Infoturve ilma IT-ta: 3 asja, mida juht saab muuta juba täna
Enamik infoturbe probleeme ei ole tehnilised. Need on inimlikud, organisatoorsed ja tihti tulenevad mitte valest tegevusest, vaid tegevusetusest.
Laialt levinud arusaam on, et infoturve on miski maagiline kung-fu mida oskavad vaid veteran patsiga IT-mehed. Tegelikkuses on aga need samad IT-mehed tihti fakti ees, et IT-ga ei ole siin suurt midagi seotud. Peamine põhjus kipub olema tihti juhatuse otsus või selle puudumine.
Infoturve on ei ole midagi muud kui hulk reegleid ja meetodeid kuidas kaitsta organisatsioonile olulist infot. Infoturbe eest vastutajal on tavaliselt päris hea taust ka IT valdkonnas ja mõistab haavatavusi ja kuidas neid võidakse ära kasutada. Küll aga ei saa infoturbe eest vastutav isik võtta vastu otsust mis on organisatsiooni jaoks oluline ja mis mitte. Selle otsuse peab tegema juhatus. Seega algab kogu infoturve just juhatuse tasemelt.
Küll aga kas saab juhatus ilma IT-ta teha infoturvet? Jah, saab küll! Kuigi IT on oluline osa orgainsatsioonist siis ta on ikkagi peamiselt toetav osa. Kui IT osakonda ei ole siis se toetav funktsioon on kellelgi teisel. Olgu ta oma inimene majas või partner väljaspoolt.
Mis on siis need esimesed 3 kõige olulisemat asja mida organisatsiooni juht kus IT-d ei ole saab ise ette võtta?
1. Andmete klassifitseerimine
Kõlab küll keeruliselt aga tegelikkuses see tähendab lihtsalt enda jaoks selgeks tegemist “Millised andmed on meie jaoks kõige olulisemad?”. Tegemist võib olla laiade andmetega nagu näiteks “Kõik mis puudutab raamatupidamist” või millegi väga spetsiifilisega “Klientide emaili aadressid”. Kui need andmed kirja panna siis tasub endalt lisaks küsida veel paar küsimust:
Miks need andmed on olulised? - Mis juhtub kui neid ei ole? Trahv? Pankrott? Või on lihtsalt ebamugav?
Kas need andmed on 24/7 olulised? - Mis juhtub kui näiteks email ei ole kättesaadav pühapäeva öösel kella 1:00-3:00 vahel? Või ei saa arveid teha reede õhtul peale 20:00?
Kellele need on olulised? - Kas kõik peavad ligi saama neile alati? Kas koristaja peab saama raamatupidamise andmetele ligi? Kas raamatupidaja peab saama veebilehele andmetele ligi?
See aitab luua esimese pildi ette mis on see mida infoturve peaks kaitsma ja kui oluline seda kaitsta on. Praktikas peame üks moment aksepteerima, et me ei saa kaitsta kõige igalpool ja alati. Seepärast on oluline need andmed seada tähtsuse järjekorda. Just seda üritavadki need küsimused saavutada.
2. Lõpeta vaikimisi usaldamine
Enamus andmelekkeid ei tule mitte kavalast häkkimisest või närvekõditavast spioonitööst vaid lihtsast üleliigsetest ligipääsudest. Personaalne kaust mis on kõigile ligipääsetav? Email sai välja prinditud ja printerisse unustatud? Dokument mida oli vaja jagada raamatupidamisega sai hoopis “share with everyone that has a link” õigused endale?
Kõige lihtsam viis selliseid eksimusi vältida on mitte usaldada vaikimisi. Infoturbe professionaalid alustavad tihti kõikide õiguste kinnikeeramisest ja hakkavad ükshaaval avama seda mida tegelikult ka on vaja. Muidugi ei pea nii ekstreemselt lähenema aga põhimõttest tasub kinni hoida. Kas isikul X või osakonnal Y või hoopis partneril Z on vaja ligipääsu antud dokumendile, kaustale või keskkonnale? Ei tea? Siis ära seda ligipääsu anna. Kui tekib probleem, et keegi ei saa ligi kes peaks siis saad selle konkreetse probleemiga tegeleda siis kui see tekib.
3. Tee 1 infoturbe samm kuus
Infoturve ei saa olla eesmärk kuhu jõuda vaid ta on meetod kuidas töösse lähenetakse. Selle asemel, et lükata infoturbe tegelemine edasi sest see tundub liiga suur amps võta üks väike asi iga kuu ja tee lihtsalt ära.
Kas näiteks uutel töötajatel on segadus kuidas ligi pääseda töö keskkondadesse? Tee see järgmise kuu eesmärgiks, loo parem protsess või juhend. Üks maha istumine, asja lahti arutamine ja kirja panemine. Tehtud.
Ei ole kindel, et lahkunud töötajatelt on kõik õigused öra võetud? Pane kuupäev kalendrisse ja käi oma töökeskkonnad läbi. Tehtud!
Selline tegevus loob pideva rutiini tegeleda infoturbega ja see omakorda vormib organisatsiooni kultuuri. Tugeva infoturbe harjumusega organisatsioonid teevad üheksa korda kümnest silmad ette olulisemalt suurema IT eelarvega organisatsioonidele kus kultuur infoturvet arvesse ei võta.
Infoturve ei eelda suurt IT-meeskonda ega kallist tehnoloogiat. Alustada saab väikestest otsustest ja teadlikest sammudest. Ära jää ootama täiuslikku strateegiat - õige hetk tegutseda on täna!
Kui mõni neist sammudest tundub keeruline, võta ühendust: info@f0.ee või kirjuta otse meie chatis lehe paremal allservas.