutest, intsidentidest või uutest riskidest ning saame teha õigeid järeldusi. Sündmuste funktsionaalsus on kättesaadav kõigile Directo kasutajatele, mille kohta saad lähemalt lugeda siit.

Töötajaskonna harimine ja kontroll

Lisaks tehnilistele meetmetele on vajalik kasutusele võtta ka organisatoorsed meetmed, milleks meil Directos on töötajatele selgete juhiste ja eeskirjade loomine, inimeste koolitamine, kontrollimine ja auditeerimine. Inimeste teadlikkus ning valmisolek on ohtude ennetamisel väga oluline faktor. Siia kõrvale võib tuua näiteks politsei, päästeameti või sõjaväe, kus suure osa oma tööst inimesed tegelevadki koolitamise ning olukordade läbi mängimisega, et ennekõike ohte ennetada ning kui oht esile kerkib, siis oleks selge, kuidas sellele reageerida.

Riskide hindamine annab selge ülevaate, millistel teemadel on mõistlik ning vajalik töötajaid koolitada, ning see võib tihti alata väga lihtsatest, aga olulistest asjadest. Näiteks turvaliste paroolide valimine, paroolide turvaline hoidmine, tarkvara turvaline kasutamine, kaheastmeline autentimine, õngitsuskirjade ja pahavara ära tundmine ning juhised, kuidas nendega õigesti toimida.Selle kõigega on võimalik ja vajalik tegeleda iga suurusega ettevõttes kas oma teadmiste ja jõududega või kaasata appi väliseid eksperte, kui omal majas vastav ekspertiis puudub. Selleks, et omada pidevalt selget ülevaadet, kas kõik töötajad on vajalikud küberturvalisuse koolitused läbinud, on hea kasutada Directo töötajakaardil Haridused sakki/sektsiooni. Sinna saab kirja panna kõik läbitud koolitused või koolitusvajadused ning neid mugavalt aruandest vaadata.

Soovime edu infoturbe planeerimise ja ellu viimisega alustamisel! Vaata ka meie vastavasisulist veebinari.