Elisa infoturbejuht Mai Kraft selgitab arvamusloos, et digimaailma koliv äritegevus tähendab ka vajadust uueks lähenemiseks ettevõtte turvalisuse tagamisel.
Mai Kraft märkis, et aastate eest pidi iga veidigi suurem ettevõte tööl hoidma turvameest, kes visalt territooriumi patrullis ja pahalased eemal hoidis. Tänaseks on paljude ettevõtete äri suures osas kolinud digimaailma. See tähendab Elisa infoturbejuhi sõnul, et range näoga turvamehe kõrval peab koha sisse võtma ka keegi, kes hoiaks eemal virtuaalseid aiaauke otsivad küberpätid.
“See keegi ei pea väiksema ettevõtte puhul olema ilmtingimata eraldi inimene eraldi rollis, kuid mida suuremaks äri kasvab ja mida mitmekülgsemaks muutuvad ohud, seda loogilisemaks muutub varem või hiljem infoturbejuhi ning lõpuks terve infoturbemeeskonna üles ehitamine,” ütles ta. “Väiksemas firmas saavad pätipeletaja töö enda vahel ära jagada hulk inimesi, mingil hetkel võib see aga kasvada üle pea.”
See, kas küberturvalisuse tagamiseks on vaja luua eraldi ametikoht, sõltubki peaasjalikult firma tegevusalast, suurusest ja vabadest ressurssidest. Kraft selgitas, et suuremas ettevõttes on potentsiaalseid ründevektoreid mitmeid ning võimalikud kahjud hiiglaslikud. Nii jagub harilikult infoturbejuhile — või asjalikule turvapartnerile — tööd küllaga. See ei tähenda, et väiksemad firmad võiks end pelgalt oma suurusest tulenevalt eeldada, et ohud neid ei puuduta.
“See, et terve inimese töölauda ei suudeta ära täita, ei tähenda, et turvateemadega tegelema ei peaks. Kui eraldi inimest veel välja ei kanna, tuleks teemad lihtsalt meeskonna vahel ära jagada: kes tegeleb arvutite turvalisusega, kes võrguturbega, kes andmekaitsega, kes viimaste uudistega kursis püsimisega. Mingi maani saab nii kõige olulisema tehtud, aga kui turvateemadega tegelemine hakkab juba põhitööd mõjutama, tasuks leida keegi, kelle kätte kogu valdkond usaldada,” rääkis ta. “Ilmselgelt on sel hetkel teemasid õhus piisavalt, et õigustada inimese palkamist.”
Keda oma tiimi võtta?
Küberturvalisus on küll lai valdkond ning eri rollides inimesi võib küberturbetiimi palkama jäädagi, kuid enamasti pole liiga suure hooga pihta hakkamine mõistlik. Kraft sõnas, et kui ettevõttes pole varasemalt olnud ühtegi inimest, kelle tööks olekski vaid turvateemadega tegelemine, tasuks esimeses järgus tööle võtta valdkonnaga kursis olev generalist. Viimane saaks hakata olukorda kaardistama, esimesed sammud ära teha ja vajadusel tulevikus viidata, milliste erioskustega inimesi veel meeskonda kaasata tuleks.
Õigete inimeste palkamise kõrval on olulisel kohal ka see, et turvalisuse eest vastutavatel inimestel lastaks päriselt oma tööd teha, neid võetaks kuulda ning et nende käsutuses oleksid vajalikud ressursid. “Turvatiim peab olema oluliste otsustusprotsesside juurde kaasatud ning kui turvalisuse nimel mõni reegel luuakse, siis peavad need kehtima kõigile — nii turvajuhile endale, tavatöötajale kui ka tegevjuhile,” lausus ta.
“Kindlasti tasub ka kuulda võtta, kui infoturbejuht viitab, et meeskonda oleks vaja leida uus kindlale teemale keskenduv spetsialist, või oleks vaja kasutusele võtta mõni uus lahendus, mis tänast olukorda parandada aitab. Iga veidigi kogenud ekspert teab, et turvateemade puhul tuleb leida tasakaal mõistlikkuse ja kaitstuse vahel, seega kui juba uue inimese või uue süsteemi vajadus lauale tuuakse, siis ilmselt on see ka päriselt mõistlik samm,” arutles Kraft. “Turvatiimis impeeriumit ehitada ei saa — see tekitab vaid segadust ja ajakulu. Seega on oluline leida õiged inimesed õige töö peale. Täpselt nii palju, kui neid vaja on.”