Turvaaudit leiab riskid ja pakub vastukäike
„Turvaaudit hindab ettevõtte riske, mida tuvastades ja minimeerides õnnestub kliendil tuntavalt raha kokku hoida,” põhjendab turvaettevõtte K Security juhatuse liige Marko Haruoja, miks lasta oma ala ekspertidel ettevõtet hinnata.
Suurim probleem on lojaalsus ja sisevargused
Turvaaudit hõlmab ettevõtte poolt kehtestatud siseste standardite, juhendite, eeskirjade ja turvapoliitika täitmise kontrolli, mille eesmärk on tuvastada võimalikke nõrkusi, riske ja anda soovitusi nende parendamiseks.
20aastase valdkonna töökogemusega Haruoja täpsustab, et turvaaudit tähendab organisatsiooni infoturbe hindamist ja parandamist: „See protsess hõlmab infosüsteemide, võrkude, tarkvara ja füüsiliste turvasüsteemide ülevaatamist, et tagada nende vastavus turvapoliitikatele ja standarditele. Turvaauditite eesmärk on tuvastada haavatavused ja riskid, anda soovitusi paranduste kohta ning veenduda, et infoturve on piisaval tasemel organisatsiooni andmete ja ressursside kaitsmiseks.”
Hiljem tehakse järelkontroll, et fikseerida muutused.
Kokkuvõtvalt öeldes on turvaaudit oluline osa organisatsiooni infoturbe haldamisest ja pidevast parendamisest, mis aitab tagada, et organisatsioon on valmis kaitsma oma andmeid ja süsteeme võimalike ohtude eest.
Haruoja toob näite ühest kaupluseketist, kus osa kauplusi eristusid suuremate kadude tõttu: „Suurte kadude taga olid vigased protsessid ja puudulik järelkontroll, mis võimaldasid töötajatel muutuda tööandja suuremaks riskiks ja „tööd koju kaasa võtta”. Mõni kauplus oli nii alamehitatud, et sirge seljaga kauba eest maksmata välja jalutades polnud kedagi sekkumas. Ent kõige suuremad vargused tehakse ikkagi tagauksest. Saime meetri pikkuse nimekirja puudustest.”
K Security omanik Marko Koka rõhutab samuti, et sõltumata tegevusvaldkonnast on number üks probleem sisevargused: „17 aastat on meie igapäevaseks tegevuseks kliendi tellimusel igasugusel viisil siseneda ettevõtte territooriumile olgu selleks võltsitud töötõend, sorav jutt või sirge selg ja väljuda ettevõttest nende poolt toodetud kaubaga. Kaubanduses või tootmises on kadu üle ühe protsendi käibest juba kriitiline ja tasub mõelda eraldi turvamehele.”
Ta soovitab rakendada lihtsaid meetmeid, näiteks silte, mis keelavad kõrvalistel isikutel territooriumile sisenemise. „Juba see annab politseile seadusliku aluse kutsumata võõraga tegelemiseks, kas siis kui värav lahti ja sissetungija kehitab õlgu.”
Teine ettevõtte omanik, üle 25 aasta valdkonnas tegutsev Margus Laasi lisab, et paljud ettevõtted ei oska tavaliselt hinnata oma inimeste lojaalsust: „Kohta vahetades kiputakse kaasa võtma vara, kliendiandmeid või ligipääs muudele andmebaasidele, mida uues ametis kurjalt ära kasutatakse. Ent ka kliendisuhteid hoides kiputakse väga lähedaseks saama ja kliendid hakkavad müügiesindajale saatma järjest kiituskirju, peaks see ohu märgiks pirni põlema lööma, et tuleb seda personaalsust hajutada. Töölepingus peaks lojaalsus olema selgelt määratud koos eksimusega kaasneva tagajärjega.”
Suuremad organisatsioonid vajavad püsivat sisekontrolli
Riske, mida ei oska esmapilgul aimatagi on palju. Laasi toob näite rendipinnal olevas kontorist, kus majahaldur siseneb ruumidesse rentniku teadmata ja üldvalve all hoones jääbki see tuvastamata, kui ruumide kasutajal puuduvad oma valvesüsteemid.
„Seadus paneb kinnisvaraomanikule turvaseadmete hooldamise kohustuse. Näiteks võtame koolimaja, kus kümneid suitsuandureid, mille korrasolu tuleb iga kuu kontrollida aga selle eest küsitakse tasu 10 eurot, siis see pole reaalne, et seda tegelikult tehakse,” nimetab Koka järgmise riski, mis auditeerijatele ei jää märkamata.
„Või võtame suurürituse, kuhu tellitakse 100 turvameest ja makstakse teenuse eest korralikult raha. Auditeerija saab korraldaja jaoks üle lugeda, kas neid on tegelikult nii palju ja kas neil on ka vastav pädevus,” lisab ta vajaduse kontrollida hanketingimuste tegelikku kliendi huvides täitmist.
Kuidas risk võib realiseerud viitab ta meediast hiljuti läbi käinud Tallinna Transpordiameti ilmekale juhtumile, kus üks inimene leidis augu, kuidas omakasu saades tööandjat suurte summadega petta. See näitab, et suuremates organisatsioonides on hädavajalik luua pidev sisekontroll.
Ootamatult palju riske peitub teenuselepingutes, kus on nõuete esitamise piirid jäänud määramata ja klient istub pähe.
„Erilise tähelepanelikult tuleb suhtuda igasugustesse nõudeõigusesse, mis võivad kasvada ülejõu käivateks. Vältida tuleb lepinguid, mis nõuavad teenuse jätkumist, kuigi klient on võlgu. Ehitustel, kus peatöövõtjal palju allhankijaid tuleb olla tähelepanelik, et ei võetaks vastutust, kellegi ees, kellega pole lepingus tingimusi kokku lepitud,” hoiatab Haruoja üle jõu käivatest riskidest.
Mehed tõdevad, et riske mida turvaaudit aitab märgata ja kõrvaldada on oluliselt rohkem, kui eelpool toodud näiteid.
Kuidas saab ettevõtja mõõta turvaauditist tulenevat kasu?
Laasi toob lihtsa näite: „Üks kivitootja tellis auditi, kus selgus, et nende materjalid olid puha ripakil ja läksid vasakule. Auditi ettepanekul vahetati välja tegevjuht ja mis juhtus? Pool aastat hiljem oli kuulda, et kiviturg olevat kokku kuivanud – terve Eesti turg kannatas selle all, et kivi polnud enam mustalt saada!”
Turvaauditi etapid
1. Planeerimine ja ettevalmistus. Määratakse auditi ulatus, eesmärgid ja ajakava. Valitakse auditeerimismeetodid ja kogutakse vajalikud andmed.
2. Andmete kogumine. Kogutakse teavet organisatsiooni praeguste infoturbepraktikate, -protsesside ja -tehnoloogiate kohta.
3. Hindamine: Analüüsitakse kogutud andmeid, et hinnata turvalisuse taset ja tuvastada võimalikke nõrkusi ja riske.
4. Soovituste koostamine: Koostatakse aruanne, mis sisaldab leitud probleemide kirjeldust ja konkreetseid soovitusi nende lahendamiseks.
5. Tulemuste esitamine. Esitatakse auditi tulemused juhtkonnale või vastutavatele isikutele ning arutatakse soovituste rakendamist.
6. Järelkontroll. Kontrollitakse, kas soovitused on rakendatud ja kas turvalisuse tase on paranenud. Vajadusel tehakse kordusaudit.
Lisainfo saamiseks helista meile telefonil +372 6000 755 või saada sõnum