Nüüd, kus oleme jõudnud aastasse 2022, on nii organisatsioonide kui ka inimeste jaoks äärmiselt oluline uuesti analüüsida praegust tehnoloogilist konteksti, pidades eelkõige silmas küberturvalisust. KPMG aruande CEO Outlook andmetel usub 75% ettevõtete tegevjuhtidest, et tugev kübarturvalisuse strateegia on peamiste sidusrühmade usalduse võitmiseks kriitilise tähtsusega. Küberturvalisuse valdkond areneb pidevalt, mis toob kaasa nii probleeme kui ka võimalusi. KPMG on analüüsinud küberturvalisuse maastikku ja avaldanud aruande „Ülevaade küberturvalisusest 2022. aastal: turvalisus loob usaldust“, kus on käsitletud kaheksat peamist teemat, millele ettevõtete infoturbejuhid peaksid 2022. aastal mõtlema. Enne teemadest üksikasjalikuma ülevaadet tuleb kindlasti rõhutada, et infoturbejuhid peaksid muutma oma mõtteviisi üldiselt. Nad peaksid olema organisatsioonis pigem innustavad mõjuisikud kui reeglite ja meetmete jõustajad. Inspiratsioon on pikemas perspektiivis sageli tõhusam motivaator kui sund. See põhimõte kehtib ka küberturvalisuse kohta. Infoturbejuhid peaksid kolleege pigem mõjutama ja innustama kui neile ütlema, mida nad teha tohivad ja mida mitte.

Kaheksa küberturvalisuse teemat 2022. aastal

Strateegiline üleminek

Tänapäeval puudutab ja mõjutab küberturvalisus iga tehnoloogiaettevõtte tegevuse peaaegu kõiki tahke. Küberturvalisus ei ole enam valdkond, millega tegelevad ainult turva- ja IT-töötajad. Seepärast tuleb mõista, et küberturvalisuse eest ei vastuta enam üksnes IT-spetsialistid, vaid kogu ettevõte ühiselt. Infoturbejuht peab täitma mitut rolli ja suutma viia ettevõtte äristrateegia kooskõlla küberstrateegiaga. Seega on äärmisel tähtis, et küberturvalisus oleks lõimitud äriprotsessi. Infoturbejuhid peavad aitama ettevõtte juhtkonnal sellise ülemineku võimalikuks teha.

X-faktor: kriitilised võimed ja oskused

Juba enne COVIDit muutus järjest olulisemaks turulejõudmise kiirus, millega peab kaasas käima kõigi asjassepuutuvate riskide analüüs, ning koroonakriisiga on need vajadused veelgi teravamalt esile tõusnud. Praegu valitseb suur puudus võimekatest küberturbespetsialistidest. KPMG soovitab selle lünga täitmiseks otsida alternatiivseid lahendusi näiteks vabakutseliste kaasamise ja küberturvalisuse toimingute automatiseerimisega. Peale selle julgustatakse infoturbejuhte vaatama talendiotsingul laiemalt ringi ning kõrvaldama sisenemistõkked, et meelitada valdkonda suuremal arvul võimekaid töötajaid. 

Turvalisuse kohandamine pilve jaoks

Küberturvalisuse maastikku on muutnud ka see, et jõudsalt kasvab pilveteenustele üle minevate organisatsioonide arv. Tavapärase küberturvalisuse tagamiseks vajalikud protsessid ja oskused ei tarvitse pilvekeskonnas enam sobida. KPMG aruandest ilmneb, et 90% organisatsioonidest võivad olla haavatavad pilveteenuse väärast konfigureerimisest tulenevate turvaohtude ees. Infoturbejuhid peavad aitama oma tiimil mõista konkreetselt pilvega seotud küberturvalisuse nõudeid ja kohandada küberkaitset pilveteenustega. Seejuures tuleks lähtuda reguleerivast raamistikust ja võtta arvesse seda, kuidas mõjutavad pilve turvalisust sellised õigusaktid nagu isikuandmete kaitse üldmäärus ja USA terviseandmete kaitse seadus HIPAA.

Täisusaldamatuse mudeli aluseks on identiteedihaldus

Ajal, kui miljonid töötajad on läinud üle kaugtööle ja inimesed ostavad oma telefoniga kaupu igast maailma nurgast, muutub äriprotsessides järjest tähtsamaks identiteedihaldus ja nn täisusaldamatuse (ingl zero trust) turvamudeli kasutamine. Täisusaldamatuse mudelit ei tuleks enam vaadelda tehnoloogiana või lisafunktsioonina, vaid pigem turvastandardina, mille kõik infoturbejuhid peaksid kasutusele võtma. Iga sellise mudeli keskseks komponendiks peab olema identiteedihaldus.

Turvasüsteemide automatiseerimine

Automatiseerimine aitab sageli vabastada ressursse, mida võiks rakendada paremini kui monotoonsete ja korduvate ülesannete täitmiseks. See peab paika ka küberturvalisuse valdkonnas, kus selliseid toiminguid nagu nõrkuseotsing, logianalüüs ja vastavuskontroll tehakse automaatselt. Nii saavad võimekad infoturbespetsialistid keskenduda tõeliselt kriitilise tähtsusega olukordadele ning ei pea kulutama aega madalama tasandi ohtudele, mida saab hallata ka automatiseeritult. Infoturbejuhte innustatakse automatiseerimist täiel määral ära kasutama.

Privaatsus

Praegu käsitatakse küberturvalisust ja privaatsust eri valdkondadena, mis tihti toimivad üksteisest lahus. Kuna teadlikkus isikuandmete kaitsest ja selle tähtsusest aga järjest kasvab, suureneb ka vajadus suhtuda privaatsusesse mitte kui eraldiseisvasse õigusharusse, vaid kui mitut valdkonda ühendavasse funktsiooni. Kui ettevõtted rakendavad oma tegevuses lõimprivaatsuse põhimõtet, peaksid andmekaitseküsimused olema küberturvalisuse süsteemidega tihedalt läbi põimunud. 

Turvalisus, mis ulatub ettevõtte piiridest kaugemale

Tänapäeval sõltuvad ettevõtted sageli tarneahelate usaldusväärsusest ja mitmest äripartnerist. Selliste sõltuvuste tulemusena on 79% küberturbe tiimidest mõistnud, et äripartneri ökosüsteemi ja tarneahela kaitsmine on sama oluline kui ettevõtte enda küberkaitsesüsteemide loomine. Seetõttu on kujunenud võrgustikud ettevõtetest, mis teevad koostööd ja vajavad piisavaid kontrollsüsteeme selleks, et kaitsta samal ajal nii enda kui ka partnerite andmeid. Vaja on luua tugev riskijuhtimise raamistik, millega saaks hallata nii organisatsioonisiseseid kui ka -väliseid küberohte. See nõuab infoturbejuhtidelt proaktiivset tegutsemist: automatiseerimise, pideva järelevalve ja täisusaldamatuse mudelite abil saavad nad aidata tagada turvalisust ka väljaspool ettevõtte piire.

Vestlus kübervastupidamisvõime teemal

KPMG aruandes kutsutakse infoturbejuhte üles algatama ettevõte tippjuhtkonnaga vestlusi teemal, kas ettevõte on küberründeks valmis. Küberründele vastupanuvõimeline ettevõte peab analüüsima kõiki ärilisi ja strateegilisi põhiprotsesse. Infoturbejuht peab muutma kübervastupidavusvõimet käsitleva vestluse formaati nii, et see peegeldaks kogu ettevõtte valmisolekut küberrünnete leevendamiseks ja suurimate riskide tuvastamiseks.

 

Loodetavasti on teile kui organisatsioonile või infoturbejuhile siin artiklis esitatud soovitustest kasu. Üksikasjalikuma ülevaate saamiseks tutvuge aruande täisversiooniga aadressil Cybersecurity considerations 2023 - KPMG Global