Miks on IT-riskianalüüsi vaja?

IT-riskide hindamine/IT riskianalüüs keskendub organisatsiooni infosüsteemide, selle võrkude ja andmete liikumisega seotud ohtude tuvastamisele ning võimalike tagajärgede hindamisele. Kindlasti ei saa unustada füüsilise turvalisuse nõrkuseid, mille tulemusena on võimalik saada juurdepääs organisatsiooni varadele, teabele ja infotöötlusvahenditele ning kahjustada või häirida organisatsiooni tööd.

Riskianalüüside läbiviimine peaks toimuma korrapäraselt, vastavalt parimatele praktikatele (nt ISO27005/EITS/KÜTS jm.), ja alati, kui organisatsioonis toimuvad suuremad muudatused. Riskianalüüsi läbiviimine enne suuremaid plaanitavaid muudatusi annab eeldused projekti edukaks läbiviimiseks s.h eelarve ja ressursi planeerimiseks. KPMG kogenud spetsialistid aitavad Teil läbi IT riskianalüüsi kasutusele võtta eesmärgipärane ressursside kasutus infoturbe tagamiseks. Lisaks võimaldab IT riskianalüüs saada ülevaate, kuidas organisatsiooni riskid ja haavatavused aja jooksul muutuvad, see on aluseks asjakohaste meetmete planeerimiseks ja rakendamiseks.

Riigi Infosüsteemi Ameti andmetel küber- ja lunavararünnakute arv kasvab aasta aastalt ning üha enam tekib vajadus tegeleda turvalisuse teemadega. 2021. aastal registreeris CERT-EE 30 lunavararünnakut See arv ei tundu suur, aga tuleb arvestada, et lunavararünnaku tagajärjed on ühed raskemad: need rünnakud on seisanud päevadeks ettevõtete tootmisliinid ning nende kaudu on kaotatud kogu ettevõtte digitaalne paberimajandus ühes klientide andmetega. Riigi Infosüsteemi Amet registreerib aastas üle 20 000 pöördumise ning ligi 2500 küberintsidenti, millel on reaalne mõju süsteemile või selle toimimisele.

Miks just KPMG ja mida me pakume?

KPMG-s töötavad spetsialistid on väga laialdaste kogemustega ning tehniliselt võimekad erinevates valdkondades. Kuna KPMG on globaalne organisatsioon, on võimalik kasutada ka teiste riikide spetsialistide teadmisi projektides. Pakume oma klientidele professionaalset teenust ning lähtume töövõtte kavandades iga kliendi vajadusest.

IT riskinõustamise käigus tuvastame organisatsiooni kriitilised äriprotsessid ja nendega seotud turvalisust ohustavad riskid.

  • Aitame hinnata IT- ja küberriske ning toome välja seotud ohud ja nõrkused
  • Riskihindamise plaani esitamisel tekib organisatsioonil selge arusaam erinevatest riskidest
  • Koostame tegevuskava riskide maandamiseks

Me lähtume riskihindamisel KPMG poolt välja töötatud riskihindamise metoodikast. Kasutame riskihindamisel lisaks rahvusvahelisi standardeid (ISO 27005), Eestis kehtivaid riskihalduse suuniseid (E-ITS, ETO riskihalduse juhend) ja parimaid praktikaid (ISF ja NIST juhendeid)

Riskianalüüsi etappide kirjeldus

Riskianalüüsi esimeseks sammuks on kaardistada koostöös kliendiga ettevõtte jaoks kriitilised ning infosüsteemidega seotud infovarad.

Järgmiseks sammuks ettevõttes on küberturvalisusega seotud ohtude tuvastamine, kuna ohud võivad esineda erineval kujul on tähtis, et igal ettevõttel oleks põhjalik ülevaade kriitiliste varadega seotud ähvardavatest ohtudest.

Kolmandaks tegevuseks on nõrkuste tuvastamine, mille käigus kaardistatakse ettevõttega seotud süsteemide ja protsesside nõrkused kui ka füüsilised nõrkused, mis võivad viia infoturbe intsidendini.

Järgnevalt rakendatakse turvameetmed, et minimaliseerida või elimineerida ettevõtte jaoks kriitilised haavatavused ja ohud. Neljandas etapis analüüsitakse olemasolevaid katkestusi ennetavaid ja tagajärgi leevendavaid turvameetmeid arvestades tuvastatud ohtude realiseerumise tõenäosust.

Järgmiseks sammuks on turvariskide prioritiseerimine ehk riskiklassi määramine. Antud tegevus aitab ettevõttel kindlaks teha millised riskid vajavad viivitamatut maandamist ning kuhu peaks ettevõte investeerima aega ja ressursse.

Riskiklasside määramiseks luuakse riskimaatriksi tabel. Järgmiseks sammuks peale riskide prioritiseerimist on meetmete väljatöötamine, ehk luuakse riskikäsitlusplaan.

Riskikäsitlusplaanis loetletakse riskid prioriteetsuse järjekorras koos riske ennetavate ja tagajärgi leevendavate turvameetmetega koos rakendamise eest vastutavate ning tähtaegadega. Riskianalüüsi viimane samm on koostada aruanne, mis dokumenteerib kõik ettevõttega seotud hindamise tulemused viisil, mis toetab eelarvet ja poliitikamuudatusi.

teenuse etapid 1

Kriitiliste IT varade ja teenuste identifitseerimine

2

Ohtude ja nõrkuste tuvastamine

3

Sisekontrollide analüüs

4

Tõenäosuste hindamine

5

Mõjuhinnang

6

Riskihinnang

7

Meetmete väljatöötamine, riskikäsitlusplaani koostamine

8

Tulemuste dokumenteerimine

Tulemid

  • Detailne ülevaade organisatsioonis avastatud riskidest.
  • Juhtkonna informeeritus organisatsioonis toimuvast. Teades potentsiaalseid riske, on võimalik teha paremaid juhtimisotsuseid infoturbealaste ressursside kasutamisel.
  • Täpsemalt prognoositavad tegevusplaanid ja ressursikasutus.
  • Selgelt määratletud organisatsioonisisesed rollid ja vastustuspiirid.
  • Organisatsiooni jätkusuutlikkuse ja riskiteadlikkuse tõstmine avardab võimalusi lisainvesteeringute kaasamiseks.
  • Potentsiaalsete andmelekete vältimine.
  • Organisatsioonil tekib täielik dokumentatsioon alates äriprotsessiga seotud infosüsteemidest kuni riskikäsitlusplaani vormini.

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: