ECIIA korraldas hiljuti rahvusvahelise e-ümarlaua teemal „Küberturvalisus – inimkäitumisega seotud riskid ja siseauditi võimalused nende riskide vähendamiseks“.
Euroopa siseauditi eksperdid arutlesid 10. detsembril, kas on aeg innovaatilisemateks lahendusteks ja miks on inimkäitumisega seotud riskid küberturvalisuse puhul ikkagi niivõrd määravad. Ümarlaual esinejad jagasid oma väärtuslikke praktikaid ja kogemusi küberriskide auditeerimisel.
Esinejad leidsid murekohana, et organisatsioonid teevad investeeringuid küberturvalisuse tõstmiseks, kuid rünnakud on aina keerulisemad, põhjustades suurt kahju ettevõtete väärtuslikele varadele.
Veebiseminari põhisõnumid (inglise keeles SIIN):
- Küberturvalisus on üks põhilisi riske seoses digitaalse infrastruktuuri ja kaugtöö hüppelise kasvuga
- Euroopa Liit püüab tagada, et küberturvalisuse tõstmisel kasutatakse kõige uuemaid tehnoloogiad ja meetodeid
- Hindamisel on Euroopa Liidu info- ja võrguturve direktiiv (NIS directive), raport valmib 2021. aasta alguses
- 52% küberturvalisuse intsidentidest on kõige kriitilisemaks olnud inimkäitumisega seotud faktorid
- Inimkäitumisega seotud kriitiliste riskide taga on kognitiivsed piirangud, eeskirjade puudumine või siseringioht
- Kõik kinnitavad, et inimkäitumine põhjustab kriitilisi riske, kuid neid on ka kõige keerulisem hinnata
Head praktikad:
- On oluline teada, kes on su vaenlased
- Küberriski profiil on pidevas muutuses, hea näide on COVID-viiruse mõju. Protseduure tuleb pidevalt kohandada ja muuta, reageerida tuleb kiiresti
- Siseaudit peab mõistma kriitilisi riske ja olema juhtidele teenäitaja, peab vaatama paberitest kaugemale ja mõistma, kuidas inimesed tegelikult töötavad
- Vastutustundlik valitsemine on vajalik: „Kui juhtkond ei vastuta kübervaldkonna eest, siis on keeruline kaasata küberriskidega võitlusesse kõiki töötajaid!“. Siseauditi juht peab olema kaasatud olulistesse otsustesse ja töögruppidesse koos juhatuse ja tehnoloogia valdkonna inimestega, et olla riskidest teadlik
- Riskide hindamiseks on oluline pidevalt vahetada infot keskastme juhtidega ja juhtkonnaga
- Küberõppused on vajalikud, stsenaariumid harjutusteks peavad olema keerulised ja juhtkond peab olema samuti kaasatud
- Siseaudiitorid peavad testima organisatsiooni erinevaid juhtimistasandeid ja kaasama ka äripoole töötajad. Küberrünnaku simulatsioon on parim test!
- Küberriskide kriitilisust ja ohtusid on juhtkonnal ja keskastme juhtidel lihtsam mõista, kui nendega koos hinnata näiteks riskide mõju ettevõtte finantsidele
- Organisatsiooni kultuuri auditeerimine ei ole kerge, aga tugev kultuur aitab suurendada organisatsiooni vastupanuvõimet küberriskidele
- Oluline on töötajate küberriskide alane koolitamine ja õppuste korraldamine ning ka siseauditi meeskonna kaasamine õppustele
- Küber tähendab tehnoloogiat koos inimestega, aga me ei tohi unustada ka eeskujulikku valitsemist ja usaldusväärset riskijuhtimist
Veebiseminari saab uuesti vaadata SIIN ja slaidid on tutvumiseks SIIN.