Ekspert: kuidas hakata üles ehitama oma firma küberturbetiimi?
Aastate eest pidi iga veidigi suurem ettevõtte tööl hoidma turvameest, kes visalt territooriumi patrullis ja pahalased eemal hoidis. Tänaseks on paljude ettevõtete äri suures osas kolinud digimaailma, mis tähendab Elisa infoturbejuhi Mai Krafti sõnul seda, et range näoga turvamehe kõrval peab koha sisse võtma ka keegi, kes kannaks hoolt selle eest, et hoida eemal virtuaalterritooriumilt aiaauku otsivad küberpätid.
“See keegi ei pea väiksema ettevõtte puhul olema ilmtingimata eraldi inimene eraldi rollis, kuid mida suuremaks äri kasvab ja mida mitmekülgsemaks muutuvad ohud, seda loogilisemaks muutub varem või hiljem infoturbejuhi ja lõpuks terve infoturbemeeskonna üles ehitamine. Väiksemas firmas saavad pätipeletaja töö enda vahel ära jagada hulk inimesi, mingil hetkel võib see aga kasvada üle pea,” rääkis ta.
See, kas küberturvalisuse tagamiseks on vaja luua eraldi ametikoht, sõltubki peaasjalikult ettevõtte tegevusalast, suurusest ja vabadest ressurssidest. Kraft selgitas, et suuremas ettevõttes, kus tegevusi on palju, potentsiaalseid ründevektoreid mitmeid ning võimalikud kahjud hiiglaslikud, jagub harilikult infoturbejuhile – või asjalikule turvapartnerile – tööd küllaga. See aga ei tähenda, et väiksemad firmad võiks end pelgalt oma suurusest tulenevalt turvaliselt tunda ja eeldada, et ohud neid ei puuduta.
“See, et terve inimese töölauda ei suudeta ära täita, ei tähenda, et turvateemadega tegelema ei peaks. Kui eraldi inimest veel välja ei kanna, tuleks teemad lihtsalt meeskonna vahel ära jagada: kes tegeleb arvutite turvalisusega, kes võrguturbega, kes andmekaitsega, kes viimaste uudistega kursis püsimisega. Mingi maani saab nii kõige olulisema tehtud, aga kui turvateemadega tegelemine hakkab juba põhitööd mõjutama, tasuks leida keegi, kelle kätte kogu valdkond usaldada,” rääkis ta. “Ilmselgelt on sel hetkel teemasid õhus piisavalt, et õigustada inimese palkamist.”
Keda oma tiimi võtta?
Küberturvalisus on küll lai valdkond ning erinevates rollides inimesi võib küberturbetiimi palkama jäädagi, kuid enamasti pole liiga suure hooga pihta hakkamine mõistlik. Kraft sõnas, et kui ettevõttes pole varasemalt olnud ühtegi inimest, kelle tööks olekski vaid turvateemadega tegelemine, tasuks esimeses järgus tööle võtta valdkonnaga kursis olev generalist, kes saaks hakata olukorda kaardistama, esimesed sammud ära teha ja vajadusel tulevikus viidata, milliste erioskustega inimesi veel meeskonda kaasata tuleks.
Õigete inimeste palkamise kõrval on olulisel kohal ka see, et turvalisuse eest vastutavatel inimestel lastaks päriselt oma tööd teha, neid võetaks kuulda ning et nende käsutuses oleks vajalikud ressursid. “Turvatiim peab olema oluliste otsustusprotsesside juurde kaasatud ning kui turvalisuse nimel mõni reegel luuakse, siis peavad need kehtima kõigile – nii turvajuhile endale, tavatöötajale kui ka tegevjuhile,” lausus ta.
“Kindlasti tasub ka kuulda võtta, kui infoturbejuht viitab, et meeskonda oleks vaja leida uus kindlale teemale keskenduv spetsialist, või oleks vaja kasutusele võtta mõni uus lahendus, mis tänast olukorda parandada aitab. Iga veidigi kogenud ekspert teab, et turvateemade puhul tuleb leida tasakaal mõistlikkuse ja kaitstuse vahel, seega kui juba uue inimese või uue süsteemi vajadus lauale tuuakse, siis ilmselt on see ka päriselt mõistlik samm. Turvatiimis impeeriumit ehitada ei saa – see tekitab vaid segadust ja ajakulu – seega on oluline leida õiged inimesed õige töö peale. Täpselt nii palju, kui neid vaja on,” lisas Kraft.