Ettevõtte IT strateegilised võtmeküsimused

2014-01-23 - Esitlused

Erkki Leego loeng Kehtna Majandus- ja Tehnoloogiakooli IT erialade õpilastele ettevõtte IT-strateegilistest võtmeküsimustest.

Ettevõtte IT strateegilised võtmeküsimused from Erkki Leego

Millise kogemuse pealt räägin

  • Magistrikraad informaatikas (Tartu Ülikool)
  • Osalenud üle 100 ettevõtte IT arengus
  • Vabariigi Presidendi Kantselei, infonõunik
  • Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja
  • Tartu Ülikooli Kliinikum, IT direktor
  • Hansson Leego & Partner, juhtivpartner
  • Hansson, Leego & Partner
    • IT juhtimise- ja konsultatsiooniettevõte
    • IT strateegiline juhtimine
    • Arenduse juhtimine
    • Andmekaitse korraldamine

Tööd – näited

  • Infosüsteemi (>60 arvutit) toimimise ja arengu koordineerimine (IT juht ja süsteemiülem)
  • Infosüsteemide kaardistamine ja IT strateegia koostamiseks lähteandmete koondamine
  • Microsoft Dynamics AX juurutamise koordineerimine tellija esindajana
  • Arenduse tellijapoolne juhtimine
  • ISKE juurutamine, infovarade turvalisuse ja infoturbepoliitika piisavuse ning tervikluse auditeerimine

 Ettevõtte infosüsteem

  • Ettevõtte infosüsteem
  • Teine vaade infosüsteemile
  • Kolmas vaade infosüsteemile
    • Andmed
    • Tehnoloogiad andmete hoidmiseks ja edastamiseks
    • Inimesed
    • Reeglid, korrad, vastutus

Infosüsteemide rõhuasetused

 

  • Riigikogu Kantselei
  • Hääletussüsteemi töökindlus ja terviklus, tõestusväärtus
    • 15.11.07 Postimees: “Keskerakonna tuntuim poolt- ja vastunuppudega mängija on Tõnu Kauba. 2000. aasta augustis visati ta aastaks fraktsioonist välja, kuna tema poolthääl aitas ametist maha võtta tollase kaitseväe juhataja Johannes Kerdi. Kaks aastat hiljem karistas fraktsioon Kaubat Ja Anti Liivi, sest nende süül õnnestus opositsioonil riigieelarve eelnõu parlamendi menetlusest välja lükata.”
  • Tartu Ülikooli Kliinikum
    • 22 suurt infosüsteemi 24/7, käideldavus ja terviklus
  • Tartu Ülikooli Eesti Geenivaramu
    • Isikuandmete turvaline haldus, konfidentsiaalsus

Näide infosüsteemist – EGV

Andmekaitse

Turbe strateegilised küsimused

  • Mida on vaja kaitsta?
    • Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse?
  • Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida?
    • Millise hinnaga? Kui suurt katkestust võime me enne tegutsemist taluda?
  • Kuidas me määratleme ja efektiivselt haldame jääkriski?

Andmeturbe 3 põhikomponenti

  • Konfidentsiaalsus
    • Andmete kättesaadavus ainult selleks volitatud isikule või tehnilisele vahendile
  • Terviklus
    • Andmete õigsuse, täielikkuse ja ajakohasuse tagatus ning päritolu autentsus ja volitamatute muutuste puudumine
  • Käideldavus
    • Kasutamiskõlblike andmete õigeaegne ja hõlbus kättesaadavus selleks volitatud tarbijaile (isikutele või tehnilistele vahenditele)

Andmete turvaklass (nt. K2T3S1)

100% turvalisust ei ole olemas

  • 9/11 terrorirünnak (11.09.01)
    • Kaks 110-korruselist WTC hoonet ja hulk muid hooneid hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud
    • Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva
    • Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat
  • Societe Generale hiigelpettus (01/08)
    • Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju
    • Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises
  • Lähis-Ida riikide interneti katkestus (01/08)
    • Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida riikide Interneti side kadumise 10 päevaks
    • 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast)
  • UK MTA andmete kadumise intsident (10/07)
    • Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma
    • Intsident puudutab 25 milj. UK elanikku
  • Küberrünnakud Eestis kevad 2007
    • DOS rünnakud Eesti riigiasutustele ja pankadele
  • NSA ülemaailmne pealtkuulamine (2013)

Iseloomulikud intsidendid

  • Vajalikke andmeid ei saa kasutada
    • Hävinevad, ei leia enam üles, ei pääse ligi
  • Töövahendid on kasutamatud
    • Arvuti on viiruse poolt aeglaseks muudetud
    • Arvutid, serverid, programmid ei toimi
  • Delikaatne informatsioon võõrastele kättesaadav
    • Piinlikud fotod, eravestlused, terviseinfo, mobiiltelefoni sisu – „kogu elu taskus“
  • Infovargus
    • Klientide andmebaas jm. ärisaladused
  • Arvutikuriteod
    • Krediitkaardipettused, ahistamine e-keskkondades

Milline info on privaatsem?

Ohud, nõrkused, risk, meetmed

  • Oht
    • Süsteemi või organisatsiooni kahjustada võiva soovimatu intsidendi potentsiaalne põhjus
  • Nõrkused
    • Vara või vararühma nõrk koht, mida saab ära kasutada oht
  • Risk
    • Tõenäosus, et vaadeldav oht kasutab ära mingi vara või vararühma nõrkused, põhjustades varade kaotuse või kahjustuse
  • Turvameede
    • Riski kahandav teoviis, protseduur või mehhanism

Ohutüübid

  • Maavärin
  • Üleujutus
  • Orkaan
  • Äike
  • Tööstustegevus
  • Pommirünne
  • Relvade kasutamine
  • Kahjutuli
  • Sihilik kahjustamine
  • Elektritoite katkemine
  • Veevarustuse katkemine
  • Õhu konditsioneerimise rike
  • Riistvara rikked
  • Toite kõikumine
  • Äärmuslik temperatuur ja niiskus
  • Tolm
  • Elektromagnetiline kiirgus
  • Elektrostaatilised laengud
  • Vargus
  • Salvestuskandjate volitamatu kasutamine
  • Salvestuskandjate riknemine
  • Ekspluatatsioonipersonali eksitus
  • Hoolduseksitus
  • Tarkvara tõrge
  • Tarkvara kasutamine volitamatute poolt
  • Tarkvara kasutamine volitamata viisil
  • Kasutaja identsuse teesklus
  • Tarkvara ebaseaduslik kasutamine
  • Ründetarkvara
  • Tarkvara ebaseaduslik import või eksport
  • Ekspluatatsioonipersonali eksitus
  • Hoolduseksitus
  • Volitamata kasutajate võrgupöördus
  • Võrguaparatuuri kasutamine volitamata viisil
  • Võrgukomponentide tehniline rike
  • Edastusvead
  • Liinide kahjustused
  • Liikluse ülekoormus
  • Pealtkuulamine
  • Sidesse sisseimbumine
  • Liikluse analüüs
  • Sõnumite väär marsuutimine
  • Sõnumite ümbermarsuutimine
  • Salgamine
  • Sideteenuste (st võrguteenuste) tõrge
  • Personalinappus
  • Kasutajate eksitused
  • Ressursside väärkasutus

Nõrkuste valdkonnad

  • Keskkond ja infrastruktuur
    • nt. hoonete, uste ja akende füüsilise turbe puudumine
  • Riistvara
    • nt. tundlikkus pinge kõikumiste suhtes
  • Tarkvara
    • nt. pääsuõiguste väär jaotamine
  • Side
    • nt. kaitsmata sideliinid
  • Dokumendid
    • nt. hooletus kõrvaldamisel
  • Personal
    • nt. puudulikud töölevõtmise protseduurid

Andmeturbemeetmed

  • Turvameetmed otstarbe järgi:
    • ennetavad meetmed
    • avastusmeetmed
    • taastusmeetmed
  • Turvameetmed teostusviisi järgi:
    • organisatsioonilised meetmed
    • füüsilised meetmed
    • infotehnoloogilised meetmed

10 olulisemat meedet

  1. Uksed lukku ka tööpäeva ajal
  2. Pidage arvet kasutajatunnuste üle
  3. Tagage turvainfo jõudmine töötajateni
  4. Tehke regulaarselt tagavarakoopiaid
  5. Viirustõrje igasse arvutisse
  6. Dokumentide hoidmiseks kindel kord
  7. Tagavaratoide olulistele seadmetele
  8. Kontrolljäljed kõikidest tegevustest
  9. Reeglid andmete kasutamiseks
  10. Koostage ülevaade oma infovaradest

 IT valdkonna juhtimine

  • Kaks põhialust
  • Infosüsteem peab laitmatult töötama
    • Tagada olemasoleva infosüsteemi toimimine ja kasutajatugi
  • Tagada areng
    • Arendada süsteemi kooskõlas vajaduste ja tehnoloogiate muutumisega

Ettevõtte juhi võtmeküsimused

  • Milline on minu IT meeskond?
    • sh. koostööpartnerid
  • Milline on minu ettevõtte IT valdkonna 3-5 aasta arenguplaan?
  • Kui asjatundlikult viin ma läbi IT valdkonna arendustegevusi?

IT juhtimise teemad

  • IT strateegiline juhtimine
  • Infovarade turvalisuse tagamine
  • Infosüsteemide arendus
  • Infrastruktuur
  • Haldus ja tugi
  • Dokumentatsioon
  • Finantsjuhtimine
  • Personali juhtimine
  • Õiguslikud alused
  • Valdkondlikud eripärad

IT meeskond ja kompetentsid

Võimaluste ja vajaduste ballett

  • Strateegiline “muna ja kana”
    • Selleks, et pakkuda IT valdkonna võimalustest tulenevaid lahendusi on vaja teada ettevõtte ärivajadusi ja arenguvisioone
    • Selleks, et leida uusi elegantseid konkurentsieelist toovaid IT-poolt toetatud ärilisi lahendusi, on vaja teada IT valdkonna võimalusi
  • Igal uuel tehnoloogial ja lahendusel peab olema sisuline vajadus ja finantsiline optimaalsus
  • Baasvajadused peavad olema rahuldatud
  • Rakenduse funktsionaalsus peab vastama kasutaja vajadustele – muidu ta kasutab sellest ainult väikest osa või ei kasuta seda üldse

Erinevad vaated lahendusele

Asjatundlik tellija

  • IT valdkonna tehnoloogiate ja arendusvahendite kiire areng surub peale spetsialiseerumise
  • Oluline on olla asjatundlik tellija
  • Vajalikud kompetentsid
    • Lähteülesande koostamine
    • Hanke läbiviimine
    • Tellijapoolse projektimeeskonna juhtimine
    • Tellijapoolne arenduse järelevalve ja kvaliteedi juhtimine
    • Tellijapoolne vastavustestimine ja tulemi auditeerimine

Digiajastul vajalikud oskused

Oskused läbi aegade

  • Füüsiline jõud ja osavus
  • Tehnoloogia rakendamise oskus
  • Info kasutamise oskus

Üldised tehnoloogia trendid

  • Andmeid on väga palju
  • Pilvetehnoloogiate kasutamine
  • Sotsiaalsed võrgustikud
  • Loomulikumad kasutajaliidesed
  • Seadmete paljusus ja sünkroniseerimine
  • Alatine ühendus
  • Anonüümsuse ja privaatsuse vähenemine
  • Teadmised ja nõu on käeulatuses

Digiajastu olulised oskused

  • Info leidmise oskus
  • Olulise eristamine ebaolulisest
  • Terviku nägemise oskus
  • Seoste loomise oskus
  • Arutlemise ja järelduste tegemise oskus
  • Suhtlemise ja eneseväljendamise oskus, sh. visualiseerimise oskus
  • Meeskonnatöö oskus
  • Õppimise ja ümberõppimise oskus
  • Enesekaitse oskus digikeskkonnas

IT spetsialisti teadmised

  • IT sõnavara
  • Üldised baasteadmised
    • Arvutid, serverid, lisaseadmed
    • Andmeside
    • Infosüsteemi rakendused
    • Andmeturbe põhialused
  • Valdkondlik spetsialiseerumine
    • Kasutajatugi
    • Tehnoloogiaekspert
    • Analüütik, arhitekt
    • Arendaja-programmeerija
    • IT juht
    • Müügispetsialist

Tee endale teene!

  • Pimekiri. 10 sõrmega. Vähemalt 250 lööki/minutis.

 Eesti unikaalne stardipositsioon

  • Eesti digilahenduste areng
  • 99% pangaülekandeid elektroonilised
  • 94% tulumaksu deklaratsioonidest esitatud e-Maksuameti kaudu
  • 24% valijatest 2011. a. valimistel kasutasid e-hääletust
  • 62% inimestest kasutas 2012. a. e-rahvaloendust
  • 2000: e-maksuamet
  • 2000: m-parkimine
  • 2002 : ID-kaardi kasutuselevõtt
  • 2005: e-hääletuse kasutuselevõtt
  • 2007: m-ID kasutuselevõtt
  • 2007: e-politsei kasutuselevõtt
  • 2008: e-Tervise süsteemide kasutuselevõtt
  • 2010: Digiretsepti kasutuselevõtt
  • 2012: e-rahvaloendus
  • ID-kaarte 1 214 520 (18.11.2013)
  • Rahvaarv 1 286 540 (01.01.2013)

Eesti hea koht

  • Hea maine riiklike e-lahenduste loojana ja kasutajana
  • Hea maine idufirmade kasvulavana
    • Skype, GrabCAD, Erply, Toggl, Pipedrive, Weekdone
  • NATO küberkaitsekeskus
  • Euroopa Liidu sisejulgeolekuvaldkonna IT agentuur

Kokkuvõte

  • Te olete valinud õige elukutse
    • IT tähtsus ettevõtetes aina tõuseb
  • Andmeturbel kolm komponenti
    • Konfidentsiaalsus, terviklus, käideldavus
  • IT strateegiliselt kaks ülesannet
    • Tagada süsteemi toimimine ja jätkusuutlik areng
  • Infoühiskonnas olulised uued oskused
    • Info leidmine ja töötlemine
    • Õppimise ja ümberõppimise oskus
    • Meeskonnatöö
  • Eesti hea koht

Tänan!

  • Kui on tahe, on ka võimalus!
  • Erkki Leego, erkki.leego@www.leegohansson.com, www.leegohansson.com
Tagasi