„Infoturvet ei tuleks vaadata IT-riskina, vaid eeskätt strateegilisel tasemel ärilise riskina,“ väidab KPMG küberturvalisuse ekspert Igmar Ilves. Seetõttu peab ettevõttes olema ka inimene, kes mõistab, kuidas infoturbe tagamine toetab ettevõtte põhilisi äritegevusi – selliseks inimeseks on asutuses reeglina infoturbejuht.
Infoturbejuhi põhiülesanne on Ilvese sõnul ettevõtte oluliste andmete kaitse tagamine vastavalt infoturbe parimatele praktikatele. „Kogemus näitab, et paljudes ettevõttetes pole põhiliseks probleemiks infoturbe tagamisel asjaolu, et puuduvad vastavad reeglid, vaid probleemiks on eelkõige vastavate teadmiste ja kogemusega eksperdi puudumine ettevõttes, kes suudaks hinnata olemasolevate reeglite vastavust infoturbe parimatele praktikatele ning ettevõtte vajadusele. Lisaks peaks selline ekspert olema võimeline ajakohastama olemasolevaid reegleid ning kontrollima ka reeglitest kinnipidamist. Kõik mõistavad, et infoturbe reeglid ei ole loodud niisama ajaviiteks – need on olemas selleks, et mustema stsenaariumi realiseerumisel oleks tagatud võimalik parim kaitse ettevõtte jaoks, mis omakorda aitab ära hoida finants- ning mainekahju,“ selgitab ta.
Millistele organisatsioonidele on vaja infoturbejuhti?
Kõik oleneb mõistagi ettevõttest, selle suurusest ning omapäradest. Igas ettevõttes on kindlasti vaja kedagi, kes infoturbe teemadega tegeleks, kasvõi baasvajaduste tasemel. Omaette küsimus on aga, kas konkreetset infoturbejuhi ametikohta on ettevõtte siseselt vaja või mitte.
Väiksematel ettevõtetel sellist ametikohta tõenäoliselt vaja ei ole ning neil pole ka reeglina ressursse vajaliku inimese värbamiseks ja tema kompetentsi üleval hoidmiseks. Sageli tegeleb ettevõtetes infoturbe valdkonna küsimustega IT-juht. Selline lähenemisviis võib töötada, kuid selle võimalikest riskidest peavad ettevõtted olema teadlikud. Esiteks, infoturve ei piirdu ainult IT-teemadega – infoturbe alla lähevad ka muud teemad nagu füüsiline julgeolek, operatsiooniturve (ingl k operational security), personalijulgeolek jpm. Teiseks, üsna tihti pole IT-juhil aega infoturbe teemaga süvitsi tegelemiseks, kuna IT-juhtimise tegevused (nt IT-arendus ja IT-haldus) on üsna ressursimahukad. Lisaks on infoturve ning täpsemalt küberturvalisus niivõrd spetsiifiline teema, et IT-juhil võib olla vajalike teadmiste osas puudujääke.
Keskmisest suuremates ning päris suurtes ettevõtetes on infoturbejuhi ametikoht suure tõenäosusega väga vajalik. Esimene vajadus selle ametikoha järgi tekib puhtalt organisatsiooni suurusest: ettevõttel on palju asukohti, palju kliente, hulganisti erinevaid andmeid, IT-lahendused ei piirdu mõne üksiku süsteemiga jms. Sellisel juhul ei piisa enam, et infoturbejuhi roll on kellegi käes, kes tegeleb sellega osaliselt, muude kohustuste kõrvalt – risk, et olulised turvanõrkused jäävad õigeaegselt avastamata, on liiga suur.
Mida saab organisatsioon või ettevõte teha juba täna, et hinnata enda infoturbealast olukorda?
Olenemata sellest, kas ettevõttel on täna olemas infoturbejuht (või sarnaste teadmistega ekspert), siis juba praeguste jõududega ning avalikest allikatest leitava (tihtipeale isegi tasuta) informatsiooni põhjal saab ettevõte iseseisvalt teha väikseid, kuid olulisi samme oma ettevõtte infoturbealase olukorra kaardistamiseks ning tugevdamiseks.
Näiteks saaks iga ettevõte juba täna teha vastava infoturbealase hetkeolukorra kaardistamise harjutuse, mille raames kutsutakse kõik ettevõtte võtmeisikud kokku ning kes mõtlevad välja, millised võiksid olla ettevõtte jaoks kõige suuremate tagajärgedega kriisisituatsioonid ja mängivad suuliselt läbi nende situatsioonide lahendamise (inglise keeles tabletop exercise). Selle kuluefektiivse harjutuse käigus peab ettevõte aru saama, kas ning kuidas ettevõtte olemasolevad tegevusplaanid erinevate kriisisituatsioonide lahendamist toetavad. Näiteks saab arutada detailselt läbi, mida ettevõte teeb siis, kui kogu ettevõtet tabab ulatuslik lunavararünnak või elektrikatkestus. Kui ettevõttel on sõlmitud lepingud IT-teenusepakkujatega, siis vaadatakse koos ka antud lepingud üle just sellise pilguga, et näha kas ja kuidas antud lepingud toetavad ettevõtte infosüsteemide toimepidevust.
Oletame, et juhtub kõige mustem stsenaarium ning kõik ettevõtte ühendused ja infosüsteemid kukuvad kokku. Nüüd saab teha mõtteharjutuse, kui kaua läheb ettevõttel – teoreetiliselt – normaalolukorra taastamiseks? Näiteks IT-juht võib öelda, et kehvemal juhul läheb viis päeva, et et asjad uuesti tööle saada. Seejärel finantsjuht täpsustab, et viis päeva tähendaks ettevõttele numbrites ligikaudu X-suuruses kahju. Nende numbrite alusel saab ettevõtte juhtkond aimu, miks teatud IT-risk on äririsk ning teeb vastavad järeldused – näiteks kinnitab varuühendustesse investeerimise hädavajalikkust.
Sellist harjutust saab teha ka professionaalsemalt, kaasates majavälist infoturbe eksperti, kes omab sarnaste harjutuse teostamise ning juhtimise kogemust. Sellegipoolest tasub teada, et internetis on infoturbe tagamise osas väga palju head materjali ning seda tihtipeale ka täiesti tasuta.
Kuidas ettevõte või asutus saab aru, et neil oleks vaja infoturbejuhti?
Eelmainitud infoturbealase hetkeolukorra kaardistamise harjutuse läbiviimine ainuüksi ei garanteeri, et sellest infoturbejuhi vajadus välja tuleb. Oma klientide pealt näeme, et kõige paremini saab ettevõte infoturbejuhi vajadusest aru siis, kui nad tellivad sisse ulatusliku, sõltumatu infoturbe hindamise projekti (nt infoturvalisusele keskenduva IT-auditi, IT-riskianalüüsi või laiaulatusliku turvatestimise jm) – antud projekti käigus tulevad leitud turvanõrkuste ja intervjuude alusel sellised vajakajäämised tavaliselt välja.
Näiteks võrgu turvatestimise puhul avastab meie meeskond hulganisti erinevaid tehnilisi turvanõrkusi. Me ei keskendu ainult individuaalsete turvanõrkuste analüüsimisele, vaid võtame kõik turvatestimisel avastatud leiud ja üritame leida juurpõhjuse, miks need on tekkinud. Tihti avastame, et pole keskset ning pädevat juhti, kes kogu infoturbe valdkonda hoomaks ja selle eest vastutaks.
Infoturbejuhi vajadus võib veel tuleneda sertifitseerimise vajadusest. ISO 27001 standard küll ei nõua, et ettevõttes peaks olema loodud infoturbejuhi ametikoht, aga siiski nõuab, et antud valdkond oleks juhitud.
Kui palju kattub infoturbejuhi roll IT-juhi või tehnoloogiajuhi rolliga? Mis on nende erinevused?
IT-juht (inglise keeles Chief Information Officer) vastutab ettevõtte-sisese IT-juhtimise (sh IT-halduse ja IT-arenduse) eest. IT-juht peab tagama, et infosüsteemid oleksid töökorras, turvalised, et vajalikud arendused oleksid tehtud (või planeeritud) ning ettevõtte töötajad saaksid enda infotehnoloogiliste töövahenditega teha takistamatult tööd.
Tehnoloogiajuht (inglise keeles Chief Technology Officer) keskendub ettevõtte müügi- ja tulude kasvatamise võimalustele ning parima kliendikogemuse pakkumisele läbi uute tehnoloogiate. Selleks keskendub tehnoloogiajuht muuhulgas ka teadus- ja arendustegevusele.
Infoturbejuht (inglise keeles Chief Information Security Officer) toetab aga nii IT-juhti kui ka tehnoloogiajuhti enda tegevustes, tagades läbi oma tegevuse olemasolevate ning uute infotehnoloogiliste lahenduste turvalisuse. Ideaalses olukorras töötavad IT-juht, tehnoloogiajuht ning infoturbejuht ühise eesmärgi nimel – pakkuda võimalikult häid, innovaatilisi ja turvalisi teenuseid enda ettevõtte klientidele, mille kaudu tugevneb ettevõtte maine ning suureneb kasum.
Kas infoturbejuhi ülesanded võiks olla jagatud mitme inimese vahel?
Selline lähenemisviis võib teoorias töötada, kui infoturbejuhi roll ei ole jaotatud liiga paljude inimeste vahel maksimaalselt. Samas ei saa mainimata jätta, et praktikas ei suuda inimesed tihtipeale täiendavate ülesannetega piisavas ulatuses tegeleda. Põhjuseid võib olla mitmeid: kas pole piisavalt aega, kompetentsi, pühendumust (mis võib omakorda sõltuda ettevõtte juhtkonna prioriteetidest) või on kombinatsioon mitmetest nimetatud asjaoludest. Infoturbejuhi ülesanded vajavad reeglina teatud ulatuses eelteadmisi ning tööülesanded on reeglina ka ajamahukad – seetõttu on üsna riskantne selliseid ülesandeid lisatööna kellelegi määrata.
Kindlasti ei maksaks infoturbejuhi ülesandeid määrata isikutele, kes ei oma piisavat kompetentsi ning infoturbejuhi ülesannetega potentsiaalselt konfliktsetel (nt huvide konflikti potentsiaaliga) ametikohal olevatele isikutele. On üsna kindel, et on vaid aja küsimus, kui ilmneb, et kõrgemal ametikohal isik ei suuda piisavas ulatuses täita infoturbejuhi ülesandeid.
Lisaks tasub juba eos ära hoida võimalikke huvide konflikte – näiteks IT-juhi ülesanne on tagada IT-lahenduste turvaline rakendamine, aga infoturbejuhi ülesanne peaks olema antud IT-lahenduste erapooletu turvalisuse kontrollimine ettenähtud nõuete alusel. Siinkohal on üsna ilmselge, et kui IT-juht täidab ka infoturbejuhi ülesandeid, siis iseenda poolt rakendatud IT-lahenduste turvalisuse erapooletu kontroll lihtsalt ei ole võimalik.
Kui palju on infoturbejuhi roll ajas muutunud? Kuivõrd on nn IT-keele mõistmisele lisandunud ärikeele mõistmist?
Infoturve ei eksisteeri iseenda pärast, vaid see on üheks oluliseks alustalaks ettevõtte äritegevusele. Infoturve tagab selle, et äriliselt olulised andmed (ärisaladus, klientide andmed jpm) oleksid optimaalsete meetmetega turvatud, mis omakorda aitab vältida ettevõttele finants- ning mainekahju tekkimise võimalikkust. See aga omakorda kindlustab ettevõtte eksistentsi ning töötajate heaolu pikemas perspektiivis.
Seega peab ka infoturbejuht selgelt aru saama, milline on tema ettevõtte äri. Siis oskab ta ka aru saada, milline info vajab kaitsmist ning millisel määral. Ideaalis peaks infoturbejuht olema juhatuse alluvuses, olles vahetuks infoallikaks infoturbealaste teemade osas juhatusele. Selline alluvussuhe tagab, et küberturvalisusele pööratakse ettevõttes piisavas ulatuses tähelepanu ja ressursse ning see hõlbustab vajalikke otsuste tegemist infoturbealase olukorra parandamiseks.
Oluline on meeles pidada, et kuigi infoturbejuht vastutab ettevõttes infoturbe valdkonna eest, siis lõplik vastutus turvalisuse (sh infoturbe) eest lasub alati ettevõtte juhtkonnal.
Kas infoturbejuht tähendab pigem inimeste juhtimist või võib seda rolli kandev töötaja ka üksinda tegutseda?
Üksinda kindlasti ei saa antud tööd teha – suhtlemine ja inimeste suunamine on väga oluline. Juba ainuüksi tõsiasi, et infoturbejuht vastutab infoturbe valdkonna eest, tähendab seda, et tema poolt antud juhised ja korraldused mõjutavad kogu ettevõtet.
Seda kas infoturbejuhi töökohustused tähendavad rohkem inimeste juhtimist või üksinda tegutsemist – selles ametikohas on nii seda kui teist. Reeglina infoturbejuht ise IT-süsteeme infoturbe parimate praktikate kohaselt ei konfigureeri – selleks on olemas eraldi vastavad eksperdid, kellele infoturbejuht saab vastavaid suuniseid ja korraldusi anda. Küll aga peab infoturbejuht veenduma, et eelmainitud konfiguratsioonid vastavad tõesti infoturbe parimatele praktikatele – seega peab hea infoturbejuht ise antud aspekte kontrollima, mis omakorda eeldab ka piisavas ulatuses tehnilisi teadmisi. Kindlasti on infoturbejuhil ka ülesandeid, mida ta suures osas üksinda teeb – see kõik oleneb konkreetse ettevõtte spetsiifikast.
Seega peab infoturbe valdkonna vaatest infoturbejuht inimesi ja protsesse juhtima, kuid talle jääb ka ülesandeid, millega ta tegeleb üksi.
Kuivõrd on infoturbejuhtimine teenus, mida saab n-ö väljast sisse osta?
Seda, et infoturbejuhti ostetakse sisse teenusena, näeme me järjest enam – see on levinud praktika Lääne-Euroopas ja USAs. Põhiline eesmärk on siinkohal kokkuhoid – seda siis ajaliselt ja rahaliselt, kuid mitte infoturbejuhi teenuse kvaliteedi arvelt.
Infoturbejuhi vajaduse olemus võib ettevõtetel olla erinev – näiteks mõnel ettevõttel on mingi kriitiline äriline põhjus, miks on vaja ettevõttesse värvata puuduolevat infoturbejuhi kompetentsi väga kiiresti (näiteks võib uus potentsiaalne klient nõuda, et ettevõttel oleks olemas ISO 27001 sertifikaat – sellise sertifikaadi rakendamist oskaks juhtida hea infoturbejuht). Head infoturbejuhti on aga väga raske leida – selline inimene peab aru saama infoturbe parimatest praktikatest (sh hoomama tehnilisi nüansse), oskama suhelda inimestega (sh oskama mitte-tehnilistele inimestele seletada tehnilistest turvanõrkustest potentsiaalselt tulenevate tagajärgede ohtu ettevõtte ärile), olema suuteline inimesi juhtima jpm. Sellele kõigele lisaks, peab hea infoturbejuht järjepidevalt hoidma oma kompetentsi, mis nõuab täiendavaid ressursse ettevõttele. Lisaks võtab ka kogu värbamise protsess (sh kandidaatidega suhtlemine) väärtuslikku aega.
Meie KPMG-s pakume aga võimalust tarbida infoturbejuhti teenusena mahus, mida ettevõttel täpselt vaja on. Oletame, et ettevõttel on vaja ISO 27001 sertifikaati või Eesti infoturbestandardit (E-ITS) rakendada. Siis ettevõtte saabki võtta infoturbejuhi teenusena täpselt sellises mahus, et standard saaks ära rakendatud – KPMG eksperdid tulevad kliendi juurde kohale, me lepime kliendiga kokku eesmärgid, ajalise raamistiku ning tulenevalt eelnevast ka vastava koormuse (kuivõrd palju peavad KPMG eksperdid teatud ajalises raamis töötunde panustama) ja alustame töödega. Me anname kliendile ühe kindla põhikontaktisiku (infoturbejuhi), kuid tegelikult on kliendil võimalus vastavalt kokkuleppele kasutada kogu meie tiimis olevaid, erinevaid eksperte (kelle seas on veebirakenduste ja arvutivõrkude turvatestijaid, digitaalkriminalistika eksperte, tarkvaraarendaja taustaga inimesi jpm).
Kindlasti tasub mainida, et igal lahendusel on omad plussid ja miinused – nii ka sellega, kas värvata püsivalt ettevõttesse infoturbejuht või osta see teenusena sisse. Seega tasuks enne otsust kindlasti teha vastav analüüs ning leida parim lahendus vastavalt enda ettevõtte vajadustele.
Seega n-ö rendid endale infoturbejuhi, ent tegelikult saad kompetentse ka muudest valdkondadest?
Vajadusel on tõesti võimalik kasutada antud teenuse raames ka teiste valdkondade eksperte, mis loob meie kliendi jaoks kindlasti tohutut lisandväärtust. Oluline on siinkohal märkida, et kuigi KPMG-l on 20-liikmeline meeskond, siis vaid eelmainitud KPMG-poolne kontaktisik käib ettevõttes juhtkonna koosolekutel, kus arutatakse strateegilisel tasemel äriteemasid (sh ärisaladusi). Selliselt kindlustame, et ärisaladusele pääseb ligi väga piiratud hulk inimesi ning saame selle kaudu tugevdada usaldussuhet kliendiga. Kui on aga vaja näiteks teatud lisapädevust (nt digitaalkriminalistika teadmisi), tutvustab KPMG-poolne kontaktisik oma kolleegi, keda ajutiselt kaasatakse ja kes annab projektile lisandväärtust vastavalt oma pädevusele.
Kas on ka midagi, mida majaväline infoturbejuhtimise teenus ei sisalda, kuigi seda vahel eeldatakse?
Tegelikult infoturbejuhi teenus tähendab seda, et me täidame selle ametikoha ülesandeid ettevõttes. Kui ettevõttes tehakse otsus luua infoturbejuhi ametikoht, on vaja luua ka vastav ametijuhend, mille eelduseks on arusaam infoturbejuhi rollist asutuses. Ametijuhendi loomisele tuleb seega läheneda ettevõtte vajaduste põhiselt. Lähenemisviis, mis sobib ühele ettevõttele, ei pruugi sobida teisele. Täpselt sama on ka meie infoturbejuhi teenusega – meil on küll kindel lähenemine, kuidas me seda teenust osutame, kuid me ei ole selles jäigalt kinni. Me saame oma teenust vajaduspõhiselt ning kokkuleppel kliendiga alati ümber struktureerida.
Mida see teenus klassikalises mõttes ei sisalda, on näiteks läbistustestimine (inglise keeles Penetration Testing). Nägin hiljuti ühe ettevõtte töökuulutust, milles ettevõtte soovis ühes isikus saada nii infoturbejuhti kui ka läbistustestijat. Sellist inimest on äärmiselt raske leida, kes oskaks mõlemat rolli täita suurepärase kvaliteediga ning hoida läbi aja ka mõlema rolli kompetentsi. Ent nagu eelnevalt mainisin, siis KPMG infoturbejuhi teenuse raames on alati võimalik jõuda kliendiga kokkuleppele ning kaasata vastava teenuse raames täiendavaid eksperte – sealhulgas läbistustestijaid.
Kuivõrd võiks see renditeenus olla vaheetapp oma infoturbejuhi palkamiseni?
See on üsna levinud praktika. Tavaline lähenemine ongi selline, et paljud asutused (eeskätt suuremad ettevõtted) soovivad sellist kompetentsi mingi hetk ise omada, ent kasutavad meid, et me ehitaks selleks vundamendi. Kui ettevõttel on vastavad sertifikaadid saadud, parimate praktikate kohased turvameetmed rakendatud, koolitusprogrammid ettevõtte töötajaile loodud jpm – siis võime jõuda sinnani, et tõmbame meie infoturbejuhi koormuse ettevõtte juures täiskoha pealt näiteks poole või veerandi peale. Hiljem võib ettevõte kalkuleerida, kui palju kasu saab ta sellest teenusest ja mis on meie poolt pakutav väärtus ning kas poleks otstarbekam omale eraldi inimene palgata.
Teie põhiline abi on siis infoturbepoliitika väljatöötamisel ja süsteemi tööle panemisel?
Nagu sai ka eelnevalt mainitud, siis eelkõige täidame ettevõttes infoturbejuhi ametikohta. Seega me teostame kõiki tegevusi, mis on klassikaliselt infoturbejuhi tööülesannetega seotud – sealhulgas loomulikult ka infoturbepoliitika ning sellest tulenevate muude poliitikate, juhiste, reeglite ja protsesside loomine ning täiendamine. Infoturbejuhi ülesanded on aga märksa laiemad, kui vaid poliitikate välja töötamine – infoturbejuht vastutab ettevõttes reeglina ka infoturbeintsidentide lahendamise juhtimise eest, IT-spetsiifiliste turvameetmete valiku ning rakendamise juhtimise eest, riskianalüüside koostamise eest infoturbe vaatest, töötajate infoturbe teadlikkuse suurendamise eest, läbistustestide tellimise eest, füüsilise turvalisuse meetmete valiku ning rakendamise eest jpm. Kui ettevõte soovib, et me teostaks ka selliseid ülesandeid, mida infoturbejuht klassikaliselt ei tee, siis seda saab alati arutada ning nüanssides kokku leppida.
Kokkuvõttes on teemad, millega infoturbejuht tegeleb, olulised iga ettevõtte jaoks – kas suuremal või vähemal määral. Infoturbejuhi vajaduse teadvustamine, ootused infoturbejuhile ja vastavate infoturbealaste eesmärkide seadmine peab tulema ettevõtte juhtkonnalt, kellel lasub ka lõplik vastutus ettevõtte infoturbe eest. Seoses sellega on ka just ettevõtte juhtkond see, kes peab tegema valiku, kas infoturbejuhti värvata või osta selline võimekus teenusena sisse.
Kes on CISO ehk infoturbejuht, millega ta tegeleb, mis on CISOaaS teenus?
* Infoturbejuht ehk CISO (ingl k Chief Information Security Officer) on isik, kes vastutab organisatsiooni infoturvalisuse juhtimise eest. Tema põhiülesandeks on infoturvalisuse kolme osaeesmärgi – käideldavuse, tervikluse ja konfidentsiaalsuse – tagamine.
* Eesmärkide tagamiseks juhib ta järjepidevalt tehniliste ja organisatoorsete kaitsemeetmete rakendamist ning nende toimise kontrollimist ettevõttes ning veendub, et meetmed vastaksid muutuva olukorra kontekstis parimatele infoturvalisuse põhimõtetele.
* Lisaks IT-põhisele turvalisusele peab infoturbejuht tagama ettevõtte varade füüsilise kaitstuse (piirdeaedade rajamisest kuni tähtsate paberkandjal dokumentide turvalise hoiustamiseni), kaardistama infoturbealased riskid, mis võivad olulisel määral mõjutada ettevõtte põhitegevusi, ning looma süsteemse lähenemise infoturbe tagamiseks organisatsioonis läbi vastavate poliitikate ja protsesside.
* Infoturbejuht on oluline lüli organisatsiooni juhtkonna, IT juhi, füüsilise turvalisuse juhi, muude oluliste juhtide ning ka tehnilise personali vahel, omades väärtuslikemate andmete ja infovarade turvalisuse hetkeolukorrast parimat ülevaadet.