Laiapõhjaline infoturbe juhtimine: mis see on ja kuidas toimib?
Geopoliitiline kriis on laienenud ka majandusse ja infoturbesse, nii et järjest hoolikamalt tuleb töötajaid ja äriprotsesse kaitsta erinevate küberohtude eest. Selleks pole enam piisav multitalendist infoturbejuht, vaid järjest enam räägitakse laiapõhjalisest infoturbe juhtimisest. Mida see tähendab ja kuidas seda rakendada, kirjutab infoturbejuht Janar Randväli.
Tänases julgeolekuolukorras ei suuda infoturbejuht enam ainuisikuliselt vastutada küberkaitse eest alates valdkonna visioonist ja koordineerimisest kuni konkreetsete meetmete ja iga turvaintsidendi tõrjumiseni rohujuuretasandil. Igaüks ettevõttes peaks saama aru, mis on tema panus ja vastutus infoturbe vallas, et IT toetaks äri ning selleks igapäevaselt liigutatav info oleks parimal võimalikul moel kaitstud. Laiapõhjalise infoturbe kontseptsiooni rakendamiseks tuleb kogu valdkond jagada tükkideks.
Strateegiliselt juhib infoturvet juhatus või tippjuhtkond, kes annab üldise suuna ja tellimuse keskastmejuhtidele, kuidas kaitstult äri ajada ning klientidele turvaliselt tooteid või teenuseid pakkuda. Samas tagab juhtkond ka eelarve oma visiooni elluviimiseks.
Infoturbe töögrupp on laiapõhjalise kontseptsiooni süda
Operatiivtasandi juhtimiseks moodustatakse infoturbejuhi eestvedamisel töögrupp, kuhu kuuluvad osakondade juhid ning erinevate IT-süsteemide omanikud. Infoturbe töögrupis toovad osapooled välja, mis on igas valdkonnas vaja teha juhtkonna visiooni elluviimiseks. Keegi ei tea ju IT-süsteemi omanikust paremini, mis infot see täpselt hõlmab, kes seda kasutavad, milliste protsessidega on see seotud ning milliseid on turbemeetmed. Kõik need detailid jõuavad infoturbejuhi töölauale, kes hindab, kas rakendatavad meetmed on riskide maandamiseks piisavad ning esitab selles osas ettepanekud juhtkonnale. Nii pannakse infoturve toimima sarnaselt kogu IT valdkonnaga, kus otsustatakse ühiselt, kuidas IT hakkab äri toetama ja milliseid IT-investeeringuid on selleks vaja teha.
Infoturbejuhi tööks on korraldada info jõudmine taktikalisele tasandile ehk see, et iga töötaja teaks, kuidas tuleb käituda erinevate küberriskide maandamiseks. Lisaks otsesele kommunikatsioonile on siin meetmeteks turvaalase teadlikkuse hindamine uuringute ja simuleeritud õngitsusrünnetega, infoturbe koolitused vähemalt kord aastas, infoturbealaste juhendite koostamine jms.
Turvaintsidentide analüüs töögrupi lauale
Infoturbe töögrupi kooskäimise sagedus sõltub igast ettevõttest, kuid kindlasti on kord aastas liiga harva selleks, et hoida info eri osapoolte vahel sünkroonis ning arendustegevused liikumas. Optimaalne on kord kvartalis või 1-2 korda kuus, aga on ka ettevõtteid, kus tehakse kiireid infoturbekoosolekuid iga tööpäeva hommikul. See võib olla vajalik siis, kui on palju ärikriitilisi teenuseid, millega on seotud kõrged turvariskid. Turvaintsidendid tuleb kindlasti tuua infoturbe töögruppi: mis juhtus, mis läks hästi ja mis valesti ning mida teha taoliste juhtumite vältimiseks edaspidi. Nii on tagatud, et osakonnajuhid viivad töögrupi otsused meetmete rakendamiseks selleks vajalike inimesteni.
Tänapäeval on iganenud arusaam, et infoturbejuht teeb ettevõttes ära kogu infoturbetöö. Lihtsalt raske on leida inimest, kel oleks suur pilt valdkonnast, kuid kes samas teaks turbemeetmeid iga detailini ning kõikide süsteemide seadistamist viimase biti ja baidini. Näiteks korrapärast riskianalüüsi ei saa teha infoturbejuht üksinda, vaid ainult koos ettevõtte võtmeisikutega, kes teavad, kus väärtuslikku infot luuakse ja hoitakse, milleks seda kasutatakse ning millised on riskid. Loomulikult ei köida kedagi väljavaade toota uusi pabereid, kuid väärtuslik selle protsessi juures on see, et kogu valdkond saab terviklikult läbi mõeldud.
Teemadest peaksid lisaks infoturbe töögrupi laual olema:
- Dokumentatsiooni korrastamine ning seire – infoturbe põhimõtted ja toimimine turvaintsidentide korral peaks olema sissekorraeeskirjade või arvutikasutuse eeskirjade osa, millega kõik töötajad peavad kohustuslikus korras tutvuma. Kui reeglid on kirjas, tuleb aeg-ajalt kontrollida, kas protsessid ka reaalsuses toimivad, näiteks kas töötaja lahkumisel suletakse ligipääsud IT-süsteemidele, suunatakse ümber e-posti aadress jne.
- Korrapärane riskianalüüs – siin ei piisa ühest reast tavapärases tegevusriskide analüüsis, vaid vähemalt kord aastas tuleb terviklikult hinnata, milliseid äriprotsesse ja tegevusi võivad IKT-teenustega seotud riskid kahjustada. Analüüsi põhjal tuleb kindlasti teha IKT-riskide maandamise tegevuskava, mis paneb paika konkreetsed infoturbemeetmed.
- Haavatavuste haldus – kuna neid avastatakse igapäevaselt, pole süsteemide turvapaikamine kord kuus enam ammu piisav. Kui turvanõrkuse ärakasutamiseks on juba loodud pahavara ja selle kriitilisus 10-palli skaalal on 10, tuleks paikamine teha tundidega. See teeb ründe oluliselt keerukamaks ja kallimaks ning välistab automaatründe ohvriks sattumise. Seetõttu tuleks läbi mõelda, kuidas toimub paikamine ja kas seda teeb ettevõte ise või IT-partner. Arvestada tuleb seda, et tavapärane kuutasuline IT-haldusteenus ei hõlma tavaliselt haavatavuste haldust.
- IT-seadmete ja -süsteemide kaitse – sõltumata sellest, kas kasutatakse pilveteenuseid või kohapealseid füüsilisi servereid (on-premise), tuleb tegelda pahavaratõrjega. Mõlemal juhul vajavad kaitset nii arvutitöökohad kui ka serverid, lihtsalt meetodid on erinevad. Sama oluline on see, et keskse turvatarkvara ja tulemüüri monitooringuraportitega ka midagi pihta hakatakse. Kui selleks napib ettevõttes kompetentsi, tuleks eelistada kaasaegseid lahendusi, kus turvatarkvaraga kaasneb ka 24/7 monitooringuteenus. Sel juhul hoiab partneri turvatiim tulemüüri ja pahavarakaitse teavitustel silma peal ning reageerib igal hetkel ise intsidentidele.
- Kasutajaõiguste kaitse ja halduse korraldamine – kuna täna rünnatakse pigem kasutajat kui välist tulemüüri (perimeetrit), on mitmeastmelisest autentimisest (MFA/2FA) saanud praktiliselt kohustuslik meede. Enamasti jääb selle kasutamise korral rünne katki pärast seda, kui inimese kasutajanimi ja parool on välja petetud. Lisaks kasutajakonto kaitsemeetmetele tuleks kirjeldada kasutajaõiguste haldus: kes kontosid loob, õigusi ajakohastab ning vajadusel ka ära võtab, kui inimese tööülesanded muutuvad või ta üldse ettevõttest lahkub. Laialdaste administraatoriõiguste andmisel peaks olema kooskõlastaja või isegi mitu, lähtumaks põhimõttest, et õigusi tuleb anda minimaalsel vajalikul hulgal. Kui kehva praktikana on kasutusel jagatud paroolid, tuleb kõik need kohe muuta, kui üks parooli kasutaja töölt lahkub.
- Kaugtöö riskide maandamine – kuigi paindlik kodutöövõimalus on tööturul populaarne, toob see kaasa uusi turvariske, sest tundlikku äriinfot ei kasutata enam ainult kontoris tulemüüri ning muude kaitsemeetmete taga. Seetõttu peaksid kaugtöö ja isiklike nutiseadmete kasutamisega kaasnema tehnilised infoturbelahendused, lihtsasti sõnastatud turvalise kaugtöö reeglid ning võimalus IT-tuge saada ka kontorist väljaspool.
Lõppemas on ajad, kus infoturbejuhi rolliks oli olla mees või naine nagu orkester. Infoturbejuhist on täna palju rohkem kasu siis, kui ta laiapõhjalise infoturbe eestvedajana koordineerib erinevate IT-süsteemide omanike tööd selle asemel, et multitalendina püüda ise iga tulekahju kustutada.
Kui sul tekkis küsimusi, siis kirjuta meile:
Janar Randväli
[email protected]
Loe lisaks:
Digitaliseerimise tööriistakast muudab tarkvaraarendused oluliselt kiiremaks
Kaasaegsed andmesalvestuslahendused suudavad pakkuda varasemaga võrreldes üle 40-kordset elektrisäästu