CISO-as-a-Service | organisatsiooni infoturbe küpsustaseme hindamine ja edasiarendamine
Primend on keskendunud peamiselt IT infrastruktuuri ja pilveteenuste juurutamisele ning haldamisele. Klientidel on aga lisaks Primendi hallatavatele teenustele kasutusel veel mitmeid erirakendusi, veebilehti, e-poode, süsteemide liidestusi, SaaS teenuseid, hübriidpilve lahendusi ja muid IT teenuseid. Üldjuhul vastutab ettevõttes üldise IT turvalisuse ning sellega seotud protsesside eest infoturbejuht ehk CISO (Chief Information Security Officer).
Tihtipeale ei ole väikesel, keskmisel ning mõnel suuremalgi ettevõttel täiskohaga infoturbejuhti vaja, sest:
- pole piisavalt palju igapäevast tööd pakkuda
- sellise tasemega asjatundja palgal pidamine ei tasu ennast ära.
Küll aga on vaja head nõu infoturbe osas:
- millised on kõige suuremad riskid
- millistele standarditele ja seadustele peab vastama
- milliseid infoturbedokumente on ettevõttel vaja
- kuidas hinnata koostööpartnereid
- kuidas kaitsta ettevõtet erinevate küberohtude eest
- kuidas toimida siis, kui juhtub mõni intsident
Siin tulebki appi Primendi infoturbejuhi teenus (CISO-as-a-Service), mis aitab ettevõttel teha arenguhüppe infoturbe tagamisel.
Primendi infoturbejuhi teenus täidab ettevõttes puuduva infoturbejuhi rolli või aitab juba tööl olevat infoturbe eest vastutajat tema ülesannete täitmisel, lisades vajaliku kompetentsi ning kogemused.
Üldjuhul tuleb alustada infoturbe küpsustaseme hindamisest – nagu eelpool juba öeldud, on klientidel kindlasti palju selliseid infosüsteeme ja rakendusi, millega Primend seni otseselt kokku puutunud ei ole, aga mis moodustavad infoturbe tagamise vaates osa ühtsest tervikust.
Seega on vajalik saada terviklik ülevaade erinevatest infosüsteemidest ja rakendustest ning ettevõtte äristrateegiast tulenevalt, infoturbe aspektis olulistest rollidest, protsessidest ja muudest kasutusel olevatest tehnoloogiatest.
Küpsustaseme hindamise puhul pole tegemist otseselt auditiga, vaid kokkuvõtte koostamisega selleks, et aru saada, millised peaksid olema järgnevad tegevused ning nende prioriteedid organisatsioonile kõige suurema kasu toomiseks.
Mõned antud faasis toimuvad tegevused on järgnevad:
- intervjuud organisatsiooni juhtkonna ja võtmetöötajatega
- intervjuud oluliste partneritega, IT arhitektuuri ja integratsioonide analüüs
- arvutivõrgu topoloogia analüüs – kas võrgud on piisavalt kaitstud, segmenteeritud jms
- IT infrastruktuuri üldine analüüs
- taasteplaanide ja varunduspoliitika analüüs, RPO/RTO äririski hindamine
- rakenduste analüüs (sisemised arendused, veebilehed, e-pood, SaaS teenused)
- kokkuvõtva raporti koostamine koos arendusettepanekutega.
Ajaliselt võtab küpsustaseme hindamine, sõltuvalt organisatsiooni suurusest ja keerukusest umbes 1-3 kuud ning eeldab loomulikult head koostööd organisatsiooni poolt – seda nii intervjuudeks vajalike aegade leidmisel, olemasoleva dokumentatsiooni edastamisel kui ka intervjuude käigus avatult ja ausalt nii hästi toimivate kui parandamist vajavate protsesside kirjeldamisel.
Kui infoturbe küpsustaseme hindamine on tehtud ning juhtkonnale ülevaade koos raportiga edastatud, saame koos otsustada, milliste tegevuste ning arendusettepanekutega on kriitiline kohe tegeleda ning millised on võimalik hajutada pikemale perioodile. Edasised võimalikud tegevused on alljärgnevad:
Infoturbe valdkonna strateegia, eesmärkide ja mõõdikute seadmine lähtuvalt ettevõtte äristrateegiast:
- infoturbealaste riskianalüüside läbiviimine
- vajalike infoturbelahenduste planeerimine, juurutamine ja haldamine
- infoturbe poliitikate, reeglite ja juhendite koostamine ning ajakohasena hoidmine
- ettevõtte infoturbe pideva parendusplaani väljatöötamine ja täideviimine
- ettevõtte töötajate infoturbealase teadlikkuse tõstmine ja koolitused.
Lõplik tööde nimekiri sõltub aga alati lähtuvalt konkreetse ettevõtte soovidest ja vajadustest ning saab kokku lepitud teenuse tellimise käigus. Infoturbejuhi teenust saab tellida kas projektipõhiselt või kuutasulise teenusena.