IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi näiteid ning panna neid konteksti osalejate vajadustega, kinnitab KPMG Baltics OÜ küberturvalisuse ekspert ja IT-audiitor Ivar Anton.
Kõige paremad koolitused on tema sõnul aga erinevate kogemuste ja erineva taustaga gruppidel, sest seal räägitakse oma kogemustest ning küsitakse väga spetsiifilisi küsimusi.
KPMG Baltics pakub erinevaid küberturbe ja IT-auditi koolitusi, kellele on need mõeldud?
Meil on IT-auditi ja küberturbe üksus, mille alt pakume ühelt poolt IT-auditi ja vastavusteemadega seonduvaid koolitusi ning teiselt poolt küberturbega seonduvaid koolitusi, kus on siis veebitestimine, red teaming jms teemad.
Kellele need suunatud on, sõltub sellest, kas sa oled pigem riskijuhtimise ala inimene, tegeled näiteks infoturbestandardiga – neile on mõeldud infoturbejuhtide ja IT-turvalisuse spetsialistide koolitused. Või sa oled tehniline inimene, kes tegeleb näiteks võrkudega, sinna kuulub ka turvalise tarkvaraarenduse koolitus – saad aru, kuidas sinu kirjutatud koodis nõrkusi leida ja ära kasutada.
Veel üks suur ja lai valdkond on ISO standarditega seonduvad IT- ja infoturbekoolitused. Kõige levinum on ISO27001, mis on infoturbejuhtimise süsteem (ISMS), kus on nii juurutaja kui ka audiitori koolitused. ISMS koolitus sobib nii organisatsiooni tegevjuhile, juhatuse liikmele või finantsjuhile, sest räägib, kuidas ehitada üles infoturbesüsteemi organisatsioonis.
Kui sa selle koolituse läbid, võiks muidugi teha ka sertifikaadi, mis on koolituse hinna sees. Samas rakendamine tuleb alati läbi kogemuse, aga koolitus annab raamistiku ja aitab seda tõlgendada.
Teie koolituste valik on üsna suur. Kuidas ma tean, mida ma oma organisatsiooni küberturbe parandamiseks vajan?
See sõltub veidi, et mis seisus on organisatsiooni infoturbe ja küberturvalisuse tase ehk kus ollakse oma küberturbe teekonnal. Kui seda ei tea, peaks esmalt vaatama, kas on juurutatud üldse mingeid standardeid. Kui ei ole, saab alustada näiteks infoturbe juurutamisega. Samas ISO standardite maailm on väga suur ja lai, seal on riskijuhtimise, äri jätkuvuse halduse (business continuity) osa jne.
Tehnilisemaid koolitusi nagu läbistustestimine, neid võib igal ajal võtta ja teha. Kas sa ise hakkad pärast seda läbistustesti tegema oma organisatsioonis, sõltub, kas on kogemust ja mis valdkonnas sa töötad. Aga vähemalt saad sisendi, et millised on riskid ja mida ning kui tihti peaks tegema.
Ehk siis baasasju võib alati auditeerida, lasta turvalisuse kontrolle teha nii oma veebile kui ka baastarkvarale, mida organisatsioonis kasutad. Lisaks nõuavad tänapäeval osad koostöölepingud partneritega ka riskijuhtimist, või siis on nõue, et pead tegema ka läbistusteste regulaarselt.
Kuidas tavaliselt sünnib organisatsioonis sellisel koolitusel osalemise otsus? Kas teie peate n-ö müüma, tullakse teie käest küsima või selgub koolitusvajadus pikemaajalise koostöö jooksul KPMG ja kliendi vahel?
ISO standardite juurutamise käigus lisame pakkumisse, et pakume koolitusi koostöö raames rahvusvahelise organisatsiooniga PECB, kelle platvormi kaudu saame laiemaid koolitusi pakkuda. Seega võime edasi müüa kogu PECB koolituste valikut, sest Eestis on see maht piiratum, mis koolitusi saame ise kas näost-näkku või üle Teamsi läbi viia. Ja sealt tekib ka esmane huvi.
Aga aina rohkem tullakse ka ise küsima. Kõige levinumad on üldine riskijuhtimise koolitus, samuti äri jätkuvuse haldamise teema. Tänu Euroopa Liidu DORA-määrusele on see teatud suurorganisatsioonides – eriti finantssektoris, kus tuleb DORAt rakendada – saanud võimendust ja tähelepanu.
Lisaks on praegu EASi küberturvalisuse taseme kaardistamise ja arendamise toetuse tõttu hakatud tahtma ka ise rohkem aru saada kübermaailma riskidest. Nii on läbi selle tulnud organisatsioonidelt koolituse soove.
Aga on ka täiesti olukordi, kus juhtkond vaatab, et organisatsiooni riskihinnangus on küberturberiskid sees, ja siis kutsutakse tegema juhtidele koolitust küberturvalisuse teemal. Mõnikord on spetsiifilisem koolitus, sest endal on mingi visioon olemas. Teine kord aga lihtsalt soovitakse antud teemast rohkem kuulda, misjärel me omavahelises suhtluses selgitame välja nende täpsemad vajadused ning võimalusel pakume ka koolitust.
Kuivõrd on need koolitused suunatud juba konkreetsel alal töötavatele inimestele ning kuivõrd neile, kes soovivad liikuda või on liikumas organisatsiooni sees uuele ametikohale?
Sõltub esmalt su enda kogemusest ehk kas oled varem teinud mingeid sertifikaate või omandanud baastaseme mingis valdkonnas. Aga kui liigud organisatsiooni sees uuele ametikohale või saad tööl vastutust juurde, tasub mõelda lisakoolitustele.
Tööandjal võib siis olla huvi see kinni maksta, sest mõned globaalsed suurorganisatsioonide koolitused võivad olla ka päris kallid. Nende seast aga, mida KPMG pakub Eestis, leiab nii koolitusi tehnilistele inimestele kui ka neile, kes saavad omale üldise riskijuhtimise vastutuse.
Kuidas on koolitused üles ehitatud ja kui palju on osalejad ise kaasatud? On need pigem loengud või pigem õpitoad aktiivse panustamisega osalejate poolt?
See oleneb koolitusest. Näiteks ISO standardite koolitus – kui see on edasijõudnutele – kestab neli päeva. Enamasti on kasutusel loenguformaat, aga seal on ka teatud testid ja harjutused sees ning käiakse neid teemasid diskussiooni vormis läbi.
Kõige paremad koolitused, kus ka ise olen osalenud, on väga erinevate kogemuste ja erineva taustaga gruppidel. Seal siis räägitakse oma kogemustest, küsitakse väga spetsiifilisi küsimusi, et kuidas mingit juhtsüsteemi peaks organisatsioonis teatud olukorras rakenduma.
Tehnilisemad koolitused – näiteks arendajatele suunatud OWASPi omad – hõlmavad ka keskkondi, kus saab uusi teadmisi proovida ja praktiliselt läbi mängida, et teooriat kohe rakendada.
Sertifikaatõppe koolitused võivad olla põhjalikud ja pikad, nädal kuni kümme päeva koos eksami tegemisega. Sulle antakse sisuliselt üks projekt, pead selle läbi käima, nõrkusi tuvastama, raporti koostama, et mida leidsid, mille põhjal, kuidas lahendada, millised tegevused neid nõrkusi vältida aitavad jne.
Kuivõrd sisaldavad koolitused praktilisi näiteid, n-ö vigadest õppimist?
Koolitajad on meil valitud sellised, kes on antud teemal ka ise praktiseerijad, neil on ka eri valdkondade sertifikaadid. Seda nii ISO koolitustel kui ka küberturvalisuse koolitustel: koolitajail on olemas sertifikaadid, töökogemus ja praktika.
Kelle vigadest õpitakse, kas koolitusel avatakse teie klientide juhtumeid?
Mitte niivõrd klientide vigadest, aga näiteks püüad leida mingeid baasnõrkusi. Tihti need korduvad soovitust sagedamini ning erinevatel klientidel. Aga juhtub ka seda, et leiad mingi kliendispetsiifilise vea või nõrkuse. Kuid põhiasjad korduvad küllaltki tihti, ühte ja sama nõrkust on nähtud eri organisatsioonidel ja klientidel.
Kui oled praktikust koolitaja, siis saad anda edasi oma igapäevatöö sisu, mida niigi näed erinevate klientide juures?
Jah, absoluutselt. Saad õpetada, kuidas asju planeerida, lahendada, ka tehniliselt läbi siia, mis väljakutseid on varem ette tulnud jne. Kogenud inimestele teebki koolituse see põnevaks, kui sul on praktikust koolitaja, kes saab sulle oma elulisi näiteid jagada, pannes selle koolituse sisuga konteksti.
Aga kes soovib jagada koolitusel enda organisatsiooni praktikat või kogemusi, siis selline koos õppimine eluliste näidete kaudu on alati väga arendav.
Kui tulen koolitusele, kuivõrd pean olema valmis avama enda organisatsioonis toimuvat – kuidas ja miks me küberruumis teeme?
Oleneb koolituse sisust, aga üldiselt ei pea avama. Kindlasti pole meil nõuet, et pead tulema koos oma organisatsiooni puuduste ja nõrkustega. Küll tasub osaleda diskussioonis, kui koolituse raames räägitakse mingeid teemasid ühiselt läbi, et kuidas sa mingit metoodikat mõistsid ja tõlgendasid, kuidas seda rakendada.
ISO standardi puhul näiteks see, et milline on tegevuste õige järjekord. Sa ei pea oma organisatsiooni näiteks tooma, et tegime nii või naa. Pigem tulevad kommentaarid koolitajalt tema kogemuste põhjal. Muidugi võib ka ise avatult rääkida, mis on kellegi kogemused. Samas mõne suurema grupi puhul sa ei pruugigi teada, kust organisatsioonist keegi tuleb.
Oli jutuks, et osadel koolitustel on teil väliseks koostööpartneriks koolitus- ja sertifitseerimisasutus PECB. Mis organisatsioon see täpsemalt on, miks teete nendega koostööd?
Nad on keskendunud rahvusvaheliselt ISO koolitustele ja sertifikaatide väljastamisele, ja seda üksikisikutele, mitte organisatsioonidele. Maailmas on kaks suurt organisatsiooni – PECB ja IRCA –, mis pakuvad ISO standardite koolitusi. Meile sobisid paremini just PECB võimalused, muuhulgas on neil vajadusel ka eestikeelsed koolitused, aga meie koolitajatel on mõlema asutuse poolt väljastatud sertifikaate.
PECB pakub niisiis platvormi, materjali ja infot, meil on sertifitseeritud koolitajad veebis või klassiruumis, lõpueksam toimub PECB platvormil. Me ei pea eraldi oma platvormi arendama ega haldama. PECB ise pakub koolituste materjali ja sisu, ent koolitajaid otsivad nad väljast praktikute seast.
Pärast eksamit väljastatakse sertifikaat, mis kehtib kolm aastat. Selleks, et sertifikaati säilitada, tuleb igal aastal vähemalt 20 tunni jagu lisaks õppida vastavas valdkonnas ja osaleda nt seminaridel vms. Ühesõnaga on seal professionaalse enesetäiendamise nõue, pead näitama, mida ja kuidas tegid, ühtlasi maksad iga-aastast sertifikaadi hoidmise tasu.
Kui sa seda ei tee, vajalikku kolmeaastast 120 akadeemilise tunni nõuet ei täida, siis sertifikaat tühistatakse.
PECB osas on ka see hea, et kui meil Eestis pole mõnda koolitust olemas, siis on ka teisi koolitajaid, on lindistatud online-koolitusi, mida saab lisaks tellida või läbida.
Kui suur osa on teil füüsilistel koolitustel, mis toimuvad klassiruumis?
Sõltub, saame müüa ka on-demand ehk videopõhiseid koolitusi, mida võib läbida omas tempos. Klassiruumis koolituse tegemiseks on vaja minimaalselt viis inimest. Samas online-koolituse pluss on see, et ei pea Tallinna kohale sõitma, vaid võid osaleda ka näiteks Tartust või isegi Saaremaa suvekodust, kui internetiühendus kannatab.
Kõige populaarsem formaat on on-demand ehk videopõhine, mida vaatad omas tempos. Järgnevad koolitused Teamsis, edasi tuleb klassiruumi koolitus, mis pigem on tänapäeval juba haruldane.
Kui esitad meile koolituse soovi, võid sisuliselt homseks või ülehomseks saada ligipääsu videopõhisele õppele – see on kõige kiirem ja ka mugavam lahendus. Just tippjuhtidel või -spetsialistidel, kel päevad täis koosolekuid ja kohtumisi, pole kerge leida vaba aega klassiruumis toimuvaks koolituseks, eriti mitmepäevaseks koolituseks.
Kas koolitusi saab tellida ka oma organisatsiooni, kus kogu grupp on minu töötajad?
Jah, loomulikult. Selliseid koolitusi saab teha ka asutuse enda koosolekuruumis, kus inimesed on harjunud käima ja on niigi kohal. Kui see koolitus aga nõuab eritingimusi, näiteks ligipääsu mingile tehnilise testimise keskkonnale, siis peame kliendiga suhtlema nende võimaluste osas.
Kuidas kliendid teie koolitusprogrammi sisu juhivad? On see klientide tagasiside või ootused, mille alusel uusi koolitusi pakkuma hakkate?
Muidugi! Ja see on väga hea küsimus! Eks seda näeb ka selle pealt, mille vastu tuntakse huvi, pead ka jälgima, mis maailmas toimub, kuhu turu trendid ja tehnoloogia liiguvad. Küberturbe alal on väga relevantne näiteks õngitsuskirjade teema, või veebirakenduste testimine ja pilve kasutusele võtmine.
Kui aga mõelda auditi ja vastavuse vaates, siis IKT-alal riskijuhtimine ning jätkuvuse haldus ja digitaalse võimekuse tagamine. Märksõnadeks NIS2 ja DORA, millega seotud teemadega peab aina rohkem asutusi ja inimesi tegelema. Selle põhjalt proovime leida Eesti konteksti sobivaid koolitusi.
Kuivõrd see koolituste sisu ajas muutub, sest tehnoloogia areneb edasi ja küberruum ning -ohud muutuvad?
Koolituste sisu uuendatakse tihedalt eeskätt praktiliste koolituste puhul, kus koolitaja eelnevalt vaatab materjali ja näited üle ning teeb muudatusi. Kui tuleb uus tarkvara või operatsioonisüsteem, siis riskid ja ohud võivad muutuda.
Ning kunagi ei tea ju ette – tuleb näiteks jälle suur lunavararünnak nagu oli WannaCry –, et kus see avaldub ning kuhu riskid liiguvad. See võib olla nii valdkonnaspetsiifiline kui ka üldine oht.
Lisainfot saab ISO ja IT riskide koolituste osas küberaudit.ee ja küberturvalisuse koolituste osas küberkaitse.ee.