Sõltumata millises valdkonnas ettevõte tegutseb, on IT-infrastruktuur ja selles sisalduvad andmed vastuvõtlikud küberturvalisuse riskidele ja ohtudele. Küberturvalisuse riskid ja ohud muutuvad ja arenevad pidevalt, muutes ettevõtete jaoks küberrünnakute ennetamise üha keerulisemaks. Seetõttu on oluline, et ettevõtted tuvastaksid infotehnoloogiaga seotud ohud, nõrkused ning sõltuvused, mis võivad põhjustada kriitiliste teenuste tegevuse katkemise. Riskihinnanguid vaadatakse perioodiliselt üle ning vajadusel uuendatakse või muudetakse, et tagada ajakohased ning tasuvad turvameetmed. KPMG põhjaliku IT-riskianalüüsi läbiviimine aitab Teie organisatsioonil luua tugeva aluse äriedu tagamiseks/saavutamiseks.

IT-riskide hindamine/IT riskianalüüs keskendub organisatsiooni infosüsteemide, selle võrkude ja andmete liikumisega seotud ohtude tuvastamisele ning võimalike tagajärgede hindamisele. Kindlasti ei saa unustada füüsilise turvalisuse nõrkuseid, mille tulemusena on võimalik saada juurdepääs organisatsiooni varadele, teabele ja infotöötlusvahenditele ning kahjustada või häirida organisatsiooni tööd.

Riskianalüüside läbiviimine peaks toimuma korrapäraselt, vastavalt parimatele praktikatele (nt ISO27005/EITS/KÜTS jm.), ja alati, kui organisatsioonis toimuvad suuremad muudatused. Riskianalüüsi läbiviimine enne suuremaid plaanitavaid muudatusi annab eeldused projekti edukaks läbiviimiseks s.h eelarve ja ressursi planeerimiseks. KPMG kogenud spetsialistid aitavad Teil läbi IT riskianalüüsi kasutusele võtta eesmärgipärane ressursside kasutus infoturbe tagamiseks. Lisaks võimaldab IT riskianalüüs saada ülevaate, kuidas organisatsiooni riskid ja haavatavused aja jooksul muutuvad, see on aluseks asjakohaste meetmete planeerimiseks ja rakendamiseks.

Riigi Infosüsteemi Ameti andmetel küber- ja lunavararünnakute arv kasvab aasta aastalt ning üha enam tekib vajadus tegeleda turvalisuse teemadega. 2021. aastal registreeris CERT-EE 30 lunavararünnakut See arv ei tundu suur, aga tuleb arvestada, et lunavararünnaku tagajärjed on ühed raskemad: need rünnakud on seisanud päevadeks ettevõtete tootmisliinid ning nende kaudu on kaotatud kogu ettevõtte digitaalne paberimajandus ühes klientide andmetega. Riigi Infosüsteemi Amet registreerib aastas üle 20 000 pöördumise ning ligi 2500 küberintsidenti, millel on reaalne mõju süsteemile või selle toimimisele.

KPMG

KPMG-s töötavad spetsialistid on väga laialdaste kogemustega ning tehniliselt võimekad erinevates valdkondades. Kuna KPMG on globaalne organisatsioon, on võimalik kasutada ka teiste riikide spetsialistide teadmisi projektides. Pakume oma klientidele professionaalset teenust ning lähtume töövõtte kavandades iga kliendi vajadusest.

IT riskinõustamise käigus tuvastame organisatsiooni kriitilised äriprotsessid ja nendega seotud turvalisust ohustavad riskid.

  • Aitame hinnata IT- ja küberriske ning toome välja seotud ohud ja nõrkused
  • Riskihindamise plaani esitamisel tekib organisatsioonil selge arusaam erinevatest riskidest
  • Koostame tegevuskava riskide maandamiseks

Me lähtume riskihindamisel KPMG poolt välja töötatud riskihindamise metoodikast. Kasutame riskihindamisel lisaks rahvusvahelisi standardeid (ISO 27005), Eestis kehtivaid riskihalduse suuniseid (E-ITS, ETO riskihalduse juhend) ja parimaid praktikaid (ISF ja NIST juhendeid)

Riskianalüüsi etappide kirjeldus

Riskianalüüsi esimeseks sammuks on kaardistada koostöös kliendiga ettevõtte jaoks kriitilised ning infosüsteemidega seotud infovarad.

Järgmiseks sammuks ettevõttes on küberturvalisusega seotud ohtude tuvastamine, kuna ohud võivad esineda erineval kujul on tähtis, et igal ettevõttel oleks põhjalik ülevaade kriitiliste varadega seotud ähvardavatest ohtudest.

Kolmandaks tegevuseks on nõrkuste tuvastamine, mille käigus kaardistatakse ettevõttega seotud süsteemide ja protsesside nõrkused kui ka füüsilised nõrkused, mis võivad viia infoturbe intsidendini.

Järgnevalt rakendatakse turvameetmed, et minimaliseerida või elimineerida ettevõtte jaoks kriitilised haavatavused ja ohud. Neljandas etapis analüüsitakse olemasolevaid katkestusi ennetavaid ja tagajärgi leevendavaid turvameetmeid arvestades tuvastatud ohtude realiseerumise tõenäosust.

Järgmiseks sammuks on turvariskide prioritiseerimine ehk riskiklassi määramine. Antud tegevus aitab ettevõttel kindlaks teha millised riskid vajavad viivitamatut maandamist ning kuhu peaks ettevõte investeerima aega ja ressursse.

Riskiklasside määramiseks luuakse riskimaatriksi tabel. Järgmiseks sammuks peale riskide prioritiseerimist on meetmete väljatöötamine, ehk luuakse riskikäsitlusplaan.

Riskikäsitlusplaanis loetletakse riskid prioriteetsuse järjekorras koos riske ennetavate ja tagajärgi leevendavate turvameetmetega koos rakendamise eest vastutavate ning tähtaegadega. Riskianalüüsi viimane samm on koostada aruanne, mis dokumenteerib kõik ettevõttega seotud hindamise tulemused viisil, mis toetab eelarvet ja poliitikamuudatusi.

  • Detailne ülevaade organisatsioonis avastatud riskidest.
  • Juhtkonna informeeritus organisatsioonis toimuvast. Teades potentsiaalseid riske, on võimalik teha paremaid juhtimisotsuseid infoturbealaste ressursside kasutamisel.
  • Täpsemalt prognoositavad tegevusplaanid ja ressursikasutus.
  • Selgelt määratletud organisatsioonisisesed rollid ja vastustuspiirid.
  • Organisatsiooni jätkusuutlikkuse ja riskiteadlikkuse tõstmine avardab võimalusi lisainvesteeringute kaasamiseks.
  • Potentsiaalsete andmelekete vältimine.
  • Organisatsioonil tekib täielik dokumentatsioon alates äriprotsessiga seotud infosüsteemidest kuni riskikäsitlusplaani vormini.

Võta meiega ühendust

Taavi toppi blog posts
Taavi Toppi
Küberturvalisuse ekspert / IT audiitor
KPMG Baltics OÜ
Profiil |
Vitali blog posts
Vitali Jekimtsev
Küberturvalisuse ekspert / IT audiitor
KPMG Baltics OÜ
Profiil |