Submit RFP

      Tänases ärikeskkonnas, kus tehnoloogilised riskid kasvavad kiiremini kui neid jõutakse kaardistada, on tugev küberturvalisuse raamistik saanud iga ettevõtte vältimatuks eduteguriks. Selle uudiskirjaga toome Sinuni kõige olulisemad ohukohad, trendid ja seadusemuudatused, mis mõjutavad ettevõtteid just praegu – selgelt, praktiliselt ja äri vajadusi silmas pidades.

      Meie kogemus näitab, et isegi need organisatsioonid, kes on alustanud küberturvalisuse teekonda pelgalt kohustusest auditi ees, jõuavad lõpuks äratundmiseni, et läbimõeldud turbestrateegia ei ole ainult kulu, vaid ettevõtte kasvumootor. Parimad tulemused sünnivad siis, kui tehniline ja finantsmeeskond töötavad ühtse eesmärgi nimel ning audiitor ei keskendu raportitele, vaid mõistab, kuidas äri tegelikult toimib.

      Meie eesmärk on anda Sulle praktilised teadmised ja päriselu õppetunnid, mis aitavad hoida ettevõtte keskkonna turvalise, skaleeritava ja jätkusuutlikuna.

      Küberturvalisusega kaasneb selge juhtimisvastutus

      KPMG Balticsi küberturvalisuse valdkonna juhi Mihkel Kuke sõnul tähistavad hiljuti vastu võetud küberturvalisuse seaduse muudatused olulist nihet. Küberturvalisus ei ole enam pelgalt IT teema, vaid sellega kaasneb selge juhtimisvastutus. Varasemast rangemad nõuded kehtivad küberintsidendist teavitamisele, mis kriitiliste IT-teenuste osutajate puhul peavad nüüd toimuma viivitamatult.

      Kui organisatsiooni tabab küberintsident, siis see on olnud tehnilise tiimi rida, kes tegeleb tõrke lokaliseerimise ja normaalse olukorra taastamisega.

      • Nüüd on küberturvalisuse seaduse (KüTS) muudatustega antud konkreetsed juhised, mis puudutavad juhtimistasandi teavitusi, otsuseid, vastutust ja järelevalvet.

      Küberturvalisuse 2. direktiivi (NIS2) ülevõtmisega kaasnevate muudatustega liigub küberturvalisus selgelt juhtimistasandile. Seadus täpsustab, kellele kohustused laienevad, millised on miinimumootused võrgu- ja infosüsteemide turvameetmetele, millised on intsidentidest teavitamise nõuded ja tähtajad ning kuidas riik järelevalvet teeb. Seda kõike mitte abstraktselt, vaid konkreetsete rollide, tähtaegade ja protsessidena.


      Loe lähemalt, kellele rakenduvad KüTS muudatused:
      >> Küberjamadega pannakse nüüd juhatuse pea pakule

       

      Küberturvalisuse ja hädaolukorra seaduse muudatused

      KPMG kutsub hommikuseminarile 19. veebruaril.

      Tutvu üritusega lähemalt
      Küts

      Küberturvalisuse eelarve on strateegiline investeering, mitte kulu

      Kui palju ikkagi peaks ettevõte investeerima küberturvalisusse ja kuhu täpselt? Ettevõtte toimepidevuse mõttes on tegu kaaluka küsimusega. Õige vastus ei ole kunagi lihtsalt number ega summa. Küberturvalisuse eelarve ei ole kulu, vaid strateegiline investeering, mis aitab organisatsioonil hästi ja turvaliselt toimida. Selle planeerimine algab arusaamisest, kuidas küberturvalisus toetab ettevõtte ärilisi eesmärke.

      • Kui juhtkond mõistab, millised on organisatsiooni peamised riskid — olgu need seotud andmelekke, teenusekatkestusega või tarnijate haavatavusega — saab hakata kujundama investeeringuid, mis neid riske vähendavad.

      Sageli tähendab see, et enne uute tööriistade soetamist tuleb läbi viia küberturvalisuse küpsuse hindamine või riskianalüüs. See loob vundamendi, millele tuginedes saab põhjendada nii kulusid kui ka prioriteete.

      Praktikas on tavaline, et küberjulgeoleku eelarve kasvab igal aastal. Selle põhjuseks ei ole ainult uute ohtude tekkimine, vaid ka regulatiivsete nõuete karmistumine. Euroopa Liidu raamistikud DORA, NIS2 ja GDPR eeldavad juba täna, et ettevõtted investeerivad süsteemselt infoturbe juhtimisse, riskihaldusse ja järelevalvesse. Seetõttu ei ole enam piisav üksikute turvatoodete kasutuselevõtt, vaid organisatsioon peab näitama, et küberturvalisus on osa juhtimissüsteemist.

      Loe lähemalt, millest lähtuda küberturvalisuse eelarve kujundamisel:
      >> Küberturvalisuse eelarve on strateegiline investeering, mitte kulu

      Kas Sinu ettevõtte süsteemid on tegelikult turvalised?

      Läbistustest näitab, kui vastupidavad on Sinu organisatsiooni infosüsteemid rünnakule.

      Mõni aeg tagasi viibisime kliendi juures, kellel oli suurepäraselt dokumenteeritud infoturbe poliitika, toimivad tulemüürid ja kogenud IT-meeskond. Esmapilgul oli kõik korras. Kui me alustasime kokkulepitud ulatusega läbistustesti – st simuleeritud küberrünnakut –, oli tulemuseks üllatus. Me suutsime vähem kui kahe päevaga liikuda tavakasutaja õigustest tundlike süsteemideni, tõstes end administraatori tasemele. Mitte seetõttu, et IT-meeskond oleks olnud lohakas, vaid seetõttu, et tõeline turvalisus selgub alles siis, kui seda päriselt testitakse.

      Läbistustestimine ei ole lihtsalt järjekordne tehniline kontrollnimekiri, vaid reaalne võimalus mõista, kui vastupidavad on sinu infosüsteemid rünnakule, mis võib tulla väljastpoolt või ettevõtte seest. See on nagu turvaukse testimine, mitte pelgalt ukse kirjeldamine või luku brändi vaatamine, vaid reaalse murdvarga rolli mängimine, et hinnata, kas uks tegelikult ka peab vastu.

      • Läbistustest aitab avastada nõrkusi, mida tavapärane skanneerimine või sisemine audit ei tuvasta.

      Näiteks vale seadistusega server, unustatud kasutajakonto, logimata jäänud sisselogimised või ohtlikud kolmandate osapoolte teegid. Sellised vead võivad eksisteerida ka siis, kui kõik justkui tundub korras olevat ja just seepärast ongi sõltumatu, reaalne testimine vajalik.

      Loe lähemalt, millele tähelepanu pöörata:
      >> Kas Sinu ettevõtte süsteemid on tegelikult turvalised?

      KPMG pakub ISO koolituste sarja:

      Osale maailmatasemel küberturvalisuse koolitustel, mis keskenduvad reaalse elu stsenaariumitele ning praktiliste teadmiste omandamisele.

      Tutvu lähemalt
      ISO
      Mihkel Kukk
      Mihkel Kukk

      Küberturvalisuse teenuste juht

      KPMG Baltics OÜ

      Ivar Anton
      Ivar Anton

      IT auditi valdkonna juht

      KPMG Baltics OÜ

      Jaan Vahtre
      Jaan Vahtre

      Tehnilise turvatestmise valdkonna juht

      KPMG Baltics OÜ