Õigused paika: kas sa tead, kes su ettevõttes millele üldse ligi pääseb?

Olukord küberruumis on iga päevaga muutumas ohtlikumaks ning see sunnib ettevõtjaid leidma viise, kuidas oma töötajaid ja kliente kaitsta. Kui kõik uudsed lahendused on alati tervitatavad, siis märgib Elisa ärikliendiüksuse juht Artur Praun, et paljudel juhtudel on võimalik hea kaitsemüür üles laduda ka üsnagi lihtsaid vahendeid kasutades. Näiteks vaadates tugevalt üle selle, kuidas on korraldatud töötajate seas õiguste haldus ning õigustega seotud eeskirjad.

Suuremate ettevõtete töötajad on tänaseks juba harjunud, et tööarvutites või töövõrgus ei saa kõikidele lehtedele ligi, kõiki dokumente või tabeleid ei saa igaüks avada ning majast asjade välja jagamisele kehtivad piirangud. Kahjuks ei ole need praktikad aga väiksemate ettevõtete seas eriti levinud ning ka muidu turvalisuse vaatest heal tasemel ettevõtetes võidakse teatud teemasid – näiteks lahkunud töötajalt kõikide õiguste ja ligipääsude kokku korjamist – lihtsalt unustada.

Ligipääsude teema ei tohiks aga ka kõige väiksemas firmas tahaplaanile jääda, kuna tegemist on elementaarse osaga ettevõtte infoturbest. Andmed ja ligipääs erinevatele (sise)teenustele on ettevõtte kõige suurem vara ja nende üle peab ettevõttel kontroll säilima. Ja seda on võimalik säilitada vaid siis, kui ettevõte omab päriselt ülevaadet sellest, kes ja kuidas andmeid ning teenuseid kasutavad ning mil viisil ja kelle loal üldse mingid õigused tekivad.

Õiguste ja ligipääsude jagamisel tuleks seega lähtuda sellest, mis on iga töötaja roll ja milliseid õiguseid selle rolli täitmiseks vaja on. Sellest lähtuvalt peaks IT-osakond või tiimijuht tegema otsused, mida kellegagi jagada ja mida mitte: andma peaks nii palju õiguseid kui vaja, aga nii vähe kui võimalik. Kui kuskil on tundlikud kliendiandmed, peab neile ligi pääsema vaid töötaja, kes päriselt neid andmeid oma tööks vajab, täpselt nagu peaks pangakontol ülekandeõigused olema vaid kindlatel finantsvaldkonna töötajatel.

Tänases ettevõttes on selliseid väiksemaid õiguseid-kontosid kümneid, kui mitte sadu, ning hea ja mõistliku turvapoliitika aluseks on läbimõeldud lähenemine ja loogiline süsteem töötajate grupeerimiseks, erijuhtudeks ja kõige selle mõistlik haldus. Seda juba hetkest, mil töötaja alustab ehk mis õigused ta esimesel päeval saab, kuni selleni välja, et kuskil oleks kirjas see, kuidas jõuab info töötaja lahkumisest selle inimeseni, kes ta meilikonto lõpuks kinni panema peab.

Selle kõige juures tuleb aga tagada mõistlikkus ja säilitada arusaam, et liialt keerukaks aetud süsteem paneb inimesed otsima võimalusi reeglitest mööda minna. Kui töötaja peab kliendile lubatud teenuse tagamiseks liialt range õiguste halduse tõttu pidevalt meeletuid jõupingutusi tegema, siis ühel hetkel ta sellest tüdineb. See on ka hetk, kui hakkavad langema tulemused, või loobutakse reeglite jälgimisest ja piilutakse vajalikku infot lihtsalt kolleegi arvutiekraanilt.

Juhi elu peabki vahepeal ebamugav olema

Turvalisuse ja mõistlikkuse vahel peaks seega püsima tasakaal – keegi ei taha kadalippu läbida, et majast väljapoole meili saata. Mingi määrani tuleb leppida asjaoluga, et inimesed eksivad ja vahepeal võib asju lihtsalt juhtuda – kõike ei saa seepärast ära keelata ning riskitaset ei saa kunagi nullini viia.

See aga ei tähenda, et turvalisusele ja andmekaitsele saaks vilistada. Teinekord on lihtsalt vaja läbivate põhimõtete asemel kasutada loovamaid lähendusi, näiteks seda, et lõplik otsus mingi ligipääsu osas on otsese juhi käes.

Juhi elu peabki vahepeal ebamugav olema ja juhtumipõhiseid lähenemisi tuleb tõenäoliselt ilmsiks igas ettevõttes. Kõike ei saa lihtsalt ette näha. Mõnikord võibki situatsioonile parimaks võimalikuks lahenduseks olla kõikide asjade lukku keeramine ja vastavalt vajadusele saab juht need ise lahti keerata ehk määrata eraldi õigused, kui tema hinnangul selleks reaalne vajadus on – näiteks tundlike andmete majast väljapoole jagamisel.

Kindlasti peaks aga ka see lähenemine olema üles ehitatud loogiliselt ning iga otsus ei saa langeda tegevjuhi lauale. Sarnaselt muule vastutusalale saab ka õiguste juhtimist delegeerida erinevatele juhtimistasanditele ning iga juht peaks saama oma alluvatele teatud tasemel ligipääsud ja vabaduse anda, samas jättes suuremad otsused suurema juhi lauale. Suures pildis peaks ettevõte andma töötajatele ja juhtidele õiguste ja ligipääsude raamistiku, ent jätma neile piisavalt ruumi selle raamistiku sees oma asjade korraldamiseks sedasi, et töö saaks sujuvalt tehtud.

Iga ettevõte on erinev ning üht kõigile sobivat süsteemi olemas ei ole. Küll aga on olemas vale süsteem – õiguste ja nende haldusega põlve otsas tegelemine. Mõistlik ja läbimõeldud lähenemine, mis kohaneb ettevõtte reaalsete vajadustega, on see, mis aitab tagada turvalisuse, samas kindlustades, et töötajad saavad ka päriselt oma tööd teha. Täpselt milliseid parameetreid arvesse võttes see suund üles ehitada, on juba iga ettevõtte ja iga juhi otsustada.