küberturvalisus
22.04 2021

Kas sinu ettevõtte küberturvalisus on ikka tasemel ja riskid maandatud?

Sageli võib ettevõtte või organisatsiooni juhile tunduda, nagu oleks asutuse küberturvalisusega kõik nii nagu vaja. Paraku tuleb sageli halva üllatusena, et olukorda hinnatakse ekslikult paremaks, kui see tegelikult on.

Et tänapäeval viiakse internetis erinevaid toiminguid läbi pea kõikides valdkondades ja ettevõtetes, tõuseb aina olulisemaks küsimus, kas kõik andmed on ikka võõraste silmade eest turvaliselt kaitstud.

Infoturbe küpsustaseme hindamine aitab näha suuremat pilti

Siinkohal tuleb appi infoturbe küpsustaseme hindamine (ingl k Cyber Maturity Assessment ehk CMA), mis aitab aru saada, millised võiksid ettevõtte infoturbega seotud puudujäägid olla ning mida turvalisuse tagamiseks paremini teha.

KPMG küberturvalisuse eksperdi Igmar Ilvese sõnul ei mängi infoturbe küpsustaseme määramisel rolli, kas tegemist on väiksema ettevõtte või suure organisatsiooniga.

“Sageli kiputakse arvama, et kui majas on vähemalt üks IT-spetsialist olemas, ongi küberturvalisus tagatud. Tegelikult tuleb mõelda praegusest situatsioonist kaugemale ja küsida endalt, millised võivad olla tagajärjed, kui ettevõtte ainuke IT-spetsialist ei oma piisavalt teadmisi küberturvalisusest või mis juhtub siis, kui olulisi teadmisi omav IT-spetsialist otsustab ootamatult vahetada näiteks töökohta,” selgitas ta.

See aga ei tähenda, et lisaks olemasolevale IT-spetsialistile oleks vaja palgata teine. “Riskimaandavaid operatsioone on teisigi, näiteks oleks abi pidevalt uuendatavast dokumentatsioonist,” tõi Ilves välja. See tähendab, et informatsioon teatud paroolide või ettevõttele kuuluvate arvutite kohta võiks olla piisavalt detailne ja arusaadav.

Hetkeolukorra kaardistamine algab intervjuust kliendiga

Selleks, et oma ettevõtte või organisatsiooni infoturbe olukorda paremini hinnata, on KPMG Eesti tiim töötanud välja taskukohase võimaluse, mis annab ülevaate, millises seisus on konkreetse asutuse infovarade kaitsmise ja küberohtudele reageerimise võimekus.

Ilves rõhutas, et tegemist pole traditsioonilise IT-auditiga, vaid väga laiale spektrile keskenduva teenusega, mis põhineb kliendil ja temalt kogutud informatsioonil. Nimelt tehakse asutuse töötajatega vastavasisuline intervjuu, mille käigus esitatakse küsimusi ettevõtte praeguste kaitsemeetmete kohta.

Ilves rõhutas, et kõige olulisem on küsimustele vastata võimalikult ausalt ja rääkida asjadest täpselt nii, nagu need on, kuna see aitab infoturbe hetkeolukorrast selgema ja konkreetsema pildi luua – seda enam, et tõestusmaterjali toimingute või vastuste kohta ei küsita.

Planeeri, kaitse ja enneta

Hindamise võtmetegevuseks on niisiis kliendiga läbiviidav intervjuu, mis kestab reeglina 1,5–2 tundi ning jaguneb neljaks alamteemaks.

Esimese teemana võetakse luubi alla planeerimine, mille käigus küsitakse asutuse info- ja küberturbe tegevuste planeerimise, turvateadlikkuse tõstmise ning juhtkonna ja teiste võtmeisikute vastutuse kohta.

Järgmisena uuritakse kaitsmise ja ennetamisega seotud konkreetsete meetmete kohta ettevõtte olulisemate varade kaitsmisel.

Küsimused avastamise ja reageerimise kohta selgitavad välja, kas ja milliseid meetmeid kasutatakse asutuses küberrünnakute ja muude ohtude avastamisel.

Taastamise osas uuritakse, millised on kasutuselolevad meetmed ettevõtte tegevuse taastamiseks pärast potentsiaalset küberrünnakut või muud etteplaneerimata negatiivse loomuga sündmust.

Hinnang võimaldab järeldusi teha

Igmar Ilves rõhutas, et kõik intervjuu käigus esitatud küsimused põhinevad rahvusvahelistel standarditel ja valdkonna parimatel praktikatel, mille tulemusel kujuneb eraldi hinnang iga alamteema kohta ning seejärel ka lõplik koondhinne.

“Ilma konkreetseid ettevõtteid ja nimesid nimetamata anname kliendile lisaks ka aimu, kuhu tema ettevõte Eesti kontekstis paigutub,” lisas Ilves.

Eksperdi sõnul läheb hindamisel paremini nendel ettevõtetel, kes viivad regulaarselt läbi IT-auditeid ja turvatestimisi ning on teatud standardeid ja infoturbe raamistikke juba varasemalt juurutanud.

“Üldiselt arvavad ettevõtjad, et nende seis on parem, kui see tegelikult on. Inforbe küpsustaseme hindamise tulemused kinnitavad aga sageli vastupidist,” sõnas Ilves.

Probleemid on suuresti sarnased

Peamiste probleemidena, miks ettevõtjate infoturvalisusehinne on tihti arvatust madalam, tõi Ilves välja kindlate kaitsemeetmete vähesuse ning riskipõhise lähenemise ja regulaarsete IT-auditite puudumise.

“Sageli puudub ettevõttel ka lihtne ja arusaadav ülevaade infovaradest ehk klassikaline dokumentatsioon, mis sisaldab sageli ka vananenud andmeid,” tõdes ta.

“Kui mõni võtmeisik peaks töölt lahkuma ning asemele tuleb uus, tekib sageli küsimusi, kus teatud info täpsemalt asub. Seda probleemi annaks ettevõttesiseste reeglite ning ajakohase dokumentatsiooniga vältida,” lisas Ilves.

Võetakse arvesse ka erisusi

Et tihti saavad probleemid alguse infoturbe nõrgimast lülist ehk inimesest, tuleks intervjuule kaasata kõiki teemadega igapäevaselt kursisolevaid töötajaid. Selle kindlustamiseks saadetakse hindaja poolt esitatavad küsimused ettevõttele juba enne intervjuu toimumist.

Infoturbe küpsustaseme hindamise puhul antakse aru, et iga ettevõte ja organisatsioon on erinev – viimast võetakse arvesse ka hinnangu andmisel.

“Eesmärk on olukord realistlikult ära kaardistada, et mõista, kus võiks ettevõte paremini käituda ning mis on praegused suurimad riskid,” tõi küberturvalisuse ekspert välja.

Hindamise järel presenteeritakse ettevõtte esindajatele analüüsitud tulemusi ning koostatakse raport, kus on lisaks hinnangule välja toodud ka tegevuskava, mida praeguse olukorra parendamiseks teha.

“Oluline on mõista, et tegemist pole süvaanalüüsi ega IT-auditiga, vaid üldise ja laiahaardelise hinnanguga, mis sõltub suuresti kliendilt saadud vastustest,” rõhutas Ilves.

Seega on inimene küll infoturbe nõrgim lüli, aga ka suurim väärtus, kuna temalt saadud informatsioon on infoturvalisega seotud riskide maandamiseks hädavajalik.


Igmar Ilves
Senior Cyber Security Advisor
KPMG Baltics OÜ

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetust on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaudu ..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Küberrünnakute sagenemine on pannud tegutsema ka Euroopa Keskpanga

Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fin..

küberrünnak

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: