IT audit ettevõttele — selge ülevaade IT olukorrast
Põhjalik IT audit toob välja riskid, ebatõhusused ja parendusvõimalused. Analüüsime teie IT infrastruktuuri vastavalt rahvusvahelistele standarditele ning koostame konkreetse tegevuskava süsteemide kaasajastamiseks.
IT auditi standardid ja raamistikud
Meie audit põhineb rahvusvaheliselt tunnustatud standarditel ja raamistikel, mis tagavad süstemaatilise ning põhjaliku IT-taristu hindamise.
ITIL
IT Infrastructure LibraryIT teenuste haldamise parimad praktikad. ITIL raamistik pakub terviklikku lähenemist IT teenuste planeerimisele, osutamisele ja pidevale parendamisele.
IBM ITUP
IT Unified ProcessSüstemaatiline IT protsesside parendamine. IBM-i metoodika hõlmab IT teenuste kogu elutsüklit alates planeerimisest kuni pideva optimeerimiseni.
ISO 20000
IT teenuste haldamise standardIT teenuste haldamise rahvusvaheline standard, mis määratleb nõuded IT teenuste juhtimissüsteemile ja aitab tagada teenuste kvaliteedi ning järjepidevuse.
ISO 27001
Infoturbe juhtimissüsteemi standardInfoturbe juhtimissüsteemi kuldstandard. Määratleb nõuded infoturbe riskide haldamisele ning aitab kaitsta ettevõtte andmeid ja infosüsteeme.
E-ITS
Eesti infotehnoloogia standardEesti riiklik infoturbe raamistik, mis arvestab kohalikku seadusandlust ja Eesti digitaalse ökosüsteemi eripärasid. Kohustuslik avaliku sektori asutustele.
NIS2
EL-i küberjulgeoleku direktiivEuroopa Liidu uuendatud küberjulgeoleku direktiiv, mis kehtestab rangemad turvanõuded oluliste ja tähtsate teenuste osutajatele. Kohustuslik alates 2024.
Personaalne IT auditi plaan teie ettevõttele
Koostame personaalse auditi plaani vastavalt eelloetletud standarditele ja raamistikele ning paneme sinna juurde oma pikaajalise kogemuse IT süsteemide haldamisel ja auditeerimisel.
Vastavalt auditi tulemustele koostame konkreetse tegevuskava:
Süsteemide kaasajastamine — kuidas hakata süsteeme kaasajastama ja korrastama, et need vastaksid tänapäevastele nõuetele ning oleksid turvalised.
IT dokumentatsioon — kuidas parandada IT dokumentatsiooni, et see oleks ajakohane, ülevaatlik ja toetaks igapäevast IT haldust ning intsidentidele reageerimist.
IT protsessid — kuidas korrastada IT protsesse, et tagada teenuste järjepidevus, vähendada riske ja muuta IT-tugi efektiivsemaks.
Põhjalik analüüs
Kaardistame teie kogu IT-taristu, protsessid ja dokumentatsiooni ning tuvastame kitsaskohad.
Selge aruanne
Koostame arusaadava aruande koos riskihinnangute ja prioriteetidega, mida saate kohe kasutada.
Tegevuskava
Pakume välja konkreetse samm-sammulise tegevuskava süsteemide kaasajastamiseks ja protsesside parendamiseks.
Kasutaja seadmete ja arvutitöökohtade audit
26 meedet — seadmete turvalisus, haldus ja ajakohasus
Iga arvuti, sülearvuti ja mobiilseade on potentsiaalne sissepääsupunkt teie ettevõtte andmetele. See auditi valdkond hindab, kas teie töötajate seadmed on kaitstud, ajakohased ja hallatud viisil, mis hoiab ära andmelekked, tööseisalud ja mainekahju. Allpool on toodud kõik 26 meedet, mida selles valdkonnas kontrollime.
Operatsioonisüsteemi regulaarne uuendamine
Uuendamata operatsioonisüsteem sisaldab teadaolevaid turvavigu, mida ründajad aktiivselt ära kasutavad. Iga uuendamata arvuti on potentsiaalne sissepääsupunkt kogu ettevõtte võrku. Regulaarne uuendamine on üks lihtsamaid ja tõhusamaid viise küberriskide vähendamiseks.
Kõvaketaste ja andmekandjate krüpteerimine
Kui sülearvuti varastatakse või kaob, pääseb ilma krüpteeringuta igaüks ligi kõigile seal olevatele failidele, paroolidele ja äriandmetele. Krüpteerimine muudab varastatud seadme andmed kasutuskõlbmatuks, kaitstes ettevõtet nii andmelekke kui ka seadusest tulenevate trahvide eest.
Viiruse- ja nuhktõrje tarkvara uuendamine
Vananenud viirusetõrje ei tunne ära uusi ohtusid nagu lunavara või andmepüügi rünnakuid. Üks nakatunud arvuti võib halvata kogu ettevõtte töö, põhjustades päevi kestvaid seisakuid ja olulist rahalist kahju. Ajakohane kaitse on esimene kaitseliin.
Tarkvara uuenduste ja viirusetõrje perioodiline kontroll
Automaatsed uuendused võivad vaikselt ebaõnnestuda, jättes seadme kaitseta ilma, et keegi seda märkaks. Regulaarne manuaalne kontroll tagab, et ükski seade ei jää turvaaukudega tööle, ja annab ülevaate kogu seadmepargi tegelikust seisundist.
Piisavalt keerulised paroolid
Lihtsaid paroole murravad automatiseeritud robotid lahti minutitega. Nõrk parool on nagu kontori uks, mis ei lukustu — see jätab kogu ettevõtte andmed avatuks igaühele, kes soovib sisse pääseda. Tugev paroolipoliitika on iga organisatsiooni turvalisuse alustala.
Kahetasandiline autentimine (MFA)
Isegi kui parool lekib, kaitseb teine autentimistase (näiteks telefoni kinnitus) ettevõtte kontosid volitamata ligipääsu eest. Ilma MFA-ta piisab ühestainsast lekkinud paroolist, et ründaja saab täieliku ligipääsu ettevõtte süsteemidele ja andmetele.
Arvutitöökohtade standardiseerimine
Ühtlased seadistused tagavad, et iga arvuti on sama turvaline ja töökindel. Standardiseerimine vähendab inimlikke vigu, kiirendab probleemide lahendamist ja muudab uute töötajate seadmete ettevalmistamise oluliselt lihtsamaks.
Arvutitöökohtade monitoorimine
Ennetav jälgimine avastab kõvaketta rikked, mäluprobleemid ja muud riistvara vead enne, kui need põhjustavad andmekadu või tööseisakuid. Monitoorimine annab IT meeskonnale võimaluse tegutseda proaktiivselt, mitte reageerida alles siis, kui probleem on juba tekkinud.
Ülevaataja rolli olemasolu
IT spetsialistid eksivad samuti — vigane seadistus võib jääda märkamata kuudeks. Sõltumatu ülevaataja kontrollib, et seadistused ja teenused vastavad kokkulepitud nõuetele, pakkudes kvaliteedikontrolli, mis hoiab ära kulukaid vigu.
Firmware uuendamine
Ka arvuti püsivara (BIOS/UEFI) sisaldab turvavigu, mida tavatarkvaraga parandada ei saa. Uuendamata firmware jätab arvuti haavatavaks isegi siis, kui operatsioonisüsteem on täielikult ajakohane. Firmware ründed on eriti ohtlikud, kuna neid on raske avastada.
Andmete varundamine
Teada peab olema, milliseid andmeid ja kuidas varundatakse — ning varundust tuleb regulaarselt testida. Testimata või puuduv varundus ilmneb alles siis, kui andmed on juba kadunud, ja selleks hetkeks on kahju juba pöördumatu.
Autentimise vajaduse hindamine
Iga arvutitöökoha jaoks tuleb hinnata, milline autentimise tase on vajalik. Liiga nõrgad meetmed ohustavad turvalisust ja andmekaitset, liiga ranged häirivad igapäevatööd ja vähendavad töötajate produktiivsust. Õige tasakaal on kriitilise tähtsusega.
VPN kasutamine välisvõrgus
Avalikes WiFi-võrkudes (kohvikud, lennujaamad, hotellid) on andmete pealtkuulamine üllatavalt lihtne. VPN loob turvalise krüpteeritud tunneli, mis kaitseb paroole, e-kirju ja äriandmeid ka siis, kui töötaja kasutab ebaturvalist võrku.
Mobiilsete seadmete kaitse
Telefonid ja tahvelarvutid vajavad sama ranget kaitset kui arvutid, kuna need sisaldavad sageli ligipääsu e-postile, dokumentidele ja äriäppidele. Keskne haldus, regulaarsed uuendused ja turvaline andmete kustutamine enne seadme müüki on hädavajalikud.
Õigesti valitud tarkvara
Ärikasutajale mõeldud tarkvara pakub keskset haldust, turva uuendusi ja tootjatuge, mis on kriitilise tähtsusega ettevõtte andmete kaitsmisel. Kodukasutajale mõeldud tarkvara jätab ettevõtte ilma nende kaitsemeetmeteta ja võib rikkuda litsentsireegleid.
Paroolide perioodiline vahetamine
Ühe parooli lekkimisel tekib risk kõigile süsteemidele, kus sama parool on kasutusel. Regulaarne vahetus piirab lekke mõjuulatust ja vähendab aega, mille jooksul varastatud parool on kasutatav. See on eriti oluline ettevõtetes, kus töötajate voolavus on suur.
Erivajadused töökohtadel
Spetsiifiliste rakendustega kasutajad (näiteks raamatupidamine, projekteerimine, andmeanalüüs) vajavad erilist tähelepanu seadistamisel ja dokumenteerimisel. Nende töökohtade eripärad peavad olema kirjeldatud, et IT tugi saaks probleeme kiiresti lahendada.
Täiendav turvalisus internetikasutamisel
Väga tundlike andmetega töötajad (juhtkond, finantsosakond, personaliosakond) peaksid kasutama lisaturvameetmeid nagu kohustuslik VPN, ründeid tuvastav tarkvara ja piiratud ligipääs ohtlikele veebilehtedele. Täiendav kaitse vähendab sihitud rünnakute riski.
Mobiiltelefonide eraldi kaitsmine
Isiklikes telefonides tuleb tööandmed isoleerida eraldi konteinerisse, et isiklikud äpid ei pääseks ligi tööandmetele. Töötelefonid peavad olema keskse halduse all, et tagada uuendused, krüpteerimine ja vajadusel kaugtühjendamine.
Riistvara ajakohasus
Vananenud riistvara ei pruugi toetada kriitilisi turva- ja süsteemiuuendusi, muutes selle nõrgaks lüliks kogu organisatsiooni turvalisuses. Aegunud seadmed on ka aeglasemad ja ebausaldusväärsemad, vähendades töötajate produktiivsust ja suurendades hooldekulusid.
Printimislahendused
Tänapäevased printimislahendused hoiavad kulud kontrolli all, tagavad tarvikute õigeaegse tellimise ja väldivad tööseisakuid tooneri otsa lõppemisel. Hästi hallatud printimistaristu vähendab ka turvariske, kuna printerid on sageli unustatud ründepind.
Rämpsposti filtreerimine
Rämpsposti kaudu levitatakse andmepüügi kirju ja viiruseid, mis on üks levinumaid küberrünnakute vorme. Tõhus filter kaitseb nii üksikkasutajat kui kogu võrku, vähendades oluliselt tõenäosust, et pahatahtlik e-kiri jõuab töötaja postkasti.
Kaughalduse tarkvara
Eelinstalleeritud kaughalduse tarkvara võimaldab IT meeskonnal probleeme lahendada minutitega, mitte tundidega. See tähendab vähem seisakuid töötajatele, kiiremat tuge ja võimalust hallata seadmeid ka siis, kui töötaja on kontorist eemal.
EDR (Endpoint Detection & Response)
Tavaline viirusetõrje tuvastab ainult teadaolevaid ohte, kuid kaasaegsed ründed on sellest sammu võrra ees. EDR-lahendus jälgib seadme käitumist reaalajas, tuvastab kahtlased mustrid ja reageerib automaatselt — isoleerib nakatunud seadme enne, kui oht jõuab levida. See on tänapäeva ettevõtte lõpp-punktide kaitse miinimumstandard.
BYOD poliitika (isiklikud seadmed)
Kui töötajad kasutavad tööks isiklikke arvuteid, telefone või tahvelarvuteid, peab ettevõttel olema selge poliitika — millised turvameetmed peavad olema rakendatud, kuidas tööandmeid eraldatakse isiklikest ning mis juhtub töösuhte lõppedes. Reguleerimata BYOD tähendab, et ettevõtte andmed liiguvad kontrollimatutes seadmetes.
Rakenduste kontroll (Application Whitelisting)
Ainult eelnevalt heakskiidetud tarkvara tohib arvutis käivituda — kõik muu blokeeritakse automaatselt. See on üks tõhusamaid kaitsemeetmeid pahavara, lunavara ja lubamatu tarkvara vastu, sest isegi tundmatu viirus ei saa käivituda, kui see pole lubatud nimekirjas.
Arvutivõrgu, interneti ja intraneti audit
43 meedet — võrgu turvalisus, haldus ja arhitektuur
Ettevõtte arvutivõrk on kogu IT-taristu selgroog — kui võrk on halvasti kaitstud, on kõik sellega ühendatud seadmed ja andmed ohus. See valdkond hindab võrguseadmete turvalisust, ligipääsu piiranguid, WiFi kaitset, tulemüüre ja võrguarhitektuuri. Õige võrgukorraldus vähendab oluliselt küberrünnakute mõju ning tagab töö järjepidevuse ka probleemide korral.
Võrguseadmete regulaarne uuendamine
Vananenud tarkvara turvavead on avalikult teada ja hõlpsasti ära kasutatavad. Uuendamata ruuter või switch võib olla kogu ettevõtte turvaahela nõrgim lüli.
Mitu halduskontot võrguseadmetel
Ühe parooli kadumisel ei tohi kogu võrgu haldamine seiskuda. Eraldi kontod võimaldavad ka tuvastada, kes milliseid muudatusi tegi.
Haldusliidese ligipääsu piiramine
Võrguseadmete haldusliidesed peavad olema kättesaadavad ainult volitatud IP-aadressidelt. Avalikust võrgust ligipääsetav haldusliides on kutse häkkeritele.
Haldusekraanide paroolikaitse
Füüsilise ekraaniga võrguseadmete halduspaneelid peavad olema kaitstud, et vältida tahtmatut või pahatahtlikku ümberkonfigureerimist.
Võrguseadmete füüsiline turvalisus
Seadmed peavad asuma lukustatud kapis ja ruumis. Füüsiline juurdepääs võrguseadmetele tähendab täielikku kontrolli kogu võrgu üle.
Ülepingekaitse
Äike või voolukatkestus võib hetkega hävitada kõik võrguseadmed. UPS ja ülepingekaitse on odav kindlustus kallite seadmete ja tööseisaku vastu.
Seadmete maandamine
Maandamata serverikapis võib elektriprobleem hävitada korraga kõik seadmed. Nõuetekohane maandus on elementaarne, kuid tihti unustatud kaitsemeede.
Keskne hallatavus
Keskselt hallatavad seadmed annavad täieliku ülevaate võrgu olukorrast ja võimaldavad probleeme avastada enne, kui kasutajad neid märkavad.
Ühtne seadmetootja valik
Piiratud tootjate valik lihtsustab haldamist ja turvaaukude avastamist. Segavõrgus on raskem tagada ühtlast turvataset.
Kaks internetühendust
Kui Internet on ärikriitiline, peab olema varuühendus. Ühe ühenduse katkemisel läheb töö automaatselt teisele üle.
Erinevad IP-aadressid erinevatele võrkudele
Võrkude eraldamine vähendab riske ja takistab ühe osa kompromiteerimist levimast teistesse.
POE toide
Power over Ethernet võimaldab seadmeid kaugjuhtida ja UPS-iga kaitsta, vähendades seisakuid.
VLAN-ide kasutamine
Erinevate funktsioonide (haldus, serverid, telefonid, videovalve) eraldamine piirab ründe levikut.
Võrkude eraldamine
Erinevatele funktsioonidele eraldi võrgud, ühendused ainult vajalikud ja dokumenteeritud.
Portide suunamise dokumenteerimine
Dokumenteerimata ühendused ja suunamised on peidetud turvaaugud.
Avaliku WiFi paroolikaitse
Paroolita WiFi annab igaühele juurdepääsu ettevõtte võrku ja internetiühendusele.
Erinevad paroolid võrguseadmetel
Ühe seadme kompromiteerimise korral jäävad teised kaitstud.
Võrguseadmete monitoorimine
Pidev jälgimine tuvastab probleemid enne kasutajaid ja võimaldab ennetavat reageerimist.
Garantii ja tootetugi
Toetuseta seadmed ei saa turvauuendusi. Teadaolevad haavatavused muutuvad avalikuks.
Kriitiliste seadmete dubleerimine
Asendusseadmete olemasolu ja dokumenteeritud konfiguratsioon tagab kiire taastamise.
Traadita interneti turvalisus ja leviala
WiFi peab levima kõikjal, kus vaja, olema kaitstud ja klientide vahel eraldatud.
VPN kasutamine
Turvaline kaugjuurdepääs ettevõtte ressurssidele, eriti välismaa võrkudest.
VPN ja interneti kasutuse eeskirjad
Töötajad peavad teadma, millal VPN on kohustuslik.
Eraldi internetühendus avalikule WiFile
Avalik WiFi eraldi ühendusega ei ohusta sisevõrku.
Tulemüüri kaitse
Tulemüür kaitseb ka neid seadmeid, mis ise end piisavalt kaitsta ei suuda (printerid, IoT andurid).
Võrgujaoturite portide seadistamine
Seadistamata pordid on avatud uksed ettevõtte võrku.
Oma ruuteri kasutamine
ISP ruuter ei paku piisavat kontrolli ega turvalisust.
Kaitse kolmandate osapoolte seadistuste eest
Valesti seadistatud seade (nt IP-telefon) võib kogu võrgu halvata.
Kolmandate osapoolte teenuste turvalisus
Välised teenused vajavad sama ranget kaitset (MFA, tugevad paroolid).
Seadmepõhine piirang
Ainult lubatud seadmed saavad võrguga ühenduda.
Kahetasandiline autentimine haldusliidesel
Lisaturvakiht kaitseb kriitilisi haldusseadeid.
Ebaturvaliste seadmete eraldamine
Nõrga turvalisusega seadmed peavad olema eraldi võrgus.
WiFi paroolide regulaarne vahetamine
Aegunud WiFi paroolid on nagu kadunud võtmed, mis pole vahetatud.
DNS kaitse
DNS on interneti alustalades, selle kompromiteerimine suunab kasutajad valedele lehtedele.
Ebaturvaliste seadmete vältimine
Teadaolevalt ebaturvalised seadmed tuleb võrgust eemaldada.
Kasutamata funktsionaalsuse piiramine
Iga mittevajalik teenus on potentsiaalne ründevektor.
Autorun keelamine
Autorun võimaldab pahavaral automaatselt käivituda USB-seadmelt.
NTLM autentimise keelamine
NTLM on aegunud ja tuntud turvanõrkusega protokoll.
Ebaturvaliste protokollide keelamine
FTP, Telnet jms protokolle saab minutitega pealt kuulata.
Logifailide monitoorimine
Logid paljastavad rünnakud ja kahtlased tegevused varakult.
AIDE kasutamine
Ründeid tuvastav tarkvara avastab ka keerukamad sissetungid.
Zero Trust põhimõte
Ära usalda midagi automaatselt — kontrolli igat ühendust, igat kasutajat ja igat seadet. Zero Trust lähenemine tähendab, et ka sisevõrgus kontrollitakse ligipääsuõigusi, mitte ainult välispiiri. See on NIS2 ja ISO 27001 suund ning kaitseb eriti hästi sisemiste ohtude ja lateraalse liikumise vastu.
802.1X võrgu autentimine
Iga seade peab end võrgus autentima enne, kui saab andmevahetust alustada. See väldib olukorda, kus keegi ühendab võõra seadme kontori võrguporti ja saab koheselt ligipääsu ettevõtte sisevõrgule. 802.1X on eriti oluline avatud kontoriruumides ja koosolekuruumides.
Serverite, andmehoidlate ja varunduse audit
36 meedet — serverite turvalisus, varundamine ja järjepidevus
Serverid ja andmesalvestussüsteemid on ettevõtte digitaalse äri süda — neis paiknevad andmebaasid, e-postid, failid ja ärirakendused. See valdkond hindab serverite füüsilist ja loogilist turvalisust, varundamist, monitoorimist ja taastevõimekust. Üks rike või rünnak serverile võib päästiku halvendada kogu ettevõtte tööd.
Nõuetekohased ruumid
Serverid peavad asuma kliimakontrolli, tulekaitse ja veekindlusega ruumis. Vale keskkond lühendab seadmete eluiga ja suurendab rikkeid.
Füüsilise ligipääsu piiramine
Ainult volitatud isikud pääsevad serveriruumi. Vana riistvara ja praht ei tohi seal viibida.
Seadmete nuppude kaitsmine
Paneeliga kaitstud nupud väldivad juhuslikku väljalülitamist või ketaste eemaldamist.
Korrektne kaabeldus
Toitekaablid peavad olema kinnitatud, et vältida juhuslikku lahtiühendamist ka teiste IT-tööde käigus.
UPS ja toitekaitse
Kõik seadmed peavad olema UPS-iga kaitstud, väljalülitamise järjekord seadistatud ja testitud.
Haldusliideste ligipääsu piiramine
Haldusliidesed peavad olema haldusvõrgus, MFA-ga kaitstud ja välisvõrgust kättesaamatud.
SSH/SSL krüpteeritud ühendused
Haldusliidesed peavad kasutama krüpteeritud ühendusi, et vältida paroolide pealtkuulamist.
Mitu administraatori kontot
Varukonto tagab juurdepääsu ka parooli kadumisel ja võimaldab tuvastada kes mida tegi.
Isikulised halduskontod
Igal haldajal oma konto, et tagada jälgitavus ja vastutus.
Firmware regulaarne uuendamine
Serveri firmware turvaaugud on sama ohtlikud kui tarkvaravead.
RAID massiivid
Andmete peegeldamine mitmele kettale kaitseb üksiku ketta rikke eest. RAID teavitused peavad olema seadistatud.
Operatsioonisüsteemide uuendamine
Kriitilised turvauuendused peavad olema paigaldatud, uuendamata server on avatud uks.
Rakendustarkvara uuendamine
Ka andmebaasid ja spetsiaaltarkvarad vajavad regulaarset uuendamist.
Keerulised paroolid
Serverite ja teenuste paroolid peavad olema eriti tugevad ja regulaarselt vahetatud.
Kahetasandiline autentimine
MFA, IP-piirangud, MAC-piirangud. Üleliigsed ligipääsud tuleb kõrvaldada.
Kaugkonsoolid
Remote management kaardid peavad olema seadistatud ja kaitstud hädaolukordadeks.
Monitoorimine ja intsidentide talletamine
Serverid, teenused ja rakendused peavad olema jälgitud 24/7.
Tootja turvasoovituste järgimine
Vaikeseadistuses tarkvara on sageli ebaturvaline.
Mittevajalike teenuste keelamine
Iga käsiv teenus on potentsiaalne ründevektor. POP3, SMBv1 jms tuleb keelata.
Tootetugi ja garantii
Tueta seadmed ei saa uuendusi ja probleemidel puudub tootja abi.
Tarkvarade tootetugi
Uuenduste ja turvaparandustega tarkvara on stabiilsem ja turvalisem.
Logifailide uurimine
Regulaarne logide läbivaatamine avastab probleemid enne kasutajaid.
Teavituste seadistamine
Seadmete automaatsed teavitused (info/warning/error) kiirendavad reageerimist.
Minimaalne andmete sünkroniseerimine
Välistesse teenustesse sünkroniseeritakse ainult hädavajalikud andmed.
Kasutajaõiguste reguleerimine
Kontode ja õiguste regulaarne ülevaatus tagab, et ainult volitatud isikud pääsevad ligi.
Ründeid tuvastav tarkvara
Välisveebiteenused vajavad tarkvaralist tulemüüri.
Viirusetõrje erandite kontroll
Põhjendamata erandid nõrgendavad kaitset.
Kaitsmata teenuste isoleerimine
Pärandtarkvara, mida ei saa uuendada, tuleb isoleerida ülejäänud võrgust.
Viiruse- ja nuhktõrje serveritel
Ka serverid vajavad aktiivset kaitset pahavara vastu.
Konsooli turvalisus
Kaitstud ja operatiivselt kasutatavad konsoolid kiirendavad hädaolukorra lahendamist.
Varukoopiad
OS, rakenduste ja andmete varukoopiad turvalises asukohas, kaitstud hädaohtude eest.
Turvaline andmevahetus
Ainult turvalised protokollid, IP/MAC piiratud, minimaalsed andmed. Vanu SSL/TLS/SNMP versioone ei kasutata.
Veebiserverite lisaturvalisus
WAF kaitseb tuntud ründevektorite vastu, eriti uuendamata veebirakendustel.
Regulaarsed turvatestid
Automaatne turvaaukude otsimine ja raportite läbitöötamine hoiab turvalisuse ajakohasena.
3-2-1 varundusreegel ja muutumatud varukoopiad
Varunduse kuldreegel: 3 koopiat andmetest, 2 erinevat andmekandjat, 1 koopia väljaspool asukohta. Lisaks peab vähemalt üks koopia olema muutumatu (immutable) — seda ei saa üle kirjutada ega kustutada isegi administraatori õigustega. See on ainus kindel kaitse lunavara vastu, mis krüpteerib ka tavapärased varukoopiad.
Disaster Recovery testimine
Katastroofitaaste plaan on väärtusetu, kui seda pole reaalselt läbi harjutatud. Regulaarne testimine näitab, kas süsteemid on tegelikult taastatavad, kui kiiresti see toimub ja millised lüngad plaanis esinevad. Ilma testimiseta avastate probleemid alles siis, kui on juba hilja.
Microsoft 365 turvalisuse audit
33 meedet — pilveteenuste turvalisus, litsentsid ja haldus
Microsoft 365 on enamiku ettevõtete igapäevane töökeskkond — e-post, dokumendid, meeskonnatöö ja andmehoidla. Valesti seadistatud M365 keskkond on avatud uks küberrünnakutele, andmelekketele ja litsentsirahade raiskamisele. See auditi valdkond kontrollib, kas teie pilveteenus on turvaliselt seadistatud, kontod kaitstud ja litsentsid optimeeritud.
Keerulised paroolid
M365 kontode paroolid peavad vastama rangetele nõuetele. Robotid proovivad pidevalt levinud paroole ja nõrgad paroolid murtakse lahti minutitega.
Iga haldaja oma konto
Igal administraatoril peab olema oma konto vastutuse ja jälgitavuse tagamiseks. Samuti peab olema varukonto hädaolukorraks.
Haldajate õiguste reguleerimine
Igale haldajale ainult vajalikud õigused. Liiga laiad õigused suurendavad riski inimliku vea või kompromiteerimise korral.
Kahetasandiline autentimine
Kõigil kontodel MFA sisse lülitatud. Kriitiliste andmete puhul SMS-põhist MFA-d ei kasutata, sest mobiilsidet saab pealt kuulata.
Kontode ja õiguste regulaarne kontroll
Kontosid ja õigusi kontrollitakse äripoole ja IT poolt regulaarselt. Kontrollimata kontod tähendavad potentsiaalset ligipääsu endistele töötajatele.
Sobivad litsentsid
Õiged litsentsid vastavalt tegelikele vajadustele. Rahaline kokkuhoid ja optimaalne funktsionaalsus.
Paroolide aegumine
Paroolid peavad olema seadistatud perioodiliselt aeguma, sundides kasutajaid neid vahetama.
Domeenide tervis
Kõik ettevõtte domeenid peavad olema "healthy" staatuses, DNS-id õigesti seadistatud.
Pilve sünkroniseerimine
Kõik kasutajate dokumendid ja ühiskaustad peavad sünkroniseeruma pilve. Sünkroniseerimist kontrollitakse regulaarselt.
Pilve varukoopia
M365 pilves peab olema töötav varukoopia, millest saab määratud aja jooksul taastada. Pilveteenus ise ei taga automaatset varundust.
Kontode sünkroniseerimine
M365 ja kohapealse Active Directory kontod peavad olema sünkroonis.
Kasutamata pilveteenuste keelamine
Iga aktiveeritud, kuid kasutamata teenus on täiendav ründepind.
Lubatud seadmete piiramine
Pilveteenus lubatud ainult hallatud ja turvatud seadmetelt.
P1 turvalisuse litsents
Vähemalt P1 litsents tagab professionaalse turvahalduse ja turvareeglite rakendamise.
Turvareeglite regulaarne ülevaatus
Pilveteenus areneb pidevalt, uusi turvameetmeid tuleb perioodiliselt üle vaadata.
Conditional Access / Security Defaults
Täiendavad turvameetmed piiravad juurdepääsu konteksti põhjal (asukoht, seade, risk).
Litsentside tegelik kasutamine
Makstakse ainult reaalselt kasutatavate litsentside eest.
Administraatorikontod mitme domeeniga
Kriitilised kontod seotud mitme domeeniga, et domeeni kaaperdamine ei halvaks kogu haldust.
Security Score vähemalt 60%
Microsofti reaalajas turvahinne. Madal skoor tähendab, et elementaarsed turvameetmed on rakendamata.
Compliance Score vähemalt 60%
Andmekaitse vastavuse hinne. Madal skoor tähendab, et ettevõte ei järgi elementaarseid andmekaitse poliitikaid.
Pilvesse mittesünkroniseeritavad andmed
IT peab teadma, milliseid andmeid ei tohi pilvesse laadida.
Unified Audit Log
Auditilogi peab töötama ja seda arvestatakse IT-halduses.
AD Health Agent
Azure AD tervisekontrolli agent peab olema seadistatud ja töötav.
Enterprise rakenduste haldamine
Kasutatavad rakendused ja nende õigused peavad olema teada ja piiratud.
Tarkvara funktsionaalsuse kasutamine
Soetatud litsentside funktsionaalsust kasutatakse maksimaalselt, mitte ei maksta kasutamata võimaluste eest.
Log Analytics
Logide analüüsimine on sisse lülitatud turvaprobleemide tuvastamiseks.
Teenuste ülevaataja roll
Eraldi ülevaataja kontrollib M365 teenuseid koostöös äripoolega.
Jagatud infovarade haldamine
Teams, OneDrive, SharePoint õigused ja jagamised peavad olema korrektsed ja kontrollitud.
DNS kaitse
DNS peab olema kaitstud ja MFA DNS-pakkuja juures seadistatud.
Rämpsposti kaitse
Rämpsposti filtrid peavad kaitsma kasutajaid andmepüügi ja pahavara eest.
Data Loss Prevention (DLP)
DLP poliitikad tuvastavad ja blokeerivad automaatselt tundlike andmete — nagu isikukoodid, pangakaardi numbrid või konfidentsiaalsed dokumendid — tahtmatu või pahatahtliku jagamise e-posti, Teamsi või OneDrive kaudu. Ilma DLP-ta võivad tundlikud andmed lahkuda ettevõttest ilma, et keegi seda märkaks.
Sensitivity Labels ja Information Protection
Dokumentide ja e-kirjade automaatne klassifitseerimine (nt "konfidentsiaalne", "ainult sisekasutuseks") ning vastavate kaitsemeetmete rakendamine. Märgistatud dokument liigub koos kaitsega — isegi kui see saadetakse ettevõttest välja, jäävad piirangud kehtima.
Safe Links ja Safe Attachments
Microsoft Defender for Office 365 kontrollib reaalajas iga e-kirjas olevat linki ja manust pahavara suhtes — ka siis, kui e-kiri on juba kohale jõudnud ja kasutaja sellele hiljem klikib. See kaitseb andmepüügi rünnakute vastu, mis moodustavad üle 80% kõigist küberintsidentidest.
Infoturbe ja IT dokumentatsiooni audit
52 meedet — poliitikad, dokumentatsioon ja riskihaldus
Dokumentatsioon ja infoturbe poliitikad on ettevõtte IT turvalisuse selgroog. Ilma selgete protseduuride, vastutuste ja riskihinnanguteta on ettevõte haavatav nii küberrünnakute, andmelekete kui ka igapäevaste inimlike vigade suhtes. See valdkond kontrollib, kas ettevõttel on olemas vajalikud poliitikad, kas dokumentatsioon on ajakohane ja kas infoturbe vastutused on selgelt jaotatud.
IT küberturvalisuse poliis
Ettevõttel peab olema läbimõeldud küberturvalisuse poliitika. Ilma selleta puudub raamistik ohtude ennetamiseks ja töötajate juhendamiseks.
Töötajate juhendamine
Kõik töötajad peavad olema IT turvalisuse osas koolitatud ja andnud kirjaliku nõusoleku reeglitest kinni pidada.
Kasutuse eeskirja aktsepteerimine
IT kasutuse eeskirjad peavad olema töölepingu või ametijuhendi osa, kasutajate poolt kirjalikult vastu võetud.
Seadmete dokumentatsioon
Ettevõte peab teadma kõiki kasutusel olevaid IT seadmeid, kes neid kasutab ja haldab.
Varundus- ja taasteplaan
Lisaks varundusele peab olema selge plaan, kuidas süsteeme taastada. Plaani tuleb regulaarselt üle vaadata.
Varunduse testimine
Testimata varundus on sama hea kui puuduv varundus. Regulaarne testimine on kriitilise tähtsusega.
Infoturbe vastutav isik
Nii äripool kui tehniline pool peavad vastutama. Abstraktne vastutus on vastutuse puudumine.
Kasutajaõiguste regulaarne kontroll
Äripool ja IT pool kontrollivad koos kasutajaõigusi. Endise töötaja ligipääs ettevõtte andmetele on reaalne oht.
IT intsidentide dokumenteerimine
Dokumenteeritud intsidendid paljastavad korduvad vead ja turvaaugud, mis muidu jääksid avastamata.
Dokumentatsiooni standardiseerimine
IT dokumentatsioon peab olema arusaadav kolmandatele osapooltele, et teenusepakkuja vahetamine oleks valutum.
Intsidentide regulaarne ülevaatus
Korduvate vigade ja oluliste probleemide tuvastamine parandab teenuse kvaliteeti.
Kasutajate nimekiri ja õiguste tabel
Ülevaatlik tabel näitab, kellel on kuhu ligipääs, millal ja miks anti.
Töötajate koolituskava
Regulaarne IT-alane koolitus hoiab teadlikkust ja ennetab intsidente.
GDPR ja andmekaitse
Teada peab olema, milliseid isikuandmeid töödeldakse ja kuidas need on kaitstud.
IT riskianalüüs
Dokumenteeritud riskianalüüs aitab süstemaatiliselt kontrollida IT hetkeseisu ja kavandada meetmeid.
IT ülevaataja roll
Eraldi ülevaataja avastab puudujäägid, mis igapäevases töös jäävad märkamata.
Dokumentatsiooni regulaarne uuendamine
Vananenud dokumentatsioon on halvem kui puuduv, sest tekitab vale turvatunnet.
Küberturvalisuse poliisi uuendamine
Poliis peab kajastama uusi ohtusid ja muutunud keskkonda.
Vastutav juhatuse liige
Ettevõtte juhtkond peab olema IT ohtude ja võimalustega kursis.
Arvutitöökohtade dokumenteerimine
Erivajadused ja eripärad peavad olema teada ja arvestatud.
Parimate praktikate järgimine
IT haldamine lähtuvalt ITIL, ISO ja teistest standarditest tagab kvaliteedi.
Kasutajate ja juhatuse intervjueerimine
Tagasiside aitab tuvastada kitsaskohad, mida IT meeskond ei pruugi näha.
Infovarade nimekiri
Kõik ettevõtte infovarad peavad olema teada koos asukoha ja riskidega.
Dokumentatsiooni arusaadavus kolmandatele
Hädaolukorras peab iga IT-spetsialist saama dokumentatsiooni järgi tegutseda.
Dokumentatsiooni kättesaadavus juhtkonnale
Igal hetkel kättesaadav, eriti kriisiolukordades.
Veebikeskkondade turvalisus
Veebikeskkonnad peavad olema uuendatud, kaitstud ja sisaldama ainult vajalikke andmeid.
Veebikeskkondade dokumenteerimine
Riskid ja varundus peavad olema teada.
Konfidentsiaalsus- ja teenuslepingud
Reguleeritud suhted tagavad parema vastutuse ja kaitse.
IT partnerite vahelised suhted
Vastutusalad peavad olema selgelt jaotatud, et keegi ei jääks vastutuseta.
Puuduste regulaarne kontroll
Ignoreeritud puudused on suurimad ohuallikad.
Tehniline ja teenuse ülevaataja
Eraldi rollid vähendavad nii tehnilisi kui teenusega seotud riske.
Hindade kontroll
IT kulusid tuleb regulaarselt võrrelda turul pakutavaga.
Peamiste probleemide teadmine
IT kitsaskohad peavad olema tuvastatud ja lahendused leitud.
IT juht või delegeeritud ülesanded
Keegi peab initsieerima uuendusi ja kontrollima nende täitmist.
IT arenguplaan ja eelarve
Strateegiline planeerimine võimaldab tõhustada nii IT-d kui äri.
Pidev uuenduste rakendamine
Moodsad töövahendid ja kursis olemine IT uuendustega.
IT partnerite intervjueerimine
Partnerite sisend aitab tuvastada parenduskohti.
Nõu andev teenindus
Töötajatel peab olema võimalus arutada IT-lahendusi oma partneri.
Juhendid IT-toiminguteks
Arvutite üleandmine, vahetamine ja muud protseduurid peavad olema dokumenteeritud.
Litsentside ülevaade
Kõik litsentsid peavad olema teada, korrektsed ja optimeeritud.
Konfiguratsiooni dokumentatsioon
Seadistamise, installeerimise ja haldamise info peab olema talletatud.
Konfiguratsiooniüksuste viitamine
Seadmete, tarkvarade ja asukohtade vahelised seosed.
Konfiguratsiooniüksuste klassifitseerimine
Aitab probleeme tõhusamalt lahendada.
Intsidentide viitamine
Seadmetega seotud intsidendid on kirjeldatud korduvate vigade leidmiseks.
Konfiguratsiooni ajalugu
Muudatuste ajalugu näitab, kes ja millal midagi muutis.
Varundus konfiguratsioonielementides
Oluliste seadmete varundusinfo peab olema dokumenteeritud.
Taasteplaan konfiguratsioonielementides
Protseduurid erinevate rikete korral.
Tarkvara litsentside talletamine
Litsentsivõtmed ja ligipääsuinfo peavad olema turvaliselt hoitud.
E-posti seadistused
SPF, DKIM, DMARC ja muud turvaseadistused peavad olema rakendatud.
Intsidendi reageerimise plaan (IRP)
Küberintsidendi korral loevad minutid. IRP on konkreetne samm-sammuline tegevuskava — kes mida teeb, keda teavitab, kuidas ohtu piirab ja kuidas süsteeme taastab. Ilma plaanita valitseb kaoses paanika, mis teeb kahju veelgi suuremaks. NIS2 nõuab, et olulistel ettevõtetel oleks IRP olemas ja testitud.
Äritegevuse järjepidevuse plaan (BCP)
Kuidas ettevõte jätkab tööd, kui IT-süsteemid on pikemalt maas — olgu põhjuseks küberrünnak, loodusõnnetus või teenusepakkuja tõrge? BCP kirjeldab alternatiivsed töömeetodid, prioriteetsed süsteemid ja taastamise järjekorra. Ilma BCP-ta võib pikem IT-seisak tähendada otsest rahalist kahju ja klientide kaotust.
Tarneahela riskihaldus
NIS2 direktiiv nõuab, et ettevõtted hindaksid ka oma IT-partnerite ja tarnijate turvalisust. Ühe tarnija kompromiteerimine võib avada ukse teie süsteemidesse. Tuleb hinnata partnerite turvapoliitikaid, nõuda vastavust standarditele ja omada plaani tarnija vahetamiseks.
IT teenuse kvaliteedi ja töö audit
18 meedet — teenuse kvaliteet, protsessid ja koostöö
IT teenuse kvaliteet määrab, kui tõhusalt ettevõte toimib. See valdkond hindab IT meeskonna tööprotsesse, suhtlemist kasutajatega, kolmandate osapoolte haldamist ja teenuse pidevat parendamist. Hästi korraldatud IT-tugi ennetab probleeme, reageerib kiiresti ja arendab süsteeme aktiivselt edasi.
Kasutajatoe põhimõtted
IT-spetsialist peab teadma, milliste standardite alusel ta teenust pakub.
Kasutajatoe käitumine
Hooliv ja professionaalne teenindus avastab probleemid varem. Hinnatakse suhtumist, kättesaadavust ja pädevust.
IT intsidendi info kogumine
Piisava info kogumine enne tegutsemist väldib valesid otsuseid.
Kvaliteetse teenuse teadmine
IT-spetsialist peab oskama sõnastada, mis teeb teenuse kvaliteetseks, ja tundma teenuse kvaliteedi lõhesid.
IT teenuse kvaliteedilõhed
Erinevate osapoolte ootused peavad olema teada. Kehv teenus jätab püsiva negatiivse mulje.
Kliendi rolli kirjeldamine
Klient peab teadma oma vastutust IT teenuse paremaks toimimiseks.
Kliendikoosolekud
Regulaarsed kohtumised teenuse parendamiseks ja pikaleveninud küsimuste lahendamiseks.
Infohalduse probleemid
IT-spetsialist peab teadma infohalduse tüüpprobleeme ja oskama neist hoiduda.
Perioodiliste tööde dokumenteerimine
Planeeritud tööd (uuendused, sertifikaadid, akude vahetused) vähendavad ootamatuid seisakuid.
Ülevaataja roll
Dokumenteeritud ülevaataja roll, tehtud töö jälg ja IT-juhi tugi probleemide lahendamisel.
Kolmandate osapoolte haldamine
Paigaldamine toimub IT juuresolekul, õigused on tuvastatud ja reguleeritud.
Kolmandate osapoolte ligipääsud
Kohustus anda teada ja kaitsta ligipääsuandmeid.
Muudatuste teavitamine
Kolmandad osapooled teavitavad muudatustest, et tagada käideldavus ja turvalisus.
Kliendiküsitlused
Regulaarne tagasiside tuvastab süsteemi puudujäägid.
IT-spetsialistide rollid
Selge vastutusjaotus tagab, et keegi vastutab iga kriitilise komponendi eest.
Ettepanekute tegemine
Aktiivsed ettepanekud süsteemi parendamiseks ja töö tõhustamiseks.
Muudatuste haldamine (Change Management)
Kõik IT-muudatused — tarkvara uuendused, seadistuste muutmised, uute seadmete lisamine — peavad olema planeeritud, testitud ja heaks kiidetud enne rakendamist. Kontrollimata muudatused on üks peamisi IT-tõrgete põhjuseid. ITIL raamistik defineerib selge protsessi, mis vähendab muudatustest tulenevaid riske.
SLA jälgimine ja raporteerimine
Teenustaseme kokkulepete (SLA) mõõtmine ja regulaarne raporteerimine juhtkonnale annab objektiivse pildi IT-teenuse kvaliteedist. Ilma mõõtmiseta on teenuse hindamine subjektiivne ja probleemid jäävad varjatuks. SLA raportid aitavad teha teadlikke otsuseid IT investeeringute kohta.
IT auditi järgne tegevuskava
Auditi tulemuste põhjal koostame konkreetse ja mõõdetava tegevuskava, mis aitab teie ettevõtte IT-süsteeme süstemaatiliselt parendada.
Süsteemide kaasajastamine ja korrastamine
Koostame detailse plaani, kuidas viia kõik IT-süsteemid, seadmed ja tarkvara ajakohasele tasemele. Prioritiseerime kriitilised turvauuendused, planeerime riistvara uuendamise ja automatiseerime regulaarsed hooldustööd. Iga samm on ajastatud ja vastutaja määratud.
Dokumentatsiooni parandamine
Loome või uuendame kogu IT dokumentatsiooni vastavalt parimatele praktikatele (ITIL, ISO 20000). See hõlmab konfiguratsioonihalduse dokumentatsiooni, varundus- ja taasteplaane, turvapolitiikaid, kasutajajuhendeid ja teenuslepinguid. Dokumentatsioon peab olema arusaadav ka kolmandatele osapooltele.
Protsesside korrastamine
Defineerime ja juurutame selged IT-protsessid: intsidentide haldamine, muudatuste juhtimine, probleemide lahendamine, teenustaseme jälgimine ja pidev parendamine. Protsessid lähtuvad ITIL raamistikust ja on kohandatud teie ettevõtte vajadustele. Määrame rollid, vastutused ja mõõdikud.
Pidev jälgimine ja parendamine
Seame paika regulaarse ülevaatuse tsükli, kus kontrollime tegevuskava täitmist, mõõdame edusamme ja kohandame plaani vastavalt muutunud vajadustele. NIS2 ja ISO 27001 nõuavad pidevat parendamist — aitame teil selle tsükli käima panna.
IT auditi konsultatsioon ja pakkumine
Küsige pakkumist või konsultatsiooni. Aitame teil selgust luua ettevõtte IT-olukorrast.
Raul Orav
IT konsultant ja audiitor
Olen töötanud IT-ettevõtetes juhtivatel kohtadel ligi 20 aastat. Olen olnud konsultandiks IT arengukavade koostamisel ning IT auditite teostamisel ja lahenduste disainis. Olen õppinud IT-d ja ärijuhtimist ning osalenud mitmete ettevõtete juhtimisel.