Ehk oled kuulnud küberhügieeni koolitusest? Äkki oled mõelnud mis vahe on küberhügieeni ja infoturbe koolitustel? Kui oled juhtumisi väike- või keskmise suurusega ettevõte siis kas peaksid sellele üldse mõtlema ja kui siis kummale ja kuidas?

Üritan siia postitusse panna kirja oma kogemuse, miks, keda ja kuidas koolitada.

Aasta aastalt muutuvad küberrünnakud aina aktiivsemaks, meie äriprotsessid aina digitaalsemaks ja klientide ootused suurenevad. Selle kõige valguses suurenevad ka riskid kui paremal juhul lihtsalt midagi ei tööta - halvemal juhul kliendi andmed lekivad või kaovad sootuks.

Väikesed ja keskmise suurusega ettevõtteid tabavad need intsidendid eriti valusalt, kuna neil ei pruugi olla sama palju ressursse kui suurettevõtetel oma süsteemide kaitsmiseks. Tihti on varundus kas osaline või suisa puudub ja plaan kuidas sellisest olukorrast taastuda on jäänud tegemata.

Kuidas siis parandada oma ettevõtte väljavaateid küberturbe intsidendi korral kui ressursid on piiratud?

Üks suuremaid riskiallikaid ja seeläbi ka suurim võimalus oma küberturbe positsiooni parandada on personali koolitamine. Aga kuidas ja mis koolitustega? Mida peaks silmas hoidma? Palju see kõik maksma võiks minna?

Mis on küberhügieen ja mis on infoturve?

Küberhügieen viitab reale ennetavatele meetmetele ja harjumustele, mis aitavad tagada digitaalset turvalisust ja privaatsust. See hõlmab praktilisi tegevusi nagu regulaarne tarkvara uuendamine, tugevate paroolide kasutamine ning mitmeastmelise autentimise juurutamine. Hea küberhügieen aitab vähendada riske, nagu andmelekked ja volitamata juurdepääs, muutes ettevõtte digitaalse vara turvalisemaks.

Infoturve on aga laiem mõiste mis hõlmab endas nii küberhügieeni kui ka laiemalt andmete kaitset. Lihtsustades võib öelda, et kui küberturve on peamiselt huvitatud sinu andmetest arvutis siis infoturve on huvitatud ka sinu andmetest paberil.

Oleneb kuidas ettevõte oma koolituskavasi üles ehitab soovitaksin siiski väikestel ja keskmise suurusega ettevõtetel (VKE) fokuseerida infoturbele. Tihti on paljud andmed mujal kui arvutis, serveris või pilves ning kui ressursid on piiratud siis tasub koolitada enda töötajaskonda laiemalt, et vähendada riske kõigil rinnetel ühtselt.

Infoturbe koolituse eesmärgid

Enne kui hakkad tellima infoturbe koolitust siis mõtle läbi mis peaks olema selle eesmärk?. Kas soovid personali viia kurssi peamiste ohtudega ja nende ennetamisega või soovid tutvustada oma ettevõttes olevaid kordi ja poliitikaid? Kui kasutad spetsialiseeritud tarkvara või riistvara siis ehk tuleks rõhku ka sellele panna.

Infoturbekoolitus hõlmab endas tavapäraselt järgnevaid komponente:

1. Infoturve ja tema olemus, riskid mis meid varitsevad.

2. Küberohtude tüübid ja nende liigitamine, märkamine.

3. Turvameetmed, nii tehnilised kuid protsessilised.

4. Krüptograafia ja andmete kaitse nii hoiustades kui transportides.

5. Andmekaitse põhikonseptsioonid.

6. Intsidendihaldus - mida teha kui miskit juhtub.

7. Ettevõtte toimepidevus - kuidas jätkata tööd intsidendi ajal ja järel.

8. Kuidas hoida end kursis muutuvas infoturbe keskkonnas.

Lisaks soovitame ettevõtte juhtidele järgmiseid lisamooduleid:

1. Infoturbe juhtimine organisatsioonis.

2. Riskihaldus.

3. Strateegiline kommuniktasioon infoturbe vaatepunktist.

4. Õigusruum ja regulatsioonid.

Kuidas leida koolitaja ja kui palju see maksab?

Koolitajaid on Eestis omajagu. Peale F0 meeskonna on veel mitmeid spetsialiseerunud ettevõtteid kui ka IT teenusepakkujaid kes muuhulgas pakuvad ka küberhügieeni koolitust. Siiski tasuks enne koolituse tellimist uurida kas:

1. Kas koolitus on kohapeal või kaugelt? See mõjutab ka tihti hinda.

2. Koolitus on pakkuja poolt tehtud või sisse tellitud? Ehk kas koolitaja kes tuleb kohapeale on ise koolituse tellinud või ainult loeb selle ette?

3. Kas kooltus tehakse sinu ettevõtte jaoks või kasutatakse eelnevalt valmis olevat? Kui kasutatakse varasemat materjali siis millal seda viimati uuendati?

4. Kes koolituse tegi ja kes seda esitab? Kas see on usaldusväärne isik? Mis on tema kogemus ja kas tal on erialaseid sertifikaate (nagu CISA, CISSP, ISO27001 Lead Auditor, NIST SP 800-53 Lead Auditor vmt.)?

5. Kas koolituse eelneb konsultatsioon ja kas peale koolitust on ka järeltegevusi nagu eksam, tekkinud küsimustele vastamine vmt.)

6. Kas koolituse materjali saab ettevõte endale?

Kui palju koolitus maksab?

Koolituste hinnad sõltuvad valitud partnerist, koolituse mahust ja koolituse iseloomust. Küll aga on turul mingi tasakaalu punkt olemas. IT Teenusepakkujaid pakuvad tihti küberhügieeni koolitusi suurusjärgud 90€ tund ning üks kahe tunnine koolitus tähendab tihti umbes 6 tundi tööd. Ehk 540€ + KM võib olla pakutava madalam ots.

Infoturbe koolitused erialale spetsialiseerunud ettevõtetel kipuvad olema kallimad, kolmetunnine koolitus tähendab tavaliselt 10 tundi tööd hinnaga 120€ tund. Ehk 1200€ + KM võib olla pakutava kõrgem ots.

Paljudes eriala ettevõtetel on ka eelsalvestatud koolitusplatvormid kus vajalikud koolitused on saadaval kui litsenseeritud ligipääs platvormile. Siin algavad tihti hinnad 15€ ja liiguvad üles kuni 100€ inimese kohta.

Tasuta koolitused

Lisaks on veel palju häid tasuta koolituse variante. F0 pakub perioodiliselt tasuta infoturbe koolituse kõigile huvilistele nii Tartus kui Tallinnas. Lisaks on Riigi Infosüsteemide Amet ja Riigipilve Akadeemia teinud terve hulga häid materjale millega tasub tutvuda kõigil.

• www.itvaatlik.ee - pakub kvaliteetset tasuta materjali küberturbe teemadel erinevatele sihtrühmadele.

• www.digiriigiakadeemia.ee - pakub koolitusmaterjale kitsamalt E-ITS teemadel ja avalikku sektorit puudutaval.

Kokkuvõte

Infoturbe koolitused on üks kõige efektiivsemaid meetmeid erinevate andmetest ja küberohtudest lähtuvate riskide maandamiseks. Koolitused ei pea olema keerukad ega kallid ning alustada saab juba tasuta. Kui aga see kõik tundub siiski liialt keeruline siis võid alati pöörduda F0 poole.

Mis iganes tee valid, oluline on pihta hakata!