16.05 2022

KPMG ülevaade küberturvalisusest 2022. aastal

Nüüd, kus oleme jõudnud aastasse 2022, on nii organisatsioonide kui ka inimeste jaoks äärmiselt oluline uuesti analüüsida praegust tehnoloogilist konteksti, pidades eelkõige silmas küberturvalisust. KPMG aruande CEO Outlook andmetel usub 75% ettevõtete tegevjuhtidest, et tugev kübarturvalisuse strateegia on peamiste sidusrühmade usalduse võitmiseks kriitilise tähtsusega. Küberturvalisuse valdkond areneb pidevalt, mis toob kaasa nii probleeme kui ka võimalusi. KPMG on analüüsinud küberturvalisuse maastikku ja avaldanud aruande „Ülevaade küberturvalisusest 2022. aastal: turvalisus loob usaldust“, kus on käsitletud kaheksat peamist teemat, millele ettevõtete infoturbejuhid peaksid 2022. aastal mõtlema. Enne teemadest üksikasjalikuma ülevaadet tuleb kindlasti rõhutada, et infoturbejuhid peaksid muutma oma mõtteviisi üldiselt. Nad peaksid olema organisatsioonis pigem innustavad mõjuisikud kui reeglite ja meetmete jõustajad. Inspiratsioon on pikemas perspektiivis sageli tõhusam motivaator kui sund. See põhimõte kehtib ka küberturvalisuse kohta. Infoturbejuhid peaksid kolleege pigem mõjutama ja innustama kui neile ütlema, mida nad teha tohivad ja mida mitte.

Kaheksa küberturvalisuse teemat 2022. aastal


Strateegiline üleminek

Tänapäeval puudutab ja mõjutab küberturvalisus iga tehnoloogiaettevõtte tegevuse peaaegu kõiki tahke. Küberturvalisus ei ole enam valdkond, millega tegelevad ainult turva- ja IT-töötajad. Seepärast tuleb mõista, et küberturvalisuse eest ei vastuta enam üksnes IT-spetsialistid, vaid kogu ettevõte ühiselt. Infoturbejuht peab täitma mitut rolli ja suutma viia ettevõtte äristrateegia kooskõlla küberstrateegiaga. Seega on äärmisel tähtis, et küberturvalisus oleks lõimitud äriprotsessi. Infoturbejuhid peavad aitama ettevõtte juhtkonnal sellise ülemineku võimalikuks teha.

X-faktor: kriitilised võimed ja oskused

Juba enne COVIDit muutus järjest olulisemaks turulejõudmise kiirus, millega peab kaasas käima kõigi asjassepuutuvate riskide analüüs, ning koroonakriisiga on need vajadused veelgi teravamalt esile tõusnud. Praegu valitseb suur puudus võimekatest küberturbespetsialistidest. KPMG soovitab selle lünga täitmiseks otsida alternatiivseid lahendusi näiteks vabakutseliste kaasamise ja küberturvalisuse toimingute automatiseerimisega. Peale selle julgustatakse infoturbejuhte vaatama talendiotsingul laiemalt ringi ning kõrvaldama sisenemistõkked, et meelitada valdkonda suuremal arvul võimekaid töötajaid.

Turvalisuse kohandamine pilve jaoks

Küberturvalisuse maastikku on muutnud ka see, et jõudsalt kasvab pilveteenustele üle minevate organisatsioonide arv. Tavapärase küberturvalisuse tagamiseks vajalikud protsessid ja oskused ei tarvitse pilvekeskonnas enam sobida. KPMG aruandest ilmneb, et 90% organisatsioonidest võivad olla haavatavad pilveteenuse väärast konfigureerimisest tulenevate turvaohtude ees. Infoturbejuhid peavad aitama oma tiimil mõista konkreetselt pilvega seotud küberturvalisuse nõudeid ja kohandada küberkaitset pilveteenustega. Seejuures tuleks lähtuda reguleerivast raamistikust ja võtta arvesse seda, kuidas mõjutavad pilve turvalisust sellised õigusaktid nagu isikuandmete kaitse üldmäärus ja USA terviseandmete kaitse seadus HIPAA.

Täisusaldamatuse mudeli aluseks on identiteedihaldus

Ajal, kui miljonid töötajad on läinud üle kaugtööle ja inimesed ostavad oma telefoniga kaupu igast maailma nurgast, muutub äriprotsessides järjest tähtsamaks identiteedihaldus ja nn täisusaldamatuse (ingl zero trust) turvamudeli kasutamine. Täisusaldamatuse mudelit ei tuleks enam vaadelda tehnoloogiana või lisafunktsioonina, vaid pigem turvastandardina, mille kõik infoturbejuhid peaksid kasutusele võtma. Iga sellise mudeli keskseks komponendiks peab olema identiteedihaldus.

Turvasüsteemide automatiseerimine

Automatiseerimine aitab sageli vabastada ressursse, mida võiks rakendada paremini kui monotoonsete ja korduvate ülesannete täitmiseks. See peab paika ka küberturvalisuse valdkonnas, kus selliseid toiminguid nagu nõrkuseotsing, logianalüüs ja vastavuskontroll tehakse automaatselt. Nii saavad võimekad infoturbespetsialistid keskenduda tõeliselt kriitilise tähtsusega olukordadele ning ei pea kulutama aega madalama tasandi ohtudele, mida saab hallata ka automatiseeritult. Infoturbejuhte innustatakse automatiseerimist täiel määral ära kasutama.

Privaatsus

Praegu käsitatakse küberturvalisust ja privaatsust eri valdkondadena, mis tihti toimivad üksteisest lahus. Kuna teadlikkus isikuandmete kaitsest ja selle tähtsusest aga järjest kasvab, suureneb ka vajadus suhtuda privaatsusesse mitte kui eraldiseisvasse õigusharusse, vaid kui mitut valdkonda ühendavasse funktsiooni. Kui ettevõtted rakendavad oma tegevuses lõimprivaatsuse põhimõtet, peaksid andmekaitseküsimused olema küberturvalisuse süsteemidega tihedalt läbi põimunud.

Turvalisus, mis ulatub ettevõtte piiridest kaugemale

Tänapäeval sõltuvad ettevõtted sageli tarneahelate usaldusväärsusest ja mitmest äripartnerist. Selliste sõltuvuste tulemusena on 79% küberturbe tiimidest mõistnud, et äripartneri ökosüsteemi ja tarneahela kaitsmine on sama oluline kui ettevõtte enda küberkaitsesüsteemide loomine. Seetõttu on kujunenud võrgustikud ettevõtetest, mis teevad koostööd ja vajavad piisavaid kontrollsüsteeme selleks, et kaitsta samal ajal nii enda kui ka partnerite andmeid. Vaja on luua tugev riskijuhtimise raamistik, millega saaks hallata nii organisatsioonisiseseid kui ka -väliseid küberohte. See nõuab infoturbejuhtidelt proaktiivset tegutsemist: automatiseerimise, pideva järelevalve ja täisusaldamatuse mudelite abil saavad nad aidata tagada turvalisust ka väljaspool ettevõtte piire.

Vestlus kübervastupidamisvõime teemal

KPMG aruandes kutsutakse infoturbejuhte üles algatama ettevõte tippjuhtkonnaga vestlusi teemal, kas ettevõte on küberründeks valmis. Küberründele vastupanuvõimeline ettevõte peab analüüsima kõiki ärilisi ja strateegilisi põhiprotsesse. Infoturbejuht peab muutma kübervastupidavusvõimet käsitleva vestluse formaati nii, et see peegeldaks kogu ettevõtte valmisolekut küberrünnete leevendamiseks ja suurimate riskide tuvastamiseks.

 

Loodetavasti on teile kui organisatsioonile või infoturbejuhile siin artiklis esitatud soovitustest kasu. Üksikasjalikuma ülevaate saamiseks tutvuge aruande täisversiooniga aadressil https://home.kpmg/xx/en/home/insights/2021/11/cyber-security-considerations-2022.html


Yusef Ward
Cyber Advisory
KPMG Baltics OÜ

Bolstering Cyber Resilience with High-Quality Red Teaming

The escalating complexity and frequency of cyberattacks pose a critical risk to the stability of ..

KPMG recognized as a Leader in Cybersecurity Consulting Services in Europe

According to The Forrester Wave: Cybersecurity Consulting Services in Europe, Q1 2024.

We are exc..

KPMG: artificial intelligence cannot replace a doctor

Mihkel Kukk, Head of Cyber Security Services at KPMG, says that artificial intelligence cannot rep..

State funding to improve the cyber security of companies

The joint organisation of Enterprise Estonia and KredEx, together with the State Information Syste..

The most cost-effective way to identify information security and cyber security vulnerabilities is through cyber maturity assessment

The most cost-effective way for companies and other organisations to identify their cyber security..

Information security can only be ensured at a high level of quality under the leadership of a competent Chief Information Security Officer

Why is information security important and what is its main purpose in the context of a company’s b..

Provide a safe and sustainable business environment for your company! We will help you build a resilient and reliable digital world, even in the face of changing threats.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Estonia
${item.title}
KPMG Baltics KPMG Küberkaitse KPMG Global Privacy Policy
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR assessment 

HR assessment focuses on mapping the skills and increasing the competencies of the weakest link in cyber security: the users, the employees.

Email again:

Threat assessment

Threat assessment is a tactical and technical service that allows a company to get a quick overview of external threats.

Email again:

Maturity assessment

Maturity assessment helps plan IT investments and design further steps to mitigate vulnerabilities and ensure better security.

Email again: