Ettevõtte IT strateegilised võtmeküsimused

Kui on tahe, on ka võimalus!

Ettevõtte IT strateegilised võtmeküsimused

Erkki Leego
juhtivpartner
Hansson, Leego & Partner
Erkki Leego – juhtivpartner

Ettevõtte IT strateegilised võtmeküsimused / 22.01.14 / Kehtna MTK

(1/40)

Millise kogemuse pealt räägin

• Magistrikraad informaatikas (Tartu Ülikool)
• Osalenud üle 100 ettevõtte IT arengus
– Vabariigi Presidendi Kantselei, infonõunik
– Riigikogu Kantselei, infosüsteemide ja
tehnikaosakonna juhataja
– Tartu Ülikooli Kliinikum, IT direktor
– Hansson Leego & Partner, juhtivpartner

• Hansson, Leego & Partner
– IT juhtimise- ja konsultatsiooniettevõte
• IT strateegiline juhtimine
• Arenduse juhtimine

• Andmekaitse korraldamine


(2/40)

Tööd - näited

• Infosüsteemi (>60 arvutit)
toimimise ja arengu
koordineerimine (IT juht ja
süsteemiülem)
• Infosüsteemide
kaardistamine ja IT
strateegia koostamiseks
lähteandmete koondamine
• Microsoft Dynamics AX
juurutamise
koordineerimine tellija
esindajana
• Arenduse tellijapoolne
juhtimine
• ISKE juurutamine,
infovarade turvalisuse ja
infoturbepoliitika piisavuse
ning tervikluse
auditeerimine


(3/40)


Ettevõtte infosüsteem



(4/40)

Ettevõtte infosüsteem

Domeenikontroller

Kokku
35 tööjaama
43 aktiivset kasutajakontot
6 võrguprinterit

TOODE

Tartu LAN

WAN ISP- Elion
(4 Mb/s Sync)

Tartu
Uniper VPN

Failiserver
InfrastrukDOKU
tuuri serverid

INTERNET

WAN ISP- Elion
(8Mb/s sync)

Tallinn
Uniper VPN
E-post
MS Exchange

LADU

TELLIMINE

Paide
Uniper VPN

WAN ISP- Elion
(2 Mb/s)

Viljandi
Uniper VPN

WAN ISP- Elion
(2 Mb/s)

EMC
andmemassiiv
Terminaliserver

Domeenikontroller

Finants
TOODE 2

MS Dynamics AX

VmWare

Tallinn LAN
Kokku
67 tööjaama
77 aktiivset kasutajakontot
8 võrguprinterit


(5/40)

Teine vaade infosüsteemile

42 U
1U

Võrguseade: HP Procurve switch 2524
Ladu: Pentium 4 3,2GHz, 1GB RAM, 30GB HDD, Windows
Server 2003

Toode: Pentium 3 800MHz, 384MB RAM, 9GB HDD,
Windows Server 2008 R2 (vasakul)

Axaptatest: Pentium 4 3,2GHz, 1.5GB RAM, 80GB HDD,
Server 2003 (paremal)

2U
5U

Lindiseade: HP StorageWorks 1/8 G2, 8 x 100GB Ultrium
1 TAPE cartridges

Axapta:

Intel Xeon 3,06GHz, 2,5GB RAM, 250GB HDD,

Windows Server 2003

5U
5U

Terminalsrv: Intel Xeon 3,06GHz, 1.5GB RAM, 400GB HDD,
Windows Server 2003

DOKU:

Server: Intel Xeon 3,06GHz, 1.5GB RAM, 340GB HDD,

Windows Server 2003

3U
2U

Väline kettasahtel: HP Smart Array 6400, 9 x 36,4GB SCSI HDD
UPS: APC SmartUPS 1500VA, Rackmount UPS, 1440VA, 980W,
120V, 6 Outlet


(6/40)

Kolmas vaade infosüsteemile

• Andmed
• Tehnoloogiad andmete hoidmiseks ja
edastamiseks

• Inimesed
• Reeglid, korrad, vastutus


(7/40)

Infosüsteemide rõhuasetused

• Riigikogu Kantselei
– Hääletussüsteemi töökindlus ja terviklus,
tõestusväärtus
–

15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega mängija
on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna
tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes
Kerdi. Kaks aastat hiljem karistas fraktsioon Kaubat Ja Anti Liivi, sest nende süül
õnnestus opositsioonil riigieelarve eelnõu parlamendi menetlusest välja lükata.”

• Tartu Ülikooli Kliinikum
– 22 suurt infosüsteemi 24/7, käideldavus ja terviklus

• Tartu Ülikooli Eesti Geenivaramu
– Isikuandmete turvaline haldus, konfidentsiaalsus


(8/40)

Näide infosüsteemist - EGV



(9/40)


Andmekaitse



(10/40)

Turbe strateegilised küsimused

• Mida on vaja kaitsta?
– Miks on seda vaja kaitsta? Mis juhtub siis kui ei
kaitse?

• Milliseid potentsiaalseid ebasoovitavaid
tagajärgi me soovime vältida?
– Millise hinnaga? Kui suurt katkestust võime me enne
tegutsemist taluda?

• Kuidas me määratleme ja efektiivselt haldame
jääkriski?
The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum


(11/40)

Andmeturbe 3 põhikomponenti

1. Konfidentsiaalsus
• Andmete kättesaadavus ainult selleks volitatud
isikule või tehnilisele vahendile

2. Terviklus
• Andmete õigsuse, täielikkuse ja ajakohasuse
tagatus ning päritolu autentsus ja volitamatute
muutuste puudumine

3. Käideldavus
• Kasutamiskõlblike andmete õigeaegne ja hõlbus
kättesaadavus selleks volitatud tarbijaile (isikutele
või tehnilistele vahenditele)


(12/40)

Andmete turvaklass (nt. K2T3S1)

Andmete käideldavus (K):
K0 – töökindlus – pole oluline; jõudlus – pole
oluline;
K1 – töökindlus – 90% (lubatud summaarne seisak
nädalas ~ ööpäev); lubatav nõutava reaktsiooniaja
kasv tippkoormusel – tunnid (1÷10);
K2 – töökindlus – 99% (lubatud summaarne seisak
nädalas ~ 2 tundi); lubatav nõutava reaktsiooniaja
kasv tippkoormusel – minutid (1÷10);
K3 – töökindlus – 99,9% (lubatud summaarne
seisak nädalas ~ 10 minutit); lubatav nõutava
reaktsiooniaja kasv tippkoormusel – sekundid
(1÷10).

Andmete terviklus (T):
T0 – info allikas, muutmise ega hävitamise
tuvastatavus ei ole olulised; info õigsuse, täielikkuse
ja ajakohasuse kontroll pole vajalik;
T1 – info allikas, selle muutmise ja hävitamise fakt
peavad olema tuvastatavad; info õigsuse, täielikkuse
ja ajakohasuse kontroll erijuhtudel ja vastavalt
vajadusele;
T2 – info allikas, selle muutmise ja hävitamise fakt
peavad olema tuvastatavad; vajalik on info õigsuse,
täielikkuse ja ajakohasuse perioodiline kontroll;
T3 – info allikas, selle muutmise ja hävitamise faktil
peab olema tõestusväärtus; vajalik on info õigsuse,
täielikkuse ja ajakohasuse kontroll reaalajas.

Andmete konfidentsiaalsus (S):
S0 – avalik info: juurdepääsu teabele ei piirata (st lugemisõigus on kõigil huvitatutel, muutmise õigus on
määratud tervikluse nõuetega);
S1 – info asutusesiseseks kasutamiseks: juurdepääs teabele on lubatav juurdepääsu taotleva isiku
õigustatud huvi korral;
S2 – salajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs
teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral;
S3 – ülisalajane info: info kasutamine on lubatud ainult teatud kindlatele kasutajatele, juurdepääs teabele
on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.
Allikas: VV määrus 20.12.07 nr. 252 „Infosüsteemide turvameetmete süsteem”



(13/40)

100% turvalisust ei ole olemas

•

9/11 terrorirünnak (11.09.01)
–
–
–

•

Societe Generale hiigelpettus (01/08)
–
–

•

Jérôme Kerviel kauplemistehingud põhjustasid pangale
76 miljardit krooni kahju
Süüdistus volitamata ligipääsus ja usalduse
kuritarvitamises

Lähis-Ida riikide interneti katkestus (01/08)
–
–

•

Kaks 110-korruselist WTC hoonet ja hulk muid hooneid
hävinenud, 18 000 väikest äri hävinenud või ümber
paigutatud
Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva
Investeerimispank Cantor Fitzgerald L.P. kaotas 658
töötajat

Mitme veealuse kaabli katkemine põhjustas paljude
Lähis-Ida riikide Interneti side kadumise 10 päevaks
80 milj. kasutajat häiritud (70% Egiptusest, 60%
Indiast)

UK MTA andmete kadumise intsident (10/07)
–
–

Kaks Suurbritannia maksu- ja tolliameti arvutiketast
kõikide lastetoetust saanud perede andmetega läks
teekonnal ühest kontorist teise kaduma
Intsident puudutab 25 milj. UK elanikku

–

DOS rünnakud Eesti riigiasutustele ja pankadele

•

Küberrünnakud Eestis kevad 2007

•

NSA ülemaailmne pealtkuulamine (2013)



(14/40)

Iseloomulikud intsidendid

• Vajalikke andmeid ei saa kasutada
– Hävinevad, ei leia enam üles, ei pääse ligi

• Töövahendid on kasutamatud
– Arvuti on viiruse poolt aeglaseks muudetud
– Arvutid, serverid, programmid ei toimi

• Delikaatne informatsioon võõrastele
kättesaadav
– Piinlikud fotod, eravestlused, terviseinfo,
mobiiltelefoni sisu - „kogu elu taskus“

• Infovargus
– Klientide andmebaas jm. ärisaladused

• Arvutikuriteod
– Krediitkaardipettused, ahistamine e-keskkondades


(15/40)

Milline info on privaatsem?

7
6
5
4
3
2
1
0

Kopsupõletik

Perekond

Vanus

Sissetulek

Isiklik telefon

Allikas: E. Leego ja Äripäeva küsitlus 2007. a.


Kodune
aadress


(16/40)

Ohud, nõrkused, risk, meetmed

• Oht
– Süsteemi või organisatsiooni kahjustada võiva
soovimatu intsidendi potentsiaalne põhjus

• Nõrkused
– Vara või vararühma nõrk koht, mida saab ära
kasutada oht

• Risk
– Tõenäosus, et vaadeldav oht kasutab ära mingi vara
või vararühma nõrkused, põhjustades varade
kaotuse või kahjustuse

• Turvameede
– Riski kahandav teoviis, protseduur või mehhanism


(17/40)

Ohutüübid

•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•

Maavärin
Üleujutus
Orkaan
Äike
Tööstustegevus
Pommirünne
Relvade kasutamine
Kahjutuli
Sihilik kahjustamine
Elektritoite katkemine
Veevarustuse katkemine
Õhu konditsioneerimise rike
Riistvara rikked
Toite kõikumine
Äärmuslik temperatuur ja niiskus
Tolm
Elektromagnetiline kiirgus
Elektrostaatilised laengud
Vargus
Salvestuskandjate volitamatu kasutamine
Salvestuskandjate riknemine
Ekspluatatsioonipersonali eksitus
Hoolduseksitus
Tarkvara tõrge

•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•

Tarkvara kasutamine volitamatute poolt
Tarkvara kasutamine volitamata viisil
Kasutaja identsuse teesklus
Tarkvara ebaseaduslik kasutamine
Ründetarkvara
Tarkvara ebaseaduslik import või eksport
Ekspluatatsioonipersonali eksitus
Hoolduseksitus
Volitamata kasutajate võrgupöördus
Võrguaparatuuri kasutamine volitamata
viisil
Võrgukomponentide tehniline rike
Edastusvead
Liinide kahjustused
Liikluse ülekoormus
Pealtkuulamine
Sidesse sisseimbumine
Liikluse analüüs
Sõnumite väär marsuutimine
Sõnumite ümbermarsuutimine
Salgamine
Sideteenuste (st võrguteenuste) tõrge
Personalinappus
Kasutajate eksitused
Ressursside väärkasutus

Allikas: EVS-ISO/IEC TR 13335 „Infotehnoloogia. Infoturbe halduse suunised”



(18/40)

Nõrkuste valdkonnad

• Keskkond ja infrastruktuur
– nt. hoonete, uste ja akende füüsilise turbe puudumine

• Riistvara
– nt. tundlikkus pinge kõikumiste suhtes

• Tarkvara
– nt. pääsuõiguste väär jaotamine

• Side
– nt. kaitsmata sideliinid

• Dokumendid
– nt. hooletus kõrvaldamisel

• Personal
– nt. puudulikud töölevõtmise protseduurid



(19/40)

Andmeturbemeetmed

• Turvameetmed otstarbe järgi:
– ennetavad meetmed
– avastusmeetmed
– taastusmeetmed

• Turvameetmed teostusviisi järgi:
– organisatsioonilised meetmed
– füüsilised meetmed
– infotehnoloogilised meetmed



(20/40)

10 olulisemat meedet

1. Uksed lukku ka tööpäeva ajal
2. Pidage arvet kasutajatunnuste üle
3. Tagage turvainfo jõudmine töötajateni
4. Tehke regulaarselt tagavarakoopiaid
5. Viirustõrje igasse arvutisse
6. Dokumentide hoidmiseks kindel kord
7. Tagavaratoide olulistele seadmetele
8. Kontrolljäljed kõikidest tegevustest
9. Reeglid andmete kasutamiseks
10.Koostage ülevaade oma infovaradest


(21/40)


IT valdkonna juhtimine



(22/40)

Kaks põhialust

1. Infosüsteem peab laitmatult
töötama
– Tagada olemasoleva infosüsteemi
toimimine ja kasutajatugi

2. Tagada areng
– Arendada süsteemi kooskõlas
vajaduste ja tehnoloogiate
muutumisega


(23/40)

Ettevõtte juhi võtmeküsimused

1. Milline on minu IT meeskond?
– sh. koostööpartnerid

2. Milline on minu ettevõtte IT
valdkonna 3-5 aasta arenguplaan?
3. Kui asjatundlikult viin ma läbi IT
valdkonna arendustegevusi?


(24/40)

IT juhtimise teemad

• IT strateegiline
juhtimine
• Infovarade
turvalisuse
tagamine
• Infosüsteemide
arendus
• Infrastruktuur
• Haldus ja tugi

• Dokumentatsioon
• Finantsjuhtimine
• Personali
juhtimine
• Õiguslikud alused
• Valdkondlikud
eripärad



(25/40)

IT meeskond ja kompetentsid

IT meeskonna ülesehitus

IT juht
IT strateegia ja tegevuskava elluviimine
Juhtkonna nõustamine
Arendustööde juhtimine
IT meeskonna juhtimine
Andmeturbe juhtimine

IT audiitor
Nõuete vastavuse kontroll

Kasutajatugi
Kasutajate abistamine
Tööde registri haldamine
Rakenduste dokumentatsiooni haldamine
Tööjaamade riist- ja tarkvara haldamine

Süsteemiülemad

Rakenduste tugi

Serverite ja serverlahenduste haldamine
Keskse viirusetõrje haldamine
Tagavarakoopiate süsteemi haldamine
Arvutivõrgu haldamine

Erirakenduse tugi, hooldus ja arendus
SyBase, MS Axapta, e-post, ...

Arendusprojekt

Legend

Töötaja

Tellija esindaja

Koostööpartner

Tellija esindajad
Projektijuht, analüütik,
järelevalve, eksperdid
Sisseostetud teenus

Arenduspartner
Tarnija, arendaja,
teenusepakkuja



(26/40)

Võimaluste ja vajaduste ballett

• Strateegiline “muna ja kana”
– Selleks, et pakkuda IT valdkonna võimalustest
tulenevaid lahendusi on vaja teada ettevõtte ärivajadusi
ja arenguvisioone
– Selleks, et leida uusi elegantseid konkurentsieelist
toovaid IT-poolt toetatud ärilisi lahendusi, on vaja teada
IT valdkonna võimalusi

• Igal uuel tehnoloogial ja lahendusel peab olema
sisuline vajadus ja finantsiline optimaalsus
• Baasvajadused peavad olema rahuldatud
• Rakenduse funktsionaalsus peab vastama kasutaja
vajadustele – muidu ta kasutab sellest ainult
väikest osa või ei kasuta seda üldse


(27/40)

Erinevad vaated lahendusele



(28/40)

Asjatundlik tellija

• IT valdkonna tehnoloogiate ja
arendusvahendite kiire areng surub peale
spetsialiseerumise
• Oluline on olla asjatundlik tellija
• Vajalikud kompetentsid
–
–
–
–

Lähteülesande koostamine
Hanke läbiviimine
Tellijapoolse projektimeeskonna juhtimine
Tellijapoolne arenduse järelevalve ja kvaliteedi
juhtimine
– Tellijapoolne vastavustestimine ja tulemi
auditeerimine


(29/40)


Digiajastul vajalikud
oskused


(30/40)

Oskused läbi aegade

– Füüsiline jõud ja osavus

– Tehnoloogia rakendamise oskus

– Info kasutamise oskus



(31/40)

Üldised tehnoloogia trendid

•
•
•
•
•

Andmeid on väga palju
Pilvetehnoloogiate kasutamine
Sotsiaalsed võrgustikud
Loomulikumad kasutajaliidesed
Seadmete paljusus ja
sünkroniseerimine
• Alatine ühendus
• Anonüümsuse ja privaatsuse
vähenemine
• Teadmised ja nõu on käeulatuses


(32/40)

Digiajastu olulised oskused

•
•
•
•
•
•

Info leidmise oskus
Olulise eristamine ebaolulisest
Terviku nägemise oskus
Seoste loomise oskus
Arutlemise ja järelduste tegemise oskus
Suhtlemise ja eneseväljendamise oskus, sh.
visualiseerimise oskus
• Meeskonnatöö oskus
• Õppimise ja ümberõppimise oskus
• Enesekaitse oskus digikeskkonnas


(33/40)

IT spetsialisti teadmised

• IT sõnavara
• Üldised baasteadmised
–
–
–
–
–

Arvutid, serverid, lisaseadmed
Andmeside
Infosüsteemi rakendused
Andmeturbe põhialused
...

• Valdkondlik spetsialiseerumine
–
–
–
–
–
–

Kasutajatugi
Tehnoloogiaekspert
Analüütik, arhitekt
Arendaja-programmeerija
IT juht
Müügispetsialist


(34/40)

Tee endale teene!

• Pimekiri. 10 sõrmega. Vähemalt 250
lööki/minutis.



(35/40)


Eesti unikaalne
stardipositsioon


(36/40)

Eesti digilahenduste areng

• 99% pangaülekandeid
elektroonilised
• 94% tulumaksu
deklaratsioonidest esitatud
e-Maksuameti kaudu
• 24% valijatest 2011. a.
valimistel kasutasid ehääletust
• 62% inimestest kasutas
2012. a. e-rahvaloendust

• 2000: e-maksuamet
• 2000: m-parkimine
• 2002 : ID-kaardi
kasutuselevõtt
• 2005: e-hääletuse
kasutuselevõtt
• 2007: m-ID kasutuselevõtt
• 2007: e-politsei
kasutuselevõtt
• 2008: e-Tervise süsteemide
kasutuselevõtt
• 2010: Digiretsepti
kasutuselevõtt
• 2012: e-rahvaloendus
• ID-kaarte 1 214 520
(18.11.2013)
– Rahvaarv 1 286 540
(01.01.2013)



(37/40)

Eesti hea koht

• Hea maine riiklike e-lahenduste loojana ja
kasutajana
• Hea maine idufirmade kasvulavana
– Skype, GrabCAD, Erply, Toggl, Pipedrive, Weekdone

• NATO küberkaitsekeskus
• Euroopa Liidu sisejulgeolekuvaldkonna IT
agentuur



(38/40)

Kokkuvõte

• Te olete valinud õige elukutse

– IT tähtsus ettevõtetes aina tõuseb

• Andmeturbel kolm komponenti

– Konfidentsiaalsus, terviklus, käideldavus

• IT strateegiliselt kaks ülesannet

– Tagada süsteemi toimimine ja jätkusuutlik areng

• Infoühiskonnas olulised uued oskused
– Info leidmine ja töötlemine
– Õppimise ja ümberõppimise oskus
– Meeskonnatöö

• Eesti hea koht


(39/40)

Tänan!

Erkki Leego, erkki.leego@hlp.ee, www.hlp.ee



(40/40)

Ettevõtte IT strateegilised võtmeküsimused

More Related Content

What's hot

Similar to Ettevõtte IT strateegilised võtmeküsimused

More from Leego

Ettevõtte IT strateegilised võtmeküsimused