IT-audit on võimalus saada väline vaade infosüsteemile, kus parasjagu töötatakse. „Kokkuleppeid IT-turvalisuses võib teha, kuid audit peegeldab, kuidas osalised neist aru on saanud,“ märkis Alexela IT-arendusjuht Tanel Viin Äripäeva raadio saates „Kasvukursil“.
„Samas ei tohiks seda kunagi võtta kui kontrolltööd, mille tuleku pärast peaks kartma,“ märkis ta.
Grant Thornton Balticu IT-juht Arko Kurg märkis, et üha olulisemaks muutub jälgimine, kui turvaliselt töötajad arvutitega käituvad. „Kaugtöötamise vaade on täna uus, kuid ka see peab olema turvaline,“ sõnas ta.
Kasvavaks suunaks on ka andmearhitektuuri auditid. „Sinna on küll audiitori leidmine väga keeruline, sest andmeteadlasi on võimatu leida ja kui kokkuehitajaid ei leia, siis kontrollijatega on veel keerulisem,“ ütles Grant Thorton Balticu andmekaitse ja küberturvalisuse valdkonna juht Maili Torma.
Ekspertide hinnangul on audit küll esialgu kulu, kuid aitab kokkuvõttes palju rohkem säästa kui selle eest makstud summa. „Sageli tullakse meie juurde mõne hästi spetsiifilise küsimusega, näiteks kui on juba toimunud mingi intsident või rünnak, keskmine intsidendi kulu on ettevõttele ligi 100 000 eurot,“ viitas Torma sellele, et rünnakuid tuleks ennetada.
Torma sõnul on kõige sagedasemad rünnakut seotud õngitsuskirjadega. „Klikitakse sinna, kuhu ei peaks, seega pole probleem mitte tehnoloogias, vaid selles, mis jääb arvuti ja tooli vahele ehk inimeses,“ teadis ta. „See näitab, et sageli on ettevõte jätnud oma inimesed koolitamata,“ vihjas ekspert veel ühele ennetusviisile, mis algselt paistab kuluna, kuid pikas perspektiivis aitab kokku hoida.
Augud turvalisuses võivad Torma sõnul tekkida näiteks kiiresti kasvavate ettevõtete puhul. „Kui ettevõte kasvab kümnelt inimeselt 300-le ning arendustiim muutub samuti kümnekordseks, hakkavad vead sisse tulema,“ arvas ta. „Algul pisikest projekti tehes ei arva keegi, et sellest võib suur asi saada.“
Auditi üheks suurimaks väärtuseks peavad eksperdid seda, et see lubab ettevõtte juhtidel reaalses olukorras tõele näkku vastata. „Audiitori esitatud kontrollküsimuste abil on võimalik tuvastada riski kohad ja riski suurus,“ selgitas Torma. „Tavaliselt, kui saan selle kontroll-lehe, jõuan juba asjad enne audiitori saabumist läbi mõelda ning oleme ühel lainel ja tekib võimalus probleemiga tegeleda,“ lisas Viin.
Torma rõhutab, et IT-riskide realiseerumine tähendab ka ettevõtte riskide realiseerumist. „Riskide maandamise meetmed on vajalikud kiiremaks reageerimiseks,“ märkis ta. Eksperdi sõnul on isegi keskmine risk aktsepteeritav juhul, kui teatakse, kuidas selle realiseerumisel käituda. „Audiitor aitab neid riske hallata,“ kinnitas ta.
Kure sõnul annabki audiitor riskide suhtes läbipaistvuse. „Ettevõte on täpselt nii tugev, kui on tema nõrgim lüli,“ märkis ka tema. „Mulle ütlebki audit seda, mida juhtkonna tasandil fookuses hoida,“ lisas Viin.
Torma tõi näite, et audit aitab ka koroonakriisiks paremini valmistuda. „Kevadel oli hulganisti näiteid ettevõtetest, kes avastasid, et pole mõelnud sülearvutite piisavusele ja turvalisele VPN-ühendustele, kuid ühtäkki oli vaja hakata kaugtööd võimaldama,“ viitas ta sellele, et IT-audit oleks nendele küsimustele juba varem tähelepanu juhtinud.
Eksperdid lisasid, et koroonakriisi ajal, mil kaugtöö on üha rohkem hinnas, on Europoli uuringu kohaselt suurenenud 90 protsenti distantstööga seotud küberkuritegevuse hulk. Audiitorid aitavad taas viidata kitsaskohtadele, mida kurikaelad saavad enda hüvanguks ära kasutada.
Paljudel juhtudel eeldab IT-auditi tellimist ka seadus. Näiteks finantsinspektsioon on avaldanud soovitusliku juhendi enda haldusalas kehtivatele infoturbe nõuetele. „Ilma nendeta ilmselt mõni pisike laenuandja isegi ei mõtleks selle peale, et oma süsteemide turvalisust kontrollida, kuid finantsinspektsiooni juhised suunavad,“ nentis Torma. Samuti on teatud andmeturbe standardid kehtestatud riigiasutustele.
Isikuandmeid kaitsev GDPR sunnib aga ettevõtteid mõtlema, kas ja kui palju üleüldse on vaja andmeid koguda, aga ka dubleerida. „Mida vähem neid koguda, seda rahulikuma südamega saab ettevõte toimida ning nii mõeldakse, kas üks või teine protsess ikka sunnib mingeid andmeid koguma,“ selgitas Kurg.
Kuulake saadet:
