Uptime pälvis hiljutise auditi käigus ISO 27001 sertifikaadi, mis kinnitab, et ettevõtte infoturbe- ja andmekaitsestandardid ning -meetmed vastavad kõigile kehtestatud nõuetele. Juba varasemast ajast kinnitab Uptime’i vastavust kvaliteedinõuetele korduvalt uuendatud ISO 9001 kvaliteedijuhtimise sertifikaat.
“Digimaailm ei ole kunagi varem olnud nii kiire, nii ühendatud ega nii haavatav kui täna. Näeme kuidas küberrünnakud sagenevad, ründed muutuvad süstematiseeritumaks ning tehisintellekti areng avab uusi võimalusi,” lausus Uptime’i tehnoloogiajuht Raimo Seero. “Seetõttu otsustasime sertifitseerimisprotsessi läbida, pälvides kinnituse, et paigas on reeglid riskide ennetamiseks, intsidentide vältimiseks ja juhtumitega toime tulemiseks – see pole lihtsalt linnukese saamine, vaid peegeledus meie arusaamast, mida tähendab olla tänapäevane ja vastutustundlik arenduspartner.”
Seero kommenteeris, et tänased suurimad infoturbetrendid on selged. Rünnakud muutunud süsteemseks ning sihikule ei võeta enam ainult suuri organisatsioone, vaid ka nende arendus- ja teenusepartnereid. Tarneahela ründed on saanud tavapäraseks viisiks, kuidas pääseda ligi tundlikele andmetele kaudselt.
Selle kõrval on AI kasutuselevõtt toonud kaasa uued riskid. Tehisintellekti tuge kasutav arendus eeldab väga selgeid reegleid: kes andmetele ligi pääseb, kuidas neid kasutatakse ja kuidas välditakse lekkimist või väärkasutust. Niisamuti on kasvamas regulatiivne surve. Euroopa Liidu NIS2 direktiiv, GDPR-i rangem rakendamine ja sektoripõhised turvanõuded tähendavad, et vastutus ei lasu enam ainult tellijal, vaid see laieneb ka tehnoloogiapartneritele.
“Tarkvara arenduse sisseostmine tähendab paratamatult usalduse delegeerimist. Tellija usaldab arenduspartnerile oma äriloogika, andmed ning sageli ka kliendiandmed ja strateegilised plaanid, mistõttu on vastutus eriti suur AI-põhiste lahenduste puhul, kus panused on veelgi kõrgemad,” märkis ta. “Seetõttu on oluline, et valitud partner suudaks ka päriselt omistatud usaldusega õigesti ümber käita.”
Sertifikaat tähendab kindlust
ISO 27001 sertifikaadiga partneri valimisel võib olla kindel, et nii tööviisid kui ka töö tulem on vastavuses kehtivate küberturbereeglitega. Turvalisusele mõeldakse arendusprotsessi igas etapis, andmetega käiakse ringi hoolikalt ja loodud lahendused vastavad nii era- kui riigisektori turvalisusnõuetele. Selle kõrval viitab selle olemasolu, et partneril on pädevus oma tellijaid turvateemades nõustada ja aidata kaardistada võimalikke riske ning soovitada muudatusi protsessides ja koostöömudelis, et ühine arendustegevus oleks turvalisem ja läbipaistvam.
ISO 27001 standardile vastamine on Seero sõnul muutumas ka turul selgeks konkurentsieeliseks. Suurfirmade puhul on muutumas üsna tavalisemaks, et selle olemasolu partneri otsimisel nõutakse. Kuna küberohud on aina igapäevasem nähtus, siis lubab auditeeritud partneri eelistamine keskenduda oma põhiärile ning annab meelerahu, et partner najatub alati parimatele praktikatele.
Sertifikaadi saamisele eelnes mahukas auditeerimisprotsess, mille käigus tuli esitada hulk dokumente ja plaane, lisaks ka ülevaated sisemistest tööprotsessidest, nõuetest ja turvalisuse tagamiseks kasutusele võetud tehnoloogilistest lähenemistest.
Mida ISO 27001 sertifikaat ütleb:
- Standard seab selged raamid, kuidas ettevõte peaks oma infoturbe juhtimissüsteemi üles ehitama ja seda arendama.
- ISO 27001 lähtub riskipõhisest loogikast: tuleb kaardistad ohud ja haavatavused, määratleda riskid ja leida sobivad maandusmeetmed.
- Sertifikaat nõuab rollide, vastutuse ja protsesside määratlemist – nii on selge, kes otsustab, kes teostab ja kes kontrollib.
- Standardile vastav ettevõte peab rakendama parimaid intsidentide haldamise põhimõtteid ja ja pühenduma pideva täiustamise põhimõttele, et turvalisus püsiks ajakohane ja tõhus.