Kümme võimalust täiustada ettevõttes infoturvet

Ettevõtte andmeturve algab kontoriuste sulgemisest ja firmas andmekaitsereeglite kehtestamisest.

Andmeturvet saab tõhustada näiteks muretsedes olulisi andmeid sisaldavale arvutile UPSi või visates tundliku infoga paberid tavalise prügikasti asemel turvaprügikasti.

1. Uksed lukku ka tööpäeva ajal

Ukselukkude ja akende sulgemine pole enam tavaliselt probleem. Sagedamini toimuvad vargused päise päeva ajal, kui hetkeks tualetti minnes jäetakse kabineti uks lahti või pole ühiskasutatav koosolekuruum lukustatud.

Murelaps on võtmehalduse puudumine - ei peeta korrektselt arvet, kellele on millise ukse võtmed või turvasignalisatsiooni pääsuõigused antud. Kui töötajaga töösuhe lõppeb, pole ülevaadet, millised võtmed on vaja tagasi saada (tõsisema kaitse puhul lukud muuta) ja millised turvasignalisatsiooni koodid tühistada.

Riski vähendamiseks vaadake üle ettevõtte ligipääsukohtade kaitse, pidage arvet võtmete ja turvakoodide üle ning nõudke uste lukustamist ka päise päeva ajal.

2. Pidage arvet kasutajatunnuste üle

Infosüsteemi kasutajatunnus on meie elektrooniline identiteet. Selle järgi eristab rakendus, kes tema kallal toimetab. Sagedasti ei peeta personaalsete kasutajatunnuste ja ligipääsuõiguste jagamist tähtsaks.

ühiskasutatava tunnuse puhul on raske tagada andmete kasutamist vastavalt töötaja volitustele ning segaduse korral tagantjärele kindlaks teha, kes on rakenduses vale tegevuse teinud. Mõned viletsama turbega rakendused nõuavad käivitamiseks administraatori või nn superuser'i õigusi, mis toob kaasa võimaluse, et tavakasutaja rikub kogu süsteemi kogemata ära.

Riski vähendamiseks jagage ligipääsuõigusi personaalselt vastavalt töötaja volitustele ning pidage arvet, kellele, millal ja millised õigused on antud.

3. Tagage turvainfo jõudmine töötajateni

Kõige sagedamini leiavad turvaintsidendid aset kogemata ja teadmatusest. Töötaja on igapäevaselt või kriisisituatsioonis käitunud heauskselt teisiti, kui on andmekaitse seisukohast õige. Puudu on lihtsad kokkulepped ja protseduurid või pole töötaja nendest teadlik.

Näiteks ei tohi jätta töökohalt lahkudes arvutit kunagi avatuks. Lisaks võimalusele otsesteks pahatahtlikeks tegevusteks teie elektroonilist identiteeti kasutades, annate nii kõigile ligipääsu ka oma e-postile ja dokumentidele.

Ka pole teil enam tagantjärele võimalik tõestada, et pahanduse elektroonilises maailmas ei saatnud korda teie, vaid keegi teine teie kasutajanime abil.

Riski maandamiseks mõelge läbi, mida iga töötaja peab teadma või tegema ning tagage, et see teadmine ka nendeni jõuab.

4. Tehke regulaarselt tagavarakoopiaid

Andmete tagavarakoopiate väärtust tunnetame kõige paremini siis, kui mõni vajalik andmebaas või olulised dokumendid on hävinenud. Tänapäeval on tavapärane, et serveris olevatest andmetest tehakse regulaarselt tagavarakoopiad.

Olulisi puudujääke on aga koopiate tegemise sageduses ja hoidmisel. Siinjuures tuleb arvestada, et kui teha andmetest koopia üks kord kuus, läheb halvemal juhul kaduma kogu viimase kuu töö.

Hoiustamise puhul tuleb arvestada, et intsidendi (tulekahju, vargus) toimumisel ei tabaks kurb saatus ka tagavarakoopiaid.

Riski maandamiseks tagage, et kõikidest olulistest andmetest tehtaks järjekindlalt tagavarakoopiaid ja et neid hoitaks turvalises kohas.

5. Viirustõrje pange igasse arvutisse

Lisaks dokumente hävitavatele ja infosüsteemide tööd aeglustavatele viirustele on suureks hädaks saanud pahalaste (nn troojalaste) levik. Vastikumad neist teevad teie arvutist salaja piraattarkvara ja porno jagamise keskuse. Lisaks kettamahu drastilise vähenemise ja arvutivõrgu liikluse aeglustumise probleemidele võib teid tabada ka korrakaitseorganite huvi.

Riski maandamiseks tagage, et viirustõrje rakendus on olemas igas arvutis ja viirustõrje värskendused jõuavad kohale kord päevas.

6. Dokumentide hoidmiseks kindel kord

Vanade andmetega tekib kaks probleemi - kuidas vajalikke andmeid pikaajaliselt hoida ja ebavajalikke korrektselt hävitada. Hävitamise probleem esineb sagedamini paberil asuvate andmetega. Iga paberit ei viitsita paberihunti sööta. Mugav lahendus dokumentide hävitamiseks on visata ettevõttes kõik mittevajalikud väljatrükid ja dokumendid rutiinselt pitseeritud vanapaberikogujasse ja lasta need hävitada.

Riski maandamiseks mõelge läbi ja rakendage dokumentide hoidmise kord ning tagage ebavajalike dokumentide rutiinne hävitamine.


7. Tagavaratoide olulistele seadmetele

Väga lihtsalt lähevad serverid ja infosüsteemid rikki pärast ootamatuid voolukatkestusi. Elementaarne praktika on tagada olulistele seadmetele stabiilne elektrivool puhvertoiteallika UPSi või generaatoriga.

Riski maandamiseks soetage olulistele seadmetele tagavaravoolu allikad.

8. Kontrolljäljed kõikidest tegevustest

Igast tegevusest elektroonilises maailmas saab maha jätta elektroonilise jälje - kes ja millal mida tegi. Ilma jälgedeta on raske pärast kindlaks teha, mis täpselt turvaintsidendi põhjustas ning kes olid sellega seotud.

Kontrolljälgi ehk logisid võiks pigem rohkem olla - andmemahud pole tänastes süsteemides enamasti probleemiks. Kontrolljälgi tuleb rutiinselt analüüsida, nõnda saab üles leida nii salamahti tehtud pahateod kui ka teadmatusest tulenevad valed töövõtted.

Riski maandamiseks tagage, et kõikide oluliste süsteemide ja rakenduste puhul salvestataks kõikidest tegevustest kontrolljäljed ning logisid analüüsitaks rutiinselt.


9. Reeglid andmete kasutamiseks

Turvaintsidendi süüdlast otsides avastatakse tihti, et vastutus andmete kaitsel ja kasutamisel on reguleerimata. Puudub infosüsteemi kasutamise kord ja ka muudes tööd reguleerivates dokumentides (sisekorra reeglid, ametijuhend, tööleping) pole teemat käsitletud. Sageli pole võimalik vastutajat üles leida kontrolljälgede puudumise või kasutajatunnuste süsteemi puudulikkuse tõttu.

Riski maandamiseks tagage juriidiliselt korrektselt töötaja vastutus andmetega teostavate tegevuste eest ning kehtestage üheselt mõistetavad andmete ja infosüsteemi kasutamise reeglid.

10. Koostage ülevaade oma infovaradest

Raske on vara kaitsta, kui neist puudub detailne ülevaade. Kummalisel kombel pole sageli ettevõttes ülevaadet, kui palju on seal arvuteid-servereid, mis andmebaase ja dokumente on loodud ning kuidas on arvutivõrk üles ehitatud.

Arvutivõrgu aukudega kaasneb pealtkuulamise oht. Tavaliselt on puudulik spetsiaaltarkvara dokumentatsioon ja põhisüsteemide seadistuste (konfiguratsiooni) info. See tähendab rikete korral pikemaid katkestusi, sest vea kõrvaldamisele lisandub avastamise ja õppimise aeg.

Riski maandamiseks koostage ülevaade kasutuses olevatest infovaradest, põhisüsteemide ülesehitustest ja seadistustest ning tagage muutuste dokumenteerimine.

Infoturbe parandamise teema kokkuvõtteks tuleb öelda, et artiklis toodud probleemide maandamisega saab ettevõtte andmete kaitse olukorda oluliselt parandada. Enamikul juhtudel ei ole selleks vaja mingeid eriteadmisi vaid ainult pealehakkamist.

Kui aga infotehnoloogia ja erinevad andmebaasid on ettevõttes strateegilise tähtsusega, siis on infoturbe parandamiseks mõistlik läbi viia riskianalüüs ja koostada äri talitluspidevusplaan.


Andmekaitse koosneb kolmest osast

Andmekaitse ei tähenda ainult info kaitsmist võõrastesse kätesse sattumise eest. Andmeturbel on kolm komponenti - konfidentsiaalsus, terviklus ja käideldavus.

Konfidentsiaalsus tähendab teabe kättesaadavust ainult selleks volitatud isikutele. Näiteks pole minu terviseandmed mõeldud lugemiseks naabrimehele. Terviklus tähendab andmete volitamata muutmise võimatust ja muutja allika tuvastatavust. Nii ei tohi ma saada ise muuta oma palganumbrit raamatupidamisrakenduses ning logidest peaks nägema, kes ja millal seda muutis. Käideldavus on kasutamiskõlbulike andmete õigeaegne ja hõlbus kättesaadavus volitatud kasutajale. Näiteks peab kliendiandmebaas olema müügimehele kogu aeg kättesaadav.

Nõrkus andmete kaitses ei tähenda tingimata, et midagi juhtub. Andmete turvalisust ähvardavad mitmesugused ohud, näiteks tulekahju, andmete volitamata kasutamine, elektrikatkestused jms. Kui kaitses on nõrkused - puudub tuletõrjealarm, pole UPSe või on kasutajaõiguste jagamise süsteem puudulik -, võivad mõned ohud realiseeruda ning sündida kahju.

10 olulisemat andmeturbeprobleemi

* Hoonete, uste, akende füüsilise turbe puudulikkus.* Puudulikult hallatavad kasutajatunnused.* Firma töötajate vähene turvateadlikkus.* Puuduvad või vääralt hoiustatud tagavarakoopiad.* Puudulik viirustõrje arvutites.* Dokumentide ebapiisav arhiveerimine ja hävitamine.* Ebakindel toitevõrk ja puuduvad tagavaravoolu seadmed.* Logide või nende analüüsi puudumine.* Töötajate hägus vastutus.* Ebatäielik ülevaade firma infovaradest.

Osale arutelus

  • Erkki Leego

Raadio ettevõtlikule inimesele

Hetkel eetris

Jälgi Sekretäri sotsiaalmeedias

RSS

Peopaik

Energia avastuskeskus – pinget pakkuv ja ootamatult šikk peopaik

Tallinna vanalinna ja Kalamaja piiril asuv Energia avastuskeskuse hoone on sadade üritusekorraldajate jaoks vastanud kolmele üliolulisele kriteeriumile: a) vana elektrijaama masinamaja peasaal on ootamatu, ent šikk peopaik, b) suurel ekspositsioonialal on külalistele garanteeritult avastamisrõõmu, ja c) keskuse asukoht on lihtsalt väga hea.

Kopra talu – peopaik Mulgimaa ürgses looduses

Turismistaluna hakkas Kopra talu tegutsema 2000. aasta sügisel. Praeguseks on sellest kujunenud populaarne seminaride, konverentside, suvepäevade ja peoürituste pidamise paik. Kopra talu asub Viljandist 22 kilomeetri kaugusel Tuhalaane külas ning on ümbritsetud ürgmetsadest, soodest ja järvedest.

Küsitlus

Kuidas Sinu firmas suvepäevi peetakse?

  • Kahepäevased suvepäevad linnast eemal
    28%
    28%
  • Ühepäevased suvepäevad linnast eemal
    17%
    17%
  • Meeskonnaüritus töökoha lähedal
    10%
    10%
  • Suvepäevi ei peeta
    45%
    45%

Valdkonna tööpakkumised

BVT PARTNERS otsib BÜROOJUHTI

Tammiste Personalibüroo OÜ

28. juuni 2018

Teabevara