Tänu infoühiskonna kiirele arengule on infotehnoloogia osatähtsus asutustes oluliselt kasvanud. Keeruline on leida äriprotsesse või teenuseid, mis ei sõltuks infosüsteemidest. Rikke korral infosüsteemides katkeb sageli teenuste osutamine või millegi tootmine. Seetõttu peavad infosüsteemide tõrgeteta toimimisega tegelema mitte ainult IT juhid ja IT osakonna töötajad, vaid ka ettevõtete juhid, äriüksuste juhid ja paljud teised töötajad.
Missuguseid küsimusi tuleks küsida?
Kas infosüsteemid töötavad siis kui äripool ja kliendid neid vajavad?
Kas infosüsteemid töötavad kokkulepitud ajal ja teenustasemel?
Kas infosüsteemide arendused saavad õigeaegselt valmis?
Kas kõik IT investeeringud on põhjendatud, mõistlikud ja vajalikud?
Kas IT jooksvad kulud on põhjendatud ja piisavalt optimeeritud?
Kas suuremate IT arendusprojektide järelevalve toimib?
Kas infosüteemide kasutajad on rahul pakutavate IT teenustega?
Kas ja kui kiiresti suudetakse taastada infosüsteemide töö, kui on mõni rike olnud?
Kas infosüsteemides olev informatsioon on kättesaadav ainult volitatud isikutele?
Kas infosüsteemides sisalduv informatsioon on korrektne, usaldusväärne ja õigel ajal kättesaadav?
Kas ja kuidas tagatakse, et infosüsteemides ei tehtaks volitamata muudatusi?
Mis juhtub kui infosüsteem satub küberrünnaku alla?
Kas küberrünnakute tõrjumiseks on vajalikud meetmed rakendatud?
Näiteid võimalikest riskidest ja tagajärgedest
Infosüsteemide rikke ajal ei saa kliendid e-keskkonna kaudu tellimusi esitada ja seetõttu jääb ettevõte tellimustest ilma.
Tootmisettevõttes katkeb tootmine ja klientide tellimuste täitmine hilineb.
Klientide teenindamine seiskub, kuna firma klienditeenindajad ei pääse ligi infosüsteemidele.
Infosüsteemide arendused hilinevad ja seetõttu kaotatakse kliente.
IT-sse tehtud investeeringud ei ole andnud soovitud tulemusi.
IT jooksvad kulud kasvavad igal aastal ja moodustavad liigselt suure osa firma kogukuludest.
Mitmete infosüsteemide kasutajate rahuolu on väga madal.
Infosüsteemide kasutajaliidesed on ebamugavad ja see tekitab mitte vajalikku ajakulu ja rahulolematust.
Infosüsteemides pääsevad andmetele ligi selleks mitte volitatud isikud.
Küberrünnaku tulemusel firma andmed krüpteeritakse, lahti krüpteerimise eest nõutakse lunaraha.
Varundusmeedialt ei ole võimalik infosüsteemide tööd ja andmeid taastada.
Näiteid
IT auditi käigus hinnatakse infosüsteemidega seotud riske, tehakse tähelepanekuid puuduste kohta ja esitatakse soovitused puuduste kõrvaldamiseks.
Mõningaid leide IT audititest
Puudub ülevaade infovaradest – kes kasutab, kus infovara paikneb, milleks kasutatakse.
Infovaradele on turvaklassid määramata ja seetõttu ei rakendata piisavalt kaitsemeetmeid.
Kasutatakse kontosid administraatori õigustes seal, kus seda ei tohiks teha.
Kasutatakse mitme kasutaja kontosid, mille tulemusel ei ole võimalik kindlaks teha, kelle poolt mingeid andmeid muudeti.
Tegevusi ei logita, mis tähendab, et igasugune intsidentide uurimine on praktiliselt võimatu.
Logisid ei analüüsita ja seetõttu ei avastata volitamata kasutamisi või küberünnakuid.
Füüsilise ligipääsu õigusi ei dokumenteerita ja nendest puudub ülevaade, seetõttu ruumidesse pääsevad ligi isikud, kes sinna ei peaks pääsema.
Talitluspidevusplaane ja taasteplaane ei eksisteeri, need ei ole asjakohased, neid ei ole uuendatud ja/või neid ei testita – tõsise intsidendi korral ei teata, mida teha ja kuidas käituda.
Töötajatele ei tehta infoturbe teadlikkuse tõstmise alaseid koolitusi, mille tagajärjel on kasutajate teadlikkus väga madal, mis omakorda suurendab töötajate küberrünnakus ära kasutamise ohtu.
Kõik arvutivõrgu seadmed on ühendatud ühte võrgusegmenti, mis suurendab kahjusid küberrünnaku või pahavara leviku korral.
Arvutivõrku võib ühendada suvalisi seadmeid (isiklikud sülearvutid, nutiseadmed jmt), mis suurendab pahavara leviku riski ettevõtte serveritesse/arvutitesse.
Serveriruumis on veetorud, puudub nõuetele vastav tulekustutussüsteem, puudub piisav jahutus, mille tulemusel võib lakata serverite töö serveriruumis või serverid võivad hävineda vmt.
Andmetest ei tehta varukoopiaid või kui tehakse, siis ei testita varukoopiatelt süsteemide taastet, mis omakorda suurendab riski, et vajalikul hetkel ei olda võimelised varundusmeedialt andmeid taastama.