Milleks juhile infoturve?

Sõnad infoturve ja infotehnoloogia kõlavad sedavõrd sarnaselt, et paljud inimesed peavad neid vaat et sünonüümideks. Seda mõtteviisi toetab ka tänapäeva praktika, kus sisuliselt kogu informatsioon on ligipääsetav arvutite vahendusel.

Kõige selle taustal tundub üsna loogiline, et infoturbe projekti peaks ettevõttes vedama just IT osakond ning juhtkond või piirduda „kuidas teil läheb“ tüüpi küsimustega.

Kui lahti lüüa mõni infoturvet käsitlev raamat, siis torkab sealt silma kolm põhilist teemat, millega infoturve tegeleb – need on: käideldavus, terviklus ja konfidentsiaalsus.

Käideldavus näitab kui kiiresti peab olema informatsioon kättesaadav ehk teisisõnu kui pikad võivad olla katkestused süsteemi töös.
Terviklus näitab andmete usaldusväärsust ehk kuidas on tagatud andmete säilimine esialgsel kujul ning kes pääseb neid muutma.
Konfidentsiaalsus on andmete salastatus ehk kellel on lubatud andmeid kasutada.

Vaadates neid kolme teemat on selge, et kui informatsioon asub arvutis, siis nende nõuete täitmisega peavad tegelema IT inimesed. Käideldavuse tagamiseks paigaldatakse serveritesse näiteks topelt kõvakettad või ostetakse tagavaraserver. Tervikluse tagamiseks soetatakse serverisse varundusseade, mis tagab varukoopia olemasolu kui serveriga peaks midagi juhtuma. Konfidentsiaalsuse tagamiseks kehtestatakse paroolide süsteem ning võetakse kasutusele erinevaid krüpteerimise lahendusi.

Kes teine oskakski selliseid nõudeid täita kui mitte IT osakond. Seejuures jääb tihtipeale kahe silma vahele väike pisiasi – kes kehtestab nõuded?

Lihtne loogika ütleb siin, et nõuded peaks kehtestama see, kellele neid andmeid kõige rohkem vaja on ehk andmete omanik. Andmete omanikuks on tavaliselt äripool, näiteks raamatupidamise süsteemi puhul on omanikuks raamatupidaja või ettevõtte juht. IT osakonna roll on siin ainult süsteemi töö tagamine. Siinkohal tekibki küsimus, kui adekvaatne on IT osakond informatsiooni olulisuse hindamisel ettevõtte jaoks ning kas nemad on ikka kõige õigemad infoturbe projekti vedama?

Oma  igapäevatöös ettevõtetes infoturbe ülevaatust või auditit tehes, kohtame pidevalt olukorda, kus initsiatiiv on jäetud IT osakonnale ning juhtkond üritab ennast infoturbe teemast distantseerida. Tulemuseks on sellisel puhul tavaliselt suuremat või väiksemat sorti korralagedus, kus mõned valdkonnad on sisuliselt katmata ning kogu tähelepanu on pööratud üksikutele tehnilistele lahendustele.

Nii luuaksegi näiteks kalli tulemüüri soetamisega endale petlik mulje turvalisest IT keskkonnast, samal ajal kui puudub ülevaade kellele ja milliseid õiguseid on infosüsteemidesse jagatud või kuidas on tagatud, et raamatupidamistarkvara versiooniuuendus juba sisestatud andmeid pea peale ei pööra ning raamatupidaja poole aasta töö sellega kaduma ei lähe.

Teine levinud veendumus, eriti väiksemates ettevõtetes on, et kellele meie andmed ikka huvi pakuvad või nagunii ei saa võõras inimene meie andmetest suurt kasu. Samas kuuleme pidevalt lugusid sellest, kuidas müügimehe lahkumisel konkurendi juurde kipuvad ka kliendid temaga kaasa minema. Loomulikult ei ole selliseid olukordi võimalik täielikult vältida, küll on võimalik seda olulisele määral piirata ning info kopeerimise katseid tuvastada.

Huvitava tendentsina võib siin välja tuua, et Eestis on riigiasutused infoturbe mõttes isegi paremas seisus, sest neile on seadusega kohustuseks pandud infosüsteemide kolmeastmelise etalonturbe  süsteemi (ISKE) rakendamine. Kui ISKEst või mõnest muust metoodikast eraettevõtjaile rääkida, on tavaliseks vastuseks, et see süsteem on liiga suur ja selle juurutamine liiga kallis. Kahtlemata on siin oma tõetera sees, kuid alati on võimalik metoodikat oma vajadustele ja võimalustele kohandada. Eelkõige on oluline riskide teadvustamine ning süsteemne lähenemine nende maandamiseks.

Infoturve ei ole valdava enamuse ettevõtete jaoks põhitegevus või eesmärk omaette ning seetõttu napib sageli teadmist, kuidas neid teemasid käsitleda. Kuna tegemist on üsnagi tundliku teemaga, puudub enamasti ka teiste ettevõtetega vahetu võrdluse võimalus. Nii üritatakse omade jõudude ja paarist raamatust saadud tarkusega hakkama saada. Samas jäävad hoogtöö vormis koostatud dokumentatsioon ja protsessid tihtipeale deklaratiivseks ning praktikas käitutakse ikka vanade harjumuste põhjal edasi.

Selliste olukordade vältimiseks võib ajaliselt efektiivsem ja seeläbi ka odavam olla juurutusprotsessis välise konsultandi kaasamine, kes omab ülevaadet erinevatest metoodikatest ning oskab varasemate kogemuste põhjal sobivad rõhuasetused teha. Väline osapool võiks olla kaasatud ka infoturbe korralisele ülevaatusele sarnaselt finantsauditiga. Sageli tehaksegi finantsauditiga paralleelselt baas infoturbeaudit.

Kokkuvõttes võib öelda, et infoturve algab eelkõige juhtkonnast, ettevõttes töötavatest inimestest, nende töökorraldusest ja kehtestatud reeglitest ning alles seejärel tuleb IT koos tehniliste lahendustega. Samuti hõlbustab elementaarse infoturbe kontseptsiooni paika panek organisatsiooni töö korraldamist ja uute süsteemide valimist ning juurutamist juba küllaltki väikestes ettevõtetes.

Artikli autor on Riivo Lepp, Ernst&Young Baltic ASi ärikonsultatsioonide osakonna vanemkonsultant

Osale arutelus

  • Lemmi Kann, Ettevõtlusblog Ernst & Young

Toetajad:

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Raamatupidajat sotsiaalmeedias

RSS
Palgakalkulaator
Maksuvabastus (kuu)
Maksuvabastus (aasta)

Toetajad:

Tarkvara

Lihtne äritarkvara juhile

BudgetMatador on juhi töölaud ettevõtte rahaasjade haldamiseks. Rakendus optimeerib juhi ning raamatupidaja vahelist koostööd ning annab juhile mõeldud ülevaate ettevõtte finantsolukorrast.

Paindlik NOOM pakub erilahendusi

Üks korralik majandustarkvara on kohaldatav Teie ettevõtte soovide ja vajadustega. Astro Balticsi loodud majandustarkvaraga NOOM saate kindlad olla, et tarkvara suudab kaasas käia kõikide erisoovidega, mis Teie ettevõtte arenedes võivad tekkida.

Valdkonna tööpakkumised

BALTIC CONNEXIONS OÜ otsib OSTUASSISTENT-RAAMATUPIDAJAT

Baltic Connexions OÜ

28. september 2018

TALOT otsib PEARAAMATUPIDAJAT

Talot AS

30. september 2018

RICKMAN TRADE OÜ otsib PEARAAMATUPIDAJAT

Rickman Trade OÜ

23. september 2018

Uudised

Tööriistad