Riskianalüüsid ja IT auditid
Taust
Infoühiskonna kiire areng on infotehnoloogia osatähtsust ettevõtetes oluliselt suurendanud. Sageli ei ole toimivate infosüsteemideta võimalik teenuseid osutada. Tootmisettevõtetes ei ole tootmine võimalik, kui infosüsteemid ei toimi. Keeruline on leida äriprotsesse, mis ei sõltuks infosüsteemidest. Infosüsteemide mitte toimimisel katkeb või on häiritud teenuse osutamine või millegi tootmine.
Mis küsimusi tuleks küsida?
Kas infosüsteemid toimivad kui äriüksused ja kliendid neid vajavad?
Kas infosüsteemid töötavad kokkulepitud teenustasemel?
Kas arendused valmivad õigeaegselt ja planeeritud eelarvega?
Kas arenduste tulemusel saadakse soovitud tulemused?
Kas tehtud IT investeeringud on põhjendatud, mõistlikud ja vajalikud?
Kas IT jooksvad kulud on põhjendatud ja piisavalt optimeeritud?
Kas IT arendusprojektide järelevalve toimib?
Kas kasutajad on rahul IT teenustega?
Kas ja kui kiiresti taastatakse infosüsteemide töö pärast intsidente?
Kas infosüsteemides olev informatsioon on kättesaadav ainult volitatud isikutele?
Kas infosüsteemides sisalduv informatsioon on korrektne, usaldusväärne ja õigel ajal kättesaadav?
Kas ja kuidas tagatakse, et infosüsteemides ei tehtaks volitamata muudatusi?
Kas teatakse, mis ettevõtte arvutites, serverites ja võrgus toimub?
Kas ollakse valmis küberrünnakute tõrjumiseks?
Kas küberrünnakute tõrjumiseks on vajalikud meetmed rakendatud?
Mis võib juhtuda?
Infosüsteemide rikke ajal ei saa kliendid tellimusi esitada ja seetõttu jääb ettevõte tellimustest ilma.
Tootmisettevõttes katkeb tootmine ja klientide tellimuste täitmine hilineb.
Klientide teenindamine katkeb, kuna klienditeenindajad ei pääse ligi infosüsteemidele.
Infosüsteemide arendused hilinevad ja seetõttu kaotatakse kliente.
IT-sse tehtud investeeringud ei ole andnud soovitud tulemusi.
IT kulud kasvavad igal aastal ja moodustavad liigselt suure osa firma kogukuludest.
Infosüsteemide kasutajate rahuolu on väga madal.
Infosüsteemide kasutajaliidesed on ebamugavad ning see tekitab täiendavat ajakulu ja rahulolematust.
Infosüsteemides pääsevad andmetele ligi selleks mitte volitatud isikud.
Küberrünnaku tulemusel firma andmed krüpteeritakse, lahti krüpteerimise eest nõutakse lunaraha.
Varundusmeedialt ei ole võimalik infosüsteemide tööd ja andmeid taastada.
Mõningaid leide IT audititest
Puudub ülevaade infovaradest – kes kasutab, kus infovara paikneb, milleks kasutatakse.
Infovaradele on turvaklassid määramata ja seetõttu ei rakendata vajalikke turvameetmeid.
Kasutatakse kontosid administraatori õigustes seal, kus seda ei tohi teha.
Kasutatakse mitme kasutaja kontosid, mille tulemusel ei ole võimalik kindlaks teha, kelle poolt mingeid andmeid muudeti.
Tegevusi ei logita, mis tähendab, et igasugune intsidentide uurimine on praktiliselt võimatu.
Logisid ei analüüsita ja seetõttu ei avastata volitamata kasutamisi või küberünnakuid.
Füüsilise ligipääsu õigusi ei dokumenteerita ja nendest puudub ülevaade, seetõttu ruumidesse pääsevad ligi isikud, kes sinna ei peaks pääsema.
Talitluspidevusplaane ja taasteplaane ei eksisteeri, need ei ole asjakohased, neid ei ole uuendatud ja/või neid ei testita – tõsise intsidendi korral ei teata, mida teha ja kuidas käituda.
Töötajatele ei tehta infoturbe teadlikkuse tõstmise alaseid koolitusi, mille tagajärjel on kasutajate teadlikkus väga madal, mis omakorda suurendab töötajate küberrünnakus ära kasutamise ohtu.
Kõik arvutivõrgu seadmed on ühendatud ühte võrgusegmenti, mis suurendab kahjusid küberrünnaku või pahavara leviku korral.
Arvutivõrku võib ühendada suvalisi seadmeid (isiklikud sülearvutid, nutiseadmed jmt), mis suurendab pahavara leviku riski ettevõtte serveritesse/arvutitesse.
Serveriruumis on veetorud, puudub nõuetele vastav tulekustutussüsteem, puudub piisav jahutus, mille tulemusel võib lakata serverite töö serveriruumis või serverid võivad hävineda vmt.
Andmetest ei tehta varukoopiaid või kui tehakse, siis ei testita varukoopiatelt süsteemide taastet, mis omakorda suurendab riski, et vajalikul hetkel ei olda võimelised varundusmeedialt andmeid taastama.