Ettevõtted vajavad küberturbe olukorrast ülevaadet, mis põhineb faktidel, mitte hüpoteesidel - auditit, mis on kõige esimene samm küberriskide maandamiseks. Meie poolt pakutav küberturbe audit on mitmekihiline, sisaldab automatiseeritud tehnilisi skanneringuid ja analüüse ning vestlusel põhinevat intervjuud. Auditi tulemiks on faktidel põhinev ülevaade tänasest ettevõtte küberturbe küpsustasemest, mis on rikastatud meiepoolsete arendusettepanekutega ja tegevusplaaniga, mis aitab küpsustaseme redeli tipu poole rühkida.

Mis on küberturbe audit?

Küberturbe audit baseerub faktidel, mitte hüpoteesidel - sisaldab nii teoreetilisi kontrollküsimusi protsesside/töökordade/seadistuste kohta kui ka tehnilisi skaneeriguid ja analüüse, mis kinnitavad või lükkavad ümber teoreetiliste kontrollide vastused.

• Teoreetiline auditi osa ehk küsimustik baseerub tuntud turbestandarditel, eelkõige CIS (Center for Internet Security) raamistikul, kuid ka ISO27001 ja OIXIO turvaspetsialistide parimatel praktikatel. 
  CIS meetmed (CIS Controls) on prioritiseeritud (80/20 printsiip) kogum tegevusi eesmärgiga leevendada kõige levinumaid rünnakuid IT-süsteemide ja võrkude vastu. CIS meetmed on loodud IT-ekspertide kogukonna ühistööna, kes on rakendanud oma kogemusi küberturvalisuse vallas, et luua üleilmselt aktsepteeritud parimate tavade soovitused. Küsimustiku skoobis on kokku ca 110 kontrollküsimust, mis jagatud kolme teemasse.

• Tehniliste skaneeringute ja analüüside tulemusel saame ülevaate:
  • IT-taristus olevatest infovaradest (võrgus olevad aktiivsed seadmed, teenused, rakendused jne);
  • IT-taristus esinevatest turvanõrkustest (puudulik turvauuendus, avatud pordid, aegunud sertifikaat vms);
  • IT-taristus esinevatest valekonfiguratsioonidest (puudulik registrivõti, kontol vaikeparool või kasutajanimi, liiga palju admin õigustega kasutajaid, aegunud kontod, puudulik MFA jms).
  • Tehnilist skaneeringu teostamiseks kasutame erinevaid töövahendeid vastavalt taristu iseloomule ja vajadusele (Qualys VMDR, CSAT, NMAP, Greenbone, manuaalsed kontrollid).

Auditi lõpptulemiks on:

• põhilise IT dokumentatsiooni ülevaatamine ja vajadusel ajakohastamine;
• infoturbepoliitika alusdokument ettevõtteülese infoturbepoliitika kehtestamiseks;
• arendusettepanekud küberturbe küpsustaseme tõstmiseks.
   

Miks on küberturbe auditit ettevõttele/organisatsioonile vaja?

• Puudub kindlustunne, kas ettevõttes on küberturvalisusega hästi?
• Vaja on selgust, kas olemasolev IT-partner on teinud küberturbe tagamisel head tööd?
• Puudub majasisene teadmine, kuidas tagada piisaval tasemel küberturvalisus.
• On vaja konkreetset tegevuskava, kuidas optimaalsel (80/20 printsiibil) viisil heal tasemel küberturbe tagamisega edasi liikuda.
• IT-dokumentatsioon ja infoturbepoliitika vajab ajakohastamist või puudub sootuks.

Mida konkreetselt annavad auditi tulemused?

• Annab ülevaate IT taristu infovaradest (arvutid, serverid j.t võrguseadmed).
• Annavad ülevaate IT-taristu turvalisuse hetkeolukorrast (turvanõrkused).
• Toovad välja ohud ettevõtte süsteemidele ning andmetele (valekonfiguratsioonid). 
• Selged arendusettepanekud parema küberturvalisuse saavutamiseks (s.h tegevuskava loomine).
• IT-dokumentatsioon ja infoturbepoliitika (dokumentatsiooni loomine ja/või ajakohastamine).

Olen Andres, OIXIO küberturbe ja võrgu ärisuunajuht. IT-sektoris olen töötanud üle 15 aastat, mõistan IT-d kui tervikut ja oskan rääkida mõlemas keeles, nii äri- kui ka IT-keeles. 
Viimased aastad olen fokusseerinud ainult küberturbe teemadele, sest mõistan, et küberohud on saanud mitte ainult suurimaks äririskiks, vaid hakkavad ka üha enam ohustama meie endi ja meie lähedaste elusid.
Igapäevaselt teen koostööd mitmete Eesti väiksemate ja suuremate ettevõtetega, kus minu roll on aidata meie kliente küberturbe tagamises õigele teele ja viia nende ettevõtete äririskid miinimumini. Ainuüksi sel aastal on lisandunud minu koostööportfelli KredEx, Äripäev, Nortal, Rakvere Haigla ja palju teisi tegijaid Eestis turul.

Kui soovid, et küberohud ei saaks saatuslikuks Sinu ettevõttele, siis võta minuga ühendust: