Tänapäeval puudutab ja mõjutab küberturvalisus iga tehnoloogiaettevõtte tegevuse peaaegu kõiki tahke. Küberturvalisus ei ole enam valdkond, millega tegelevad ainult turva- ja IT-töötajad. Seepärast tuleb mõista, et küberturvalisuse eest ei vastuta enam üksnes IT-spetsialistid, vaid kogu ettevõte ühiselt. Infoturbejuht peab täitma mitut rolli ja suutma viia ettevõtte äristrateegia kooskõlla küberstrateegiaga. Seega on äärmisel tähtis, et küberturvalisus oleks lõimitud äriprotsessi. Infoturbejuhid peavad aitama ettevõtte juhtkonnal sellise ülemineku võimalikuks teha.
Juba enne COVIDit muutus järjest olulisemaks turulejõudmise kiirus, millega peab kaasas käima kõigi asjassepuutuvate riskide analüüs, ning koroonakriisiga on need vajadused veelgi teravamalt esile tõusnud. Praegu valitseb suur puudus võimekatest küberturbespetsialistidest. KPMG soovitab selle lünga täitmiseks otsida alternatiivseid lahendusi näiteks vabakutseliste kaasamise ja küberturvalisuse toimingute automatiseerimisega. Peale selle julgustatakse infoturbejuhte vaatama talendiotsingul laiemalt ringi ning kõrvaldama sisenemistõkked, et meelitada valdkonda suuremal arvul võimekaid töötajaid.
Küberturvalisuse maastikku on muutnud ka see, et jõudsalt kasvab pilveteenustele üle minevate organisatsioonide arv. Tavapärase küberturvalisuse tagamiseks vajalikud protsessid ja oskused ei tarvitse pilvekeskonnas enam sobida. KPMG aruandest ilmneb, et 90% organisatsioonidest võivad olla haavatavad pilveteenuse väärast konfigureerimisest tulenevate turvaohtude ees. Infoturbejuhid peavad aitama oma tiimil mõista konkreetselt pilvega seotud küberturvalisuse nõudeid ja kohandada küberkaitset pilveteenustega. Seejuures tuleks lähtuda reguleerivast raamistikust ja võtta arvesse seda, kuidas mõjutavad pilve turvalisust sellised õigusaktid nagu isikuandmete kaitse üldmäärus ja USA terviseandmete kaitse seadus HIPAA.
Ajal, kui miljonid töötajad on läinud üle kaugtööle ja inimesed ostavad oma telefoniga kaupu igast maailma nurgast, muutub äriprotsessides järjest tähtsamaks identiteedihaldus ja nn täisusaldamatuse (ingl zero trust) turvamudeli kasutamine. Täisusaldamatuse mudelit ei tuleks enam vaadelda tehnoloogiana või lisafunktsioonina, vaid pigem turvastandardina, mille kõik infoturbejuhid peaksid kasutusele võtma. Iga sellise mudeli keskseks komponendiks peab olema identiteedihaldus.
Automatiseerimine aitab sageli vabastada ressursse, mida võiks rakendada paremini kui monotoonsete ja korduvate ülesannete täitmiseks. See peab paika ka küberturvalisuse valdkonnas, kus selliseid toiminguid nagu nõrkuseotsing, logianalüüs ja vastavuskontroll tehakse automaatselt. Nii saavad võimekad infoturbespetsialistid keskenduda tõeliselt kriitilise tähtsusega olukordadele ning ei pea kulutama aega madalama tasandi ohtudele, mida saab hallata ka automatiseeritult. Infoturbejuhte innustatakse automatiseerimist täiel määral ära kasutama.
Praegu käsitatakse küberturvalisust ja privaatsust eri valdkondadena, mis tihti toimivad üksteisest lahus. Kuna teadlikkus isikuandmete kaitsest ja selle tähtsusest aga järjest kasvab, suureneb ka vajadus suhtuda privaatsusesse mitte kui eraldiseisvasse õigusharusse, vaid kui mitut valdkonda ühendavasse funktsiooni. Kui ettevõtted rakendavad oma tegevuses lõimprivaatsuse põhimõtet, peaksid andmekaitseküsimused olema küberturvalisuse süsteemidega tihedalt läbi põimunud.
Tänapäeval sõltuvad ettevõtted sageli tarneahelate usaldusväärsusest ja mitmest äripartnerist. Selliste sõltuvuste tulemusena on 79% küberturbe tiimidest mõistnud, et äripartneri ökosüsteemi ja tarneahela kaitsmine on sama oluline kui ettevõtte enda küberkaitsesüsteemide loomine. Seetõttu on kujunenud võrgustikud ettevõtetest, mis teevad koostööd ja vajavad piisavaid kontrollsüsteeme selleks, et kaitsta samal ajal nii enda kui ka partnerite andmeid. Vaja on luua tugev riskijuhtimise raamistik, millega saaks hallata nii organisatsioonisiseseid kui ka -väliseid küberohte. See nõuab infoturbejuhtidelt proaktiivset tegutsemist: automatiseerimise, pideva järelevalve ja täisusaldamatuse mudelite abil saavad nad aidata tagada turvalisust ka väljaspool ettevõtte piire.
KPMG aruandes kutsutakse infoturbejuhte üles algatama ettevõte tippjuhtkonnaga vestlusi teemal, kas ettevõte on küberründeks valmis. Küberründele vastupanuvõimeline ettevõte peab analüüsima kõiki ärilisi ja strateegilisi põhiprotsesse. Infoturbejuht peab muutma kübervastupidavusvõimet käsitleva vestluse formaati nii, et see peegeldaks kogu ettevõtte valmisolekut küberrünnete leevendamiseks ja suurimate riskide tuvastamiseks.
Loodetavasti on teile kui organisatsioonile või infoturbejuhile siin artiklis esitatud soovitustest kasu. Üksikasjalikuma ülevaate saamiseks tutvuge aruande täisversiooniga aadressil https://home.kpmg/xx/en/home/insights/2021/11/cyber-security-considerations-2022.html
Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332
Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..
Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaud..
IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..
Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..
Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..
Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fina..
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.