- Küberturvalisus kui juhtimisotsus
- Kas ettevõtte andmete kaitseks piisab kontrollist kord aastas?
- 10 küberkäsku tippjuhile koos lahendustega
- Kaitse oma äri. Küberturvalisus on äririsk.
- Kuidas olla valmis kasvavateks küberohtudeks?
- Copilot koolituse kogemuslugu: Dimedium
- Exchange Online lõpetab Client Submission (SMTP AUTH) Basic autentimise toe
- Copilot kasutab nüüd GPT-5 | Sügisesed Copiloti uuendused
- Olulised muudatused Microsoft 365 litsentsides alates 01.07.2026
- Olulised muudatused Microsofti litsentsides ja hindades 2026. aastal
- M365 Copilot Business litsentsid SME-dele
- Aasta lõpuni Copilot litsentsid 50% soodsamalt
- Microsofti igakuise arveldamisega aastaste litsentside hind tõuseb 1. aprill 2025
- Microsoft 365 Copilot aastane litsents igakuise maksega
- Primend grupi juhina alustab Teet Raudsep
- Toomas Mõttus jätkab Primendis suurosanikuna
- Primend võitis Microsoft 2023 aasta partneri tiitli
- Primend - Microsofti kaasaegsete lahenduste partner
- Kapitel investeerib Riia bürooarendusse üle 60 miljoni euro
- Pilveteenustele keskendunud ettevõtted Primend ja Digifi ühinevad
- Pressiteade | Primend ja Bondora kingivad kahele koolile lauaarvutid
- Pressiteade | Primend kinkis Ida-Viru Keskhaiglale tahvelarvutid
- Primend aitas SYNLABil hooldekodudele kinkida tahvelarvutid
- Pressiteade | Primend ja Iteraction ühinevad
Kas teie ettevõte on küberriskideks päriselt valmis?
Kui küberkuritegevus oleks riik, oleks see USA ja Hiina järel maailma suuruselt kolmas majandus. See võrdlus näitab hästi, miks küberturvalisust ei saa enam vaadata ainult IT-osakonna teemana.
Tänases ettevõttes on küberturvalisus otseselt seotud äriprotsesside, riskijuhtimise, juhtimisotsuste ja vastutusega. See mõjutab ettevõtte töökindlust, mainet, kliendisuhteid, andmete kaitset ja valmisolekut vastata järjest kasvavatele nõuetele.
Primendi hommikukohvil „Küberturvalisus kui äririsk“ rääkisime sellest, kuidas juhid saavad küberturvalisust teadlikumalt juhtida ning millest tasub praktiliselt alustada.
Järelevalve eesmärk ei ole karistada, vaid kahjusid ennetada
RIA esindaja Ilmar Toom rõhutas, et järelevalve eesmärk ei ole ettevõtteid karistada. Selle mõte on aidata organisatsioonidel riske paremini mõista ja ennetada olukordi, kus kahju võib muutuda oluliselt suuremaks.
Samas ei anna ükski standard, audit, sertifikaat ega järelevalve täielikku garantiid, et intsidente ei juhtu. Need aitavad aga luua parema aluse riskide juhtimiseks: ettevõte teab, millised varad tal on, kui olulised need ärile on ja mis võib juhtuda, kui need satuvad ohtu.
Küberturvalisuse esimene praktiline samm on selge ülevaade: millised on ettevõtte olulisemad süsteemid, andmed ja ligipääsud, kes neile ligi pääseb ning millised riskid võivad äritegevust kõige enam mõjutada.
Küberturvalisus vajab juhtkonna kaasatust
Riskihaldus ei peaks olema midagi, mida püütakse eraldi küberturvalisuse sisse mahutada. Vastupidi, riskihaldus peaks olema organisatsiooni loomulik osa ning küberturvalisus üks oluline tahk selles tervikus.
See tähendab, et küberturvalisus vajab ka juhtkonna selget kaasatust. Just juhtkonna tasandil tehakse otsused, määratakse vastutus ja eraldatakse vajalikud ressursid.
Kui küberturvalisus jääb ainult IT-tiimi vastutuseks, tekib oht, et olulised otsused tehakse liiga kitsalt tehnilisest vaatest. Tegelikult on küsimus palju laiem: milliseid riske on ettevõte valmis võtma, milliseid mitte ja millised tegevused on ärikriitilised.
NIS2 kohustus tuleneb seadusest, kuid turvalisusega tasub tegeleda igal juhul
Palju küsimusi tekitas ka NIS2 ja see, kuidas ettevõte saab aru, kas ta on kohustatud nõuetele vastama.
Ilmar Toom selgitas, et NIS2 kohuslust ei määra RIA, vaid see tuleneb seadusest. Keerulisematel juhtudel saab RIA aidata ettevõttel oma staatust paremini mõista, kuid küberturvalisusega ei tasu oodata ainult selle hetkeni, kui kohustus on lõplikult selge.
Turvalisusega tasub tegeleda igal juhul, sõltumata sellest, kas ettevõte on NIS2 subjekt või mitte. Küberriskid puudutavad ka neid organisatsioone, kellele konkreetne regulatsioon otseselt ei laiene.
Infoturbejuht ei tohiks olla IT enda kontrollija
Priit Rebane tõi välja olulise juhtimispõhimõtte: infoturbejuht peaks alluma otse juhatusele.
Põhjus on lihtne. IT ei saa olla korraga nii lahenduste elluviija kui ka enda töö sõltumatu kontrollija. IT eesmärk on sageli leida võimalikult toimiv, mugav ja efektiivne lahendus. Infoturbe roll on hinnata, kas see lahendus on ka piisavalt turvaline ja kas riskid on ettevõtte jaoks aktsepteeritavad.
Infoturbejuhi tööle võtmist või teenusena kaasamist tasub kaaluda siis, kui ettevõte tahab selgemat ülevaadet infoturbe riskidest, vastutustest, nõuetest ja igapäevastest tegevustest.
Kolm aastat tundub pikk aeg, aga kõike korraga teha ei saa
Teet Raudsep jagas Primendi praktilist kogemust nõuetele vastavuse saavutamisel. Kuigi üleminekuperiood võib tunduda pikk, tasub ettevalmistustega alustada kohe.
Kui ettevõttel saab selgeks, mida tuleb teha, ei ole kõiki muudatusi võimalik korraga ellu viia. Arvestada tuleb töötajate aja, rahalise investeeringu, tehniliste tegevuste ja muudatuste juhtimisega.
Lisaks ei piisa ainult sellest, et vajalikud tegevused kirja panna. Muudatuste elluviimine eeldab järjepidevat kommunikatsiooni, inimeste kaasamist ja selget arusaama, miks neid muudatusi tehakse.
Millest alustada?
Küberturvalisuse parandamine ei pea algama suure ja keerulise projektiga. Esimene samm on saada selge ülevaade oma ettevõtte tegelikust olukorrast.
Tasub küsida:
- millised on meie kõige olulisemad andmed, süsteemid ja teenused;
- kes neile ligi pääseb;
- millised riskid võivad kõige rohkem mõjutada äritegevuse jätkumist;
- kes vastutab infoturbe eest juhtkonna tasandil;
- kas meil on olemas plaan, kuidas intsidendi korral tegutseda.
Küberturvalisus ei ole ühekordne kontroll ega ainult vastavus nõuetele. See on pidev juhtimisprotsess, mis aitab kaitsta ettevõtte tegevust, kliente ja mainet.
Primend aitab ettevõtetel hinnata küberturvalisuse hetkeseisu, mõista regulatsioonidest tulenevaid nõudeid ning luua praktilise tegevusplaani riskide vähendamiseks.