Kübertugi

Riskijuhtimine on mistahes juhtimise lahutamatu osa. Digitaalsed teenused, sh kõige lihtsamad IKT kasutamise juhud, toovad ettevõttele kaasa äririske. Näiteks võib olla teie äririsk olla seotud  ettevõtte töötaja sotsiaalmeedia kontoga, millest teil aimugi pole. Sagedamini siiski on riskid seotud otsesemalt äritegevusega: 

Kõik eelpool on muidugi seotud kuritegevusega, mis on kübermaailmas rahvusvaheline ning tihti ei olegi suunatud otseselt teie vastu, vaid massilised õngitsused kasutavad ära mistahes ohvri haavatavuse.

Riske hinnates aga hinnake ka lihtsalt õnnetuse riske, mis saab, kui neid loetletud teenuseid ei saa mistahes põhjusel kasutada 1 päeva, nädala või neid sel kujul enam üldse ei saa taastada. Milline on mõju teie ärile ning mis peaks juhtuma, et need stsenaariumid realiseeruksid? 

Sealjuures on sisse ostetud teenuste juures võimalik, ITLi pakutud hea tava jõustamisel lepingutes, oluliselt vähendada teadmatusest tekkivaid riske. 

Ettevõtte riskide hindamine ning preventiivsete tegevuste tegemine peab olema rutiinne ja regulaarne. Turvalisust ei saa pikaajaliselt oodata ühekordsest projekttegevusest.  

Seetõttu planeerige regulaarseid turvakoolitusi ja õppuseid, mille korraldamise eest keegi konkreetselt peab meeskonnas hoolitsema. Leidke see isik oma ettevõttes! Varieerige harjutusi ja teemasid – see hoiab värskust ja tähelepanu. 

Leppige kokku ja pange kirja, mis on see hügieenitase, mis teie ettevõttes on vajalik, et suurimad ärikahjud saaksid ära hoitud (mis andmeid ja kui tihti peab kuskile talletama, milliseid andmeid justnimelt ei tohi näiteks oma arvutis talletada jne). Õpetage seda hügieeni ka kõigile uutele töötajatele – see, mis teile tundub tavapärane, ei pruugi uuele töötajale selge olla!

1. VÄHEMALT kord aastas kohustuslik teadmiste värskendus ja kontroll

2. Kirjas on asjad, mida väljaspool ettevõtet ei räägita

3. Kirjas on keskkonnad, kus ettevõtte siseinfo võib olla kirjas

4. Kokku on lepitud raha käsitsemise põhimõtted 

5. Paroolide kasutamise põhimõtted (korduvad paroolid, tugevad paroolid jne) 

6. Kriitiliste infosüsteemide loetelu (kuhu võiks ligipääs olla ainult MFA-ga) 

Aeg-ajalt on ikkagi hea ka kontrollida, kas kokkulepped peavad ning kas midagi on kahe silma vahele jäänud. See ei tähenda sugugi alati kalli väliseksperdi palkamist, kuid see ei ole ka kuidagi halb mõte. Ise saab palju ära teha, kui spetsiifiliste kokkulepete osas kolleegidelt mõni kord aru pärida – see ei ole rünnak, vaid vastutustundlik käitumine. 

Eestis on samas loomulikult olemas heal tasemel eksperte, kes aitavad ka testida, millistele riskidele ettevõte on avatud. Osatakse testida nii tehnosüsteeme kui ka praktiliste harjutustega ettevõtte otsustuprotsesside toimivust. 

Kuigi meie kõigi pingutused on suunatud õnnetuste ja rünnete ennetamisele ning keegi ei soovi nende realiseerumist, siis vastutustundlik on luua ka ettevõttes suurusele ja riskidele vastav kriisiplaan.

Igaühel peab olema selge, mida ette võtta, kui tal on tunne, et ettevõtte jätkusuutlik toimimine on või võib olla ohus. Sellel hetkel on vaja infot jagada kiiresti, täpselt ning nende osapooltega, kellega vaja. Selleks peab kokku leppima, kuidas ja keda teavitatakse ning peab olema tagatud turvalisus, et teavitaja ei saa nuheldud teavitamise eest ja ka mitte teavitamisega hilinemise eest, vaid info ohtude osas on teretulnud ning aitab kaasa paremale homsele.

Hea kriisijuhtimise kokkulepe sisaldab vähemalt järgmist:

ITL on loonud „Hea Tava“ olulisemate teenuse gruppide jaoks, et ettevõtjad ei peaks igaüks omaette nuputama, millised on „mõistlikud ootused“ teenusele. Paljud neist tavadest ei pruugi olla arusaadavad teises sektoris toimetavale ettevõtjale, ent nende järgimise nõudmine koostööpartnerilt või oma IKT valdkonna töötajalt võiks aidata suuremaid hädasid ja vaidlusi vastutuste osas vältida.

Need tavad on kirja pandud IKT-sektori poolt eneseregulatsiooni eesmärgiga ütlemaks klientidele, et me teame, mida teeme ning võtame vastutuse tehtu eest.