Milline on tegevjuhi roll ettevõtte infoturbes?

Ettevõttes tasub määrata infoturbe turvalisuse eest vastutama kindel inimene, mitte loota, et IT-osakond või IT-juht peab seda enda ülesandeks, kirjutab 20. juuni Äripäev kuidas-rubriigis.

Viimase kümne-kahekümne aasta jooksul on organisatsioonide toimimine oluliselt muutunud. Organisatsioonide võime efektiivselt toota on oluliselt kasvanud ja viis, kuidas teenuseid osutatakse, palju muutunud. Seda on võimaldanud paljuski erinevate infotehnoloogiliste lahenduste kasutuselevõtt – IT on muutunud loomulikuks osaks äriprotsessidest, ilma milleta enam hakkama ei saada. Või kui saadakse, siis väga piiratud jõudluse või funktsionaalsusega.

Informatsioonil on oluline roll juhtimisotsuste tegemisel ja äriprotsessides ning efektiivsuse kasv eesmärgina on õige ja vajalik selleks, et olla konkurentsivõimeline. Kuid teisalt, kas me ikka teame ja teadvustame, mis juhtub siis, kui infotehnoloogilised vahendid ei tööta – ei tööta üldse või ei tööta selliselt, nagu ette nähtud.

Tegevjuhid tunnevad tihti ent ebamugavalt situatsioonides, kus nad peavad IT ja infoturbe teemadega tegelema või tegema valdkonda puudutavaid otsuseid. Küsitakse endalt, kuidas juhtida midagi, millest suurt midagi ei teata või milles ollakse ebakindel. Suhtlemist pearaamatupidaja või haldusjuhiga peetakse ITga seonduvast lihtsamaks ja see ongi lihtsam, kuna teemad on juhile  arusaadavamad. Mida peaks tegema ja millega arvestama tegevjuht sellises muutunud keskkonnas?

Esimene viga on, et ettevõttes ei panda kedagi konkreetselt infoturbe eest vastutama. Kui näiteks raamatupidamise eest vastutab organisatsioonis konkreetne inimene – finantsjuht või pearaamatupidaja, siis infoturbe vallas on sageli vastutus määratlemata või hajutatud. Mõnikord loodetakse, et IT-juht või IT-osakond vastutab ka infoturbe eest. Aga tegelikkuses ei vastuta, vastutab osaliselt või pole IT-osakond päriselt oma vastutusest aru saanud. Seetõttu tasuks määrata inimene, kes vastutab infoturbe eest organisatsioonis ja korraldab vastava valdkonna tegevust. 

Pakilisem probleem nõuab esimesena raha

Kui tegemist on organisatsiooniga, mis sõltub oluliselt ITst, tuleks võtta selle tarbeks tööle eraldi inimene või osta teenus sisse. Soovitatavalt peaks infoturbe juhi roll olema eraldatud IT-osakonnast. Ka väiksemad ja vähem ITst sõltuvad organisatsioonid peaksid olema valmis olukordadeks, mil midagi võib juhtuda nende infosüsteemidega või neis paiknevate andmetega – IT-juht, IT-spetsialist või IT-teenuse osutaja peaks tagama, et oleksid rakendatud kõik vajalikud turvameetmed.

Infoturbejuht koostöös IT-osakonnaga peab hindama infosüsteemide kaitstuse taset ja vajadusel töötama välja täiendavad turvameetmed selleks, et tagada infosüsteemidele piisav kaitstus. Infoturbejuht koostab turvameetmete rakendamise plaani ja teeb tegevjuhile ülevaate, mis sisaldab ka meetmete rakendamiseks vajalike ressursside ülevaadet.

Sageli ei jätku raha kõigi turvameetmete rakendamiseks, seetõttu tuleks paika panna, mis on olulisem enne ära teha ja mille teostamise saab hilisemaks jätta. Tegevjuht peab tagama, et oleks olemas vajalikud ressursid riske maandavate turvameetmete rakendamiseks.

Infoturbejuht peaks tegevjuhile pidevalt raporteerima toimunud turvaintsidentidest, missuguseid järeldusi on nendest tehtud, mida on ette võetud probleemide ärahoidmiseks, missugused riskid on maandamata, missuguseid riske tuleks aktsepteerida, kuidas edeneb erinevate turvameetmete rakendamine ja nii edasi.

Ei maksa jääda lootma sellele, et kui ollakse väike ettevõte väikese riigi väikelinnas, siis kes tahaks ikka rünnata – rünnatakse küll, sõltumata sellest, kui suur on organisatsioon ja kus see paikneb. Võidakse rünnata nii mõne suurema rünnaku käigus, aga see võib juhtuda ka eraldi konkreetselt teid sihtmärgiks valides. 

Autor: Toomas Viira, OÜ CIIPUNIT juhatuse liige