Infoturbejuht (ingl k Chief Information Security Officer ehk CISO) on ettevõttes isik, kes vastutab ettevõtte jaoks oluliste andmete turvalisuse eest. Lisaks IT-põhisele turvalisusele peab infoturbejuht tagama ettevõtte varade füüsilise kaitstuse (piirdeaedade rajamisest kuni tähtsate paberkandjal dokumentide turvalise hoiustamiseni), kaardistama infoturbealased riskid, mis võivad olulisel määral mõjutada ettevõtte põhitegevusi, ning looma süsteemse lähenemise infoturbe tagamiseks organisatsioonis läbi vastavate poliitikate ja protsesside. Seega ei piirdu infoturbejuhi ülesanded pelgalt IT-ga, vaid infoturbejuht vastutab kogu ettevõtte kaitstuse eest, mistahes ohtude vaates.
Infoturbe temaatika puudutab igas suuruses ettevõtteid ning haarab enda alla palju enamat kui vaid IT turvalisusega seotud aspekte. “Infoturbejuht on ekspert, kes järjepidevalt kaardistab võimalikud ohud – nii tehnoloogilised kui ka organisatsioonilise olemusega ohud, mis võiksid ettevõtte tegevusi negatiivselt mõjutada, ning planeerib ohtudele vastavad kaitsemeetmed. Infoturbejuhi tööd iseloomustab väga hästi lause: parem karta kui kahetseda,” sõnas KPMG küberturvalisuse ekspert Igmar Ilves.
Infoturbejuhi eestvedamisel ning ettevõtte juhatuse otsusega kinnitatakse majasisesed infoturbereeglid. Lisaks tehnilistele (IT-spetsiifilistele) suunistele tuleks mainitud reeglites määrata näiteks ka nõuded, mis sätestavad, kuidas ettevõtte töötajad peaksid kaitsma ettevõtte informatsiooni, viibides väljaspool ettevõtte territooriumi, või millised on reeglid ettevõtte territooriumi külastajatele. Infoturbereegleid tuleb infoturbejuhil järjepidevalt uuendada ning hoida adekvaatsena, kuna tehnoloogia ning selle läbi ka võimalike kurjategijate meetodid on pidevas muutumises.
“Üsna tavaline arvamus paljude ettevõtete seas on see, et infoturve on midagi, mille peale tuleb meeletult raha kulutada, kuigi tõenäosus, et midagi juhtub, on madal. Seega jäävad turvalisusele pööratud tähelepanu ja väljastatud ressursid pigem minimaalseks. Jah, nii mõnigi ettevõte võib pikemalt tegutseda nii, et turvalisuse seisukohast midagi ei juhtu. Eks see rünnaku alla sattumine ole veidi “õnnemäng”. Kuid me oleme näinud küll ja veel neid intsidente, kus mõne tuntud ettevõtte maine saab kahjustada küberrünnaku või infrastruktuuri füüsilise rünnaku tagajärjel. Muuseas, ei tohiks piirata arusaama infoturbe intsidentidest ainult väliste ohtudega, sest võib vabalt juhtuda ka see, et mõni ettevõtte enda töötaja avaldab tahtlikult või tahtmata ettevõtte tundlikke andmeid kolmandatele osapooltele – näiteks sotsiaalmeedia kaudu. Seega tuleks ikkagi teadvustada, et infoturve on reaalne ja oluline aspekt, mis võib mõjutada ettevõtte äri jätkusuutlikkust ning vastavate ohtude peale peaks iga suurusega ettevõte mõtlema. Vastasel juhul tuleb arvestada võimaliku klientide usalduse kaotusega, vähendatud kasumiga ja mainekahjuga,” nentis Igmar Ilves.
“Muuseas, me oleme näinud ka seda, et tihtipeale pole rünnaku alla sattunud ettevõtetes loodud eraldiseisvat infoturbejuhi ametikohta või rolli,” mainis Ilves. Ettevõtetes, kus infoturbejuhi ametikoht või seda rolli täitev isik on olemas, on reeglina olukord parem. Kuid Ilvese sõnul kipuvad paljud sellised ettevõtted tegema olukorda tihtilugu halvemaks sellega, et infoturbejuht pannakse tööle IT-juhi alluvusse.
“Arvestades seda, kui suur osakaal on tänapäeval IT-lahendustel ettevõtte erinevates protsessides, siis ajalooliselt on arusaadav, miks on selliseid otsuseid (infoturbejuht IT-juhi alluvuses) tehtud. Selliselt on aga suur tõenäosus, et tekkida võivad vastuolulised olukorrad. Esimene aspekt on see, et infoturve peab hõlmama kogu ettevõtte teabe kaitset ning ei piirdu ainult IT-ga. Ehk infoturbejuhi ülesanne on kogu äri kaitse, mitte pelgalt IT-ga seotud seadmete ja andmete kaitse. Seega on infoturbejuhi valdkonnapõhine pädevus hoopis laiem kui IT-juhil. Teine aspekt on see, et olles IT-juhi alluvuses, tekivad raskused infoturbe tarbeks ressursside eraldamisega – IT-juhi fookus ja prioriteedid ei pruugi kattuda infoturbejuhi fookuse ning prioriteetidega. Kolmas aspekt on see, et IT-juhi vastutada on see, et infosüsteemid oleksid seadistatud vastavalt turvalisuse parimatele praktikatele – ent infoturbejuht on see isik, kes peaks neid süsteeme turvalisuse seisukohast kontrollima. Kolmanda aspekti puhul on näha selget konfliktset olukorda, kus on väga võimalik, et infoturbejuht peaks IT-juhile – ehk oma ülemusele – tegema ettekirjutusi. Nii mõnigi infoturbejuht ei pruugi sellises olukorras julgeda probleemidele viidata. Muidugi on iga ettevõte erinev ning rollide ja alluvussuhete loomisel tuleks arvestada eeskätt ettevõtte omapäradega. Sellegipoolest näen, et enamikele ettevõtetele tuleks kasuks struktuur, kus infoturbejuht allub otse kõrgemale juhile. Olukord, kus infoturbejuhi rolli täidab aga IT-juht ise on veelgi problemaatilisem, sest elu näitab, et IT-juhil pole tegelikult aega adekvaatselt infoturbejuhi ülesannetega tegeleda ning vajalikust kompetentsist jääb tihti ka vajaka.”
Turvalisuse teemadega tuleb tegeleda targalt ja ressursisäästlikult
Igmar Ilvese hinnangul ei ole enamikel väiksematel ja ka paljudel keskmistel ettevõtetel tõenäoliselt otstarbekas endale infoturbejuhti täiskohaga palgata, ent ka antud ettevõtete kontekstis on suur osa infoturbejuhi valdkonda jäävatest ülesannetest siiski äärmiselt olulised ning ühel või teisel moel tuleks nendega tegeleda. Alustuseks saab iga ettevõte – olenemata selle suurusest – mõningaid tegevusi kindlasti teostada iseseisvalt ning ilma et tuleks kedagi juurde värvata. Näiteks on võimalik viia ettevõtte sees lihtsustatud kujul läbi infoturbealane ohuanalüüs, mille raames ettevõtte võtmeisikud teostavad vabas vormis ajurünnaku ning selgitavad välja ettevõtet kõige tõenäolisemalt ja kõige suuremate tagajärgedega mõjutavad stsenaariumid. Internetis on palju asjakohast infot võimalike ohtude kohta kerge leida ning seda täiesti tasuta. Seejärel saab ettevõte vähemalt mingisugustki aimu, mis ohud nende äri võiksid mõjutada ning milliste turvameetmete rakendamise peale tasuks mõelda. “Loomulikult võib vastavat pädevust mitte omav ettevõte hinnata olukorda sellise riskianalüüsi käigus ebakvaliteetselt, kuid sellegipoolest on selline analüüs parem kui mitte midagi,” nentis Ilves.
“Nii mõneski organisatsioonis või firmas jagatakse infoturbejuhi kohustused erinevate isikute vahel ära, kuid elu näitab, et neil jääb oma põhitöö kõrvalt turvalisuse aspektiga tegelemiseks üsna vähe aega. Tulemuseks on jätkuvalt vilets infoturbealane olukord,” kirjeldas Ilves. Isegi kui firmas on olemas adekvaatne infoturbealane poliitika ja reeglistik (näiteks loodud mõne teise ettevõtte abil), siis infoturbejuhi puudumise tõttu pole pädevat ja vastava ajaressursiga isikut, kes kontrolliks ka kehtestatud reeglite täideviimist – ja kui vastavad kontrollimehhanismid puuduvad, siis reegleid sellisel juhul ei järgita või järgitakse lohakalt.
Infoturbejuht teenusena – mõistlik valik paljudele ettevõtetele
Kui ettevõttel oma infoturbejuhti pole, aga vajadus sellise eksperdi järgi on olemas (või oleks vaja olemasolevale infoturbejuhile abiväge), siis on alternatiivina värbamisele võimalik infoturbejuhti teenusena sisse osta.
“KPMG pakub oma klientidele infoturbejuhi teenust. Sisuliselt me täidame infoturbejuhi ametikohta kliendi ettevõttes. Töömahu osas on standardsed variandid veerand koormusest täiskoormuseni, kuid kõik on läbiräägitav vastavalt kliendi vajadustele. Me pakume tuge seni, kuni ettevõttel seda vaja on. Näiteks võib ettevõtte infoturbejuhi teenust vajada aasta aega – me täidame selle aja jooksul infoturbejuhi ülesandeid ning pärast saab ettevõte juba oma jõududega edasi liikuda,” rääkis Ilves, kelle sõnul räägib infoturbejuhi teenuse kasuks ka see, et infoturbejuhiks sobivaid ja kvaliteetseid kandidaate on äärmiselt keeruline leida.
“Infoturbejuhi teenuse puhul ei ole tarvis ettevõttel raisata ressursse värbamise, palga ja sotsiaalmaksude peale. Samuti ei ole tarvis teha kulutusi töötajate kompetentsi hoidmisele.”
Infoturbejuhi teenus pole seotud vaid ühe isikuga – KPMG pakub teenust, kaasates kogenud meeskonna, kes omab lisaks aastatepikkusele valdkonna kogemusele ka hulganisti rahvusvaheliselt tunnustatud erialasertifikaate. “Meie tugevuseks on meie inimesed. Kõik tiimiliikmed on läbinud keerulise värbamise protsessi, et me suudaks leida oma meeskonda parimatest parimad. Kindlasti on oluline ka märkida, et tiimiliikmed omavad erinevaid kogemusi ning see rikastab väärtust, mida saab meie klient. Tiimiliikmete seas on arvutivõrkude turvatestijaid, veebirakenduste turvatestijaid, pilveteenuste turvatestijaid, IT audiitoreid, analüütikuid, digitaalkriminalistika eksperte, endisi infoturbejuhte, süsteemiadministraatoreid, tarkvaraarendajaid jpm,” nentis Ilves. Seega infoturbejuht teenusena annab ettevõtte jaoks kindlasti suuremat väärtust võrreldes üheainsa eksperdi palkamisega.
“Tasemel infoturbejuhti, kes omaks suurepäraseid teadmisi nii organisatoorses kui ka tehnilises turvalisuses, on väga raske leida ja sellise eksperdi palgakulu on vähemalt 5000 eurot kuus. Tasub mõelda ka selle peale, et juba värbamisele kulub aega ja raha ning peale tööle võtmist tuleb infoturbejuhile maksta palka koos tööjõumaksudega ning hoida ka tema pädevust läbi kvaliteetsete infoturbe ja küberturvalisuse koolituste. Pikemas perspektiivis on inimese värbamine suure tõenäosusega pigem kulukam ning väiksema väärtusega kui näiteks KPMG poolt pakutav infoturbejuhi teenus,” sõnas Ilves.