Infoturve – mõttetu kulu või halvima ärahoidmine?

Majanduslikult raskel ajal kui kõikjalt püütakse kulusid kärpida, võib tunduda, et infoturve on just see koht, kust on võimalik lihtsalt säästa ilma halbade tagajärgedeta. Kas see on ikka nii?

Kui headel aegadel võis kulud infoturbele lisada "koefitsiendina" IT või muude kulude alla, siis täna tuleb näidata nende kulude tasuvust. Selleks, et hinnata infoturbega tegelemise olulisust, tuleb lähemalt vaadelda, millist infot ja miks üldse turvata on vaja. Selleks on infoturbe mõiste jagatud alaliikideks, mis kõik omavad ka ärilist vaadet.

Käideldavus ehk see, kas ettevõtte infosüsteem on piisavalt töökindel, on paljudes ärivaldkondades kriitilise tähtsusega. Sõltuvalt tegevusvaldkonnast tekitab tarkvara või riistvara rikki minek suuremaid või väiksemaid kahjusid, olgu selleks toimumata jäänud müügitehingud, edasilükkunud tellimused või lihtsalt tööseisak, mis tuleb teha tasa ületunnitööga.

Terviklus tagab, et infosüsteemis hallatavaid andmeid luuakse ja muudetakse ainult selleks vastavaid õigusi omavate isikute (või süsteemide) poolt. Kui ettevõtte müügisüsteemis muudab keegi toodete müügihinda meelevaldselt, võib see kaasa tuua olulise majandusliku kahju. Näiteks võib elektroonikapoe müüjal tekkida motivatsioon alandada infosüsteemis LCD-televiisori hinda, müüa teler heale sõbrale ja muuta seejärel hind tagasi, nagu midagi poleks juhtunud.

Konfidentsiaalsus – iga ettevõte haldab informatsiooni, mille avalikuks tulekut ta ei soovi. Olgu selleks lepingud tarnijatega või kaupade sisseostuhinnad. Rääkimata isikuandmetest, mille alla kuuluvad sageli kliendiandmed ja millega ümberkäimist reguleerib koguni seadus.

Mitmed eelpool kirjeldatud olukorrad omavad negatiivset mõju ettevõtte tegevusele ja see võib olla nii otseselt rahaliselt mõõdetav kui kaudne (klientide rahulolematus, negatiivne meediakajastus jms). Kui palju on aga mõistlik kulutada, et selliseid negatiivseid mõjusid vähendada või olukordi üldse vältida?

Infosüsteemiga seotud nn turvaintsidentide ärilist mõju on võimalik välja arvutada ärimõjude analüüsi teel (Business Impact Analysis). See on meetod, millega arvestatakse kahjusid, mida üks või teine juhtum endaga kaasa toob.

Ärimõjude analüüs pole ainult infotehnoloogide pärusmaa, vaid seda saavad hinnata eelkõige äriprotsesside toimimise eest vastutavad inimesed. Küll aga saavad infotehnoloogid ja infoturbe spetsialistid pakkuda välja meetmed, mida kasutusele võtta, et kahjulikke sündmusi vältida või nende mõju minimeerida.

Teades veebipoe päeva (või tunni) käivet, saame välja arvutada, kui suurt kahju kanname, kui süsteem mingi aja jooksul ei tööta. Teades ka peamisi riske ja ohtusid, mis veebipoe süsteemi rivist välja võivad viia, saame hinnata, kas meil on mõistlik rakendada mõnda turvameedet (varuserver, dubleeritud võrguühendus), et kahju vähendada.

Kokkuvõtteks võib öelda, et infoturbega tegelemist ei tuleks käsitleda kuluna, vaid ka äriliselt põhjendatud tegevusena. Põhimõte olgu see, et infoturbele kulutatud ressursid ei peaks küll ületama turvalisuse nõrkustest tekkivaid potentsiaalseid kahjusid, küll aga tuleks vältida põhjendamatult suuri kulusid. Eks see ole omamoodi kindlustus.