Väga palju räägitakse viimasel ajal IT-turvalisusest, häkkimisest ja andmete vargusest, ent kui võtta teema üles ettevõtete juhtidega, suhtutakse küberturvalisusesse aeg-ajalt üsna leigelt. Levinud on seisukoht, et minu andmed pole kellegi teise jaoks väärtuslikud ning seega ei peeta end küberründe sihtmärgiks.
Kuid mis saab siis, kui teie ettevõtte poole aasta andmed kaduma lähevad? Või eraisikuna kaovad mitme aasta perefotod? Väärtuse mõttes ei pruugi need olla teistele nii olulised kui teile, ent mida teeksite, kui neid andmeid enam ühel hetkel ei oleks? Selliseid juhtumeid leiab aset iga päev. Ka siin, Eestis. Ühel hetkel on ettevõtte müügi- ja tootmisandmed, joonised ning raamatupidamisinfo kadunud ja taastamatud või küsitakse nende eest väga suurt lunarahanõuet. See võib ettevõtte jaoks tähendada seda, et sisuliselt tuleks alustada nullist või ettevõte sulgeda. Seega muutub pealtnäha teistele tähtsusetu info väärtus kohe, kui peaksid selle kaotama või ilma hakkama saama.
Mida siis teha, et nii ei juhtuks?
IT-turvalisusest rääkides tuleb silmas pidada ettevõtte kogu IT-korraldust algusest lõpuni ning arvestada infoturbe kolme põhikomponenti:
- Konfidentsiaalsus ehk andmetele pääsevad ligi ainult isikud, kellele on ligipääs määratud.
- Terviklikkus, mis tähendab, et andmeid peab saama usaldada ja keegi ei tohiks saada neid pahatahtlikult muuta.
- Käideldavus ehk andmed peavad olema kättesaadavad siis, kui neid vaja on.
Kui kaks esimest teemat võibolla ei kõneta, siis kolmas teema ehk andmete kättesaadavus on tõenäoliselt tähtis igale ettevõttele. Olenemata sellest, kas teie andmed asuvad pilves või enda serveris, ründe korral on oluline need ruttu tagasi saada, pättidele maksmata.
IT korraldamine infoturbe raamistiku järgi toob lisaks turvalisusele kaasa töökindluse
Meetmeid, mida infoturbe parendamiseks rakendada, on tohutult palju. Seejuures pole, olenevalt ettevõtte suurusest, vajadustest ja andmete tundlikkusest, kõik tegevused alati mõistlikud. Kui ettevõte ei tea, millest infoturbe parendamisel alustada, on hea mõte tugineda mõnele infoturbe raamistikule.
Infoturbe juhtimise raamistikke on maailmas mitmeid (ISO 27001, NIST), kuid nii mõnegi puhul on miinuseks asjaolu, et need on mõeldud väga suurtele ettevõtetele, juurutamine on aeganõudev ning nõuab täiskohaga inimesi sellega tegelema. Kui ettevõttel sellist ressurssi ei ole, siis on heaks alternatiiviks CIS Controls infoturbe raamistik.
CIS Controls infoturbe raamistik teeb lihtsasti arusaadavaks, milliseid meetmeid rakendada, et võimalikult kiirelt saavutada maksimaalne kaitse tänapäeva küberohtude vastu.
CISi eelis on, et see sobib ka väiksematele ettevõtetele. Sellega on lihtne alustada ja aru saada, kui kaugel parasjagu ollakse, mida oleks vaja ära teha ning millises järjekorras on mõistlik liikuda. Raamistik koosneb kergesti järgitavatest kaitsemeetmetest, mis on jagatud kolmeks osaks:
Grupp 1: Küberturbe baashügieen, mille meetmeid võiks rakendada kõik ettevõtted
Grupp 2: Kaitsemeetmed keerukamale organisatsioonile
Grupp 3: Kaitsemeetmed kõrgendatud turvanõuetega organisatsioonile
CIS infoturbe raamistik annab samm-sammult praktilisi juhiseid IT turvaliseks korraldamiseks. Raamistik koosneb parimatest tavadest, mille on välja valinud ja heaks kiitnud mittetulundusühing Center for Internet Security (CIS) kogukond, kuhu kuuluvad IT-spetsialistid kogu maailmast.
Samuti on loodud kaardistused, mis kõrvutavad CIS kaitsemeetmed teiste infoturbe standardite ja raamistikega, näiteks ISO 27001 või NIST. Seega on CIS heaks baasiks, kui ettevõte peaks kunagi tulevikus soovima ISO sertifikaati taotleda.
CISi juurutamise kaasmõju on, et lisaks turvalisusele muutub paremaks ka andmete kättesaadavus ehk käideldavus, sest korrastatud IT-süsteemid on töökindlamad. Samuti vähendavad läbimõeldud protsessid igasuguseid seisakuid, sest kui kõik sammud ettevõttes tehakse planeeritult, väljatöötatud protsessi järgides, minimeeritakse ka rikete võimalusi.
Olen olnud pikalt seotud tootmisettevõtete IT juhtimisega ning näinud, et aina enam nõutakse ka välismaiste partnerite poolt teatud turbeprotsesside olemasolu, mis näitaksid kohaliku tootja IT turvalisust ja võimekust. Äri lihtsalt ei alustata enne, kui puudused on parandatud. Selliste puuduste likvideerimine võtab omajagu aega ja ka raha. Kui oled aga kogu oma IT korraldanud mõne tuntud raamistiku järgi, tõstab see automaatselt usaldust sinu ja su äri vastu, kontrollide läbimine on lihtsam ning tellimus jõuab kiiremini sinuni.
Küberturvalisuse saavutamine on teekond, mitte ühekordne tegevus
Tänapäeva ohtudele vastupidava infoturbe taseme saavutamine nõuab asjatundlikku juhtimist. BRS Networks Balticu oskuslik meeskond pakub ettevõtte infoturbe olukorra hindamist, arenduskava koostamist ning soovi korral ka arenduskava juurutamist ja juhtkonna edasist nõustamist. Oma töös lähtutakse infoturbe kõigist olulistest tahkudest – käideldavus, terviklikkus ja konfidentsiaalsus (CIA kolmik). CIS SecureSuite liikmena on ettevõttel võimalus kasutada tööriistu, mis CIS infoturbe raamistiku juurutamise sujuvamaks ja kiiremaks muudavad.
Soovid IT küsimustes meelerahu?
Artikkel on algselt avaldatud keskkonnas Tööstusuudised.ee.
