infoturve
26.09 2021

Infoturbe küpsustaseme hindamine aitab näha suuremat pilti

Kas sinu ettevõtte küberturvalisus on ikka tasemel ja riskid maandatud? Sageli võib juhile tunduda, nagu oleks asutuse küberturvalisusega kõik nii nagu vaja. Ent kahjuks hinnatakse olukorda ekslikult paremaks, kui see tegelikult on. Foorum käis sel teemal rääkimas KPMG küberturvalisuse eksperdi Igmar Ilvesega.

Tänapäeval tehakse enamik toiminguid interneti kaudu ja seega on aina olulisem vaadata, kas andmed on ikka võõraste silmade eest turvaliselt kaitstud. Siin tuleb appi infoturbe küpsustaseme hindamine (cyber maturity assessment ehk CMA), mis aitab aru saada, millised võiksid olla puudujäägid ning mida turvalisuse tagamiseks paremini teha.

KPMG küberturvalisuse eksperdi Igmar Ilvese sõnul ei mängi infoturbe küpsustaseme määramisel rolli, kas tegemist on väikse või suure organisatsiooniga. „Sageli kiputakse arvama, et kui majas on vähemalt üks IT-spetsialist, siis ongi küberturvalisus tagatud. Tegelikult tuleb mõelda kaugemale ja küsida endalt, millised võivad olla tagajärjed, kui sellel ainukesel IT-spetsialistil ei ole küllaldaselt teadmisi küberturvalisusest, või mis juhtub, kui tal on küll kõik teadmised olemas, aga ta otsustab ootamatult töökohta vahetada,” ütleb Ilves.

See ei tähenda aga, et tuleks kindlasti veel üks IT-spetsialist palgata. Ilvese sõnul on riski maandavaid operatsioone teisigi, näiteks on abi pidevalt uuendatavast dokumentatsioonist, nii et info teatud paroolide või ettevõttele kuuluvate arvutite kohta on piisavalt detailne ja arusaadav.

Hetkeolukorra kaardistamine algab intervjuust kliendiga

Selleks et oma ettevõtte või organisatsiooni infoturbe olukorda paremini hinnata, on KPMG Eesti küberturvalisuse meeskond välja töötanud taskukohase võimaluse, mis annab ülevaate, milline on infovarade kaitsmise ja küberohtudele reageerimise võimekus.

Tegemist pole traditsioonilise IT-auditiga, vaid väga laiale spektrile keskenduva teenusega, mis põhineb kliendil ja temalt kogutud infol. Töötajatega tehakse nimelt intervjuu, mille käigus esitatakse küsimusi ettevõtte praeguste kaitsemeetmete kohta.

Ilves rõhutab, et kõige olulisem on vastata võimalikult ausalt ja rääkida asjadest täpselt nii, nagu need on, kuna see aitab luua infoturbe hetkeolukorrast selgema ja konkreetsema pildi. Tõestusmaterjali toimingute või vastuste kohta ei küsita.

Planeeri, kaitse ja enneta

Hindamise võtmetegevuseks on niisiis intervjuu kliendiga, mis kestab reeglina 1,5–2 tundi ning jaguneb neljaks alamteemaks.

Esimene on planeerimine, mille käigus küsitakse asutuse info- ja küberturbe tegevuste planeerimise, turvateadlikkuse tõstmise ning juhtkonna ja teiste võtmeisikute vastutuse kohta.

Järgmisena uuritakse kaitsmise ja ennetamisega seotud konkreetsete meetmete kohta ettevõtte olulisemate varade kaitsmisel.

Küsimused avastamise ja reageerimise kohta selgitavad välja, kas ja milliseid meetmeid kasutatakse küberrünnakute ja muude ohtude avastamisel.

Taastamise osas uuritakse, millised on meetmed ettevõtte tegevuse taastamiseks pärast potentsiaalset küberrünnakut vms.

Hinnang võimaldab järeldusi teha

Kõik intervjuu käigus esitatud küsimused põhinevad rahvusvahelistel standarditel ja valdkonnas kasutatud meetoditel ning selle tulemusel kujunevad välja eraldi hinnang iga alamteema kohta ja ka lõplik koondhinne. „Ilma konkreetseid ettevõtteid ja nimesid nimetamata anname kliendile lisaks ka aimu, kuhu tema ettevõte Eesti kontekstis paigutub,” sõnab Ilves.

Eksperdi sõnul läheb hindamisel paremini nendel ettevõtetel, kes viivad järjepidevalt läbi IT-auditit ja turvatestimist ning on teatud standardeid ja infoturbe raamistikke juba varem juurutanud.

„Üldiselt arvavad ettevõtjad, et nende seis on parem, kui see tegelikult on. Inforbe küpsustaseme hindamise tulemused kinnitavad aga sageli vastupidist,” sõnas Ilves.

Võetakse arvesse ka erisusi

Tihti saavad probleemid alguse infoturbe nõrgimast lülist ehk inimesest, seega tuleks küsitlusse kaasata kõik teemadega igapäevaselt kursis olevad töötajad. Hindaja saadab küsimused ettevõttele juba enne intervjuu toimumist.

Infoturbe küpsustaseme hindamise puhul antakse aru, et iga ettevõte ja organisatsioon on erinev. „Eesmärk on olukord realistlikult ära kaardistada, et mõista, kus võiks midagi parandada ja millised on suurimad riskid,” selgitab küberturvalisuse ekspert.

Hindamise järel esitletakse ettevõtte esindajatele analüüsitud tulemusi ning koostatakse raport, kus on lisaks hinnangule välja toodud ka tegevuskava olukorra parendamiseks. „Oluline on mõista, et tegemist pole süvaanalüüsi ega IT-auditiga, vaid üldise ja laiahaardelise hinnanguga, mis sõltub suuresti kliendilt saadud vastustest,” rõhutab Ilves.

Seega on inimene küll infoturbe nõrgim lüli, aga samas väga väärtuslik, kuna temalt saadud info on turvalisega seotud riskide maandamiseks hädavajalik.

Mihkel Kukk

Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetus on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaud..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Küberrünnakute sagenemine on pannud tegutsema ka Euroopa Keskpanga

Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fina..

küberrünnak

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

Töötajate teadlikkuse analüüs

Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: