IT-turvalisus
18.08 2025

Auditit võib vaja minna ka IT-osakonnal

 Auditite tegemisest on saanud hea juhtimiskultuuri osa, kuid harva mõeldakse finantsaudititest kaugemale ning tihtipeale küsivad juhid, et miks välist IT-auditit üldse vaja on, kirjutab KPMG küberturvalisuse teenuste juht Mihkel Kukk. „Aga see audit ütleb meile ju seda, mida me juba teame,“ vastavad ettevõtete juhid tihtipeale, kui neile IT-auditi võimalust pakkuda. Seetõttu tuleb rõhutada, et välise IT-auditi eesmärk pole mitte süüdlaste leidmine, vaid süsteemide põhjalik analüüs sõltumatu eksperdi poolt, kel puudub igapäevane seotus auditeeritava keskkonnaga, ning kes suudab tänu sellele näha probleeme värske pilguga. IT-audiitori suur kogemustepagas võimaldab näha peidetud vigu. Samuti aitab ta juhtkonnale tõlkida IT-osakonna muresid, sest IT-probleemid peavad olema ka juhtkonna probleemid.

„Unustatud“ arendusserver võib viia katastroofini

Välisaudiitor on objektiivne, mis tähendab, et teda ei mõjuta ettevõtte sisemise protseduurid ega piira põhjendused nagu „meil on alati nii tehtud“. KPMG küberturvalisuse teenuste juhi sõnul põhinevad IT-audiitorite soovitused parimatel rahvusvahelistel praktikatel ja elulistel riskistsenaariumitel. Olgu tegemist siis ISO 27001, NISTi või kohalike regulatsioonidega nagu DORA ja NIS2. Kogenud audiitor aitabki ettevõttel tagada nõuetele vastavuse, parandades seejuures ka organisatsiooni konkurentsivõimet.

Kui audit on hästi tehtud, tuleb sealt juhtkonna jaoks välja, kuhu kulub asjatult ressursse, millised digiprotsessid takistavad sujuvat töövoogu ning millised riskid võivad ajapikku kujuneda suurteks probleemideks. „Näiteks leiti ühes hiljutises auditis üles unustatud arendusserver, mis seisis kuude kaupa internetis kõigile kättesaadavana. Keegi ettevõttes ei olnud seda märganud ja õnneks ei jäänud see silma ka petturitele. See õnneliku lõpuga lugu oleks aga lihtsasti võinud katastroofiga lõppeda,“ märgib Kukk.
 
Audiitor peab mõistma ettevõtte äri

Auditist on kasu eelkõige siis, kui seda tehakse hästi. IT-audiitor peaks mõistma lisaks infoturbele, ka seda, kuidas konkreetne ettevõte toimib ja mil moel küberkindlus ning organisatsiooni taastumisvõime seda toetavad. Sobiv audiitor kuulab tellija soove ja kohandab lähenemist vastavalt ettevõtte vajadusele. Hea audiitor esitab auditi tulemused arusaadavas keeles nii juhatusele kui ka tehnilisele meeskonnale.

Enne, kui audiitor hakkab ridamisi uusi lahendusi pakkuma, peaks oskuslik audiitor küsima, et miks varasemalt on ettevõttes niiviisi toimitud. „Selleks, et auditit teha, käibki audiitor jooksvalt IT-protsessidega kaasas, simuleerib ründeid, analüüsib andmevooge, katsetab varunduslahendusi ja tuvastab identiteedi- ja ligipääsuhalduse puuduseid,“ täpsustab Kukk.

Suurepärane audit mitte ainult ei analüüsi, vaid toob ettevõtte IT-struktuuridesse päris muutused. See tähendab selget ja konkreetsete sammudega tegevusplaani, mis aitavad organisatsioonil täita strateegilisi eesmärke – olgu nendeks sihtideks siis kas laienemine uutele turgudele või kasvõi sertifitseerimise ettevalmistus.

IT-auditeid peaks tegema järjepidevalt

Äriarendus tähendab pidevat muutust, mis omakorda tähendab ka täiendavaid riske. „Regulaarne välisaudit on nagu kompass, mis aitab ka pikas plaanis õiget suunda hoida. Auditite abil saab ettevõte pidevalt areneda ja oma usaldust kasvatada, seda nii meeskonna kui ka partnerite, investorite ja regulaatorite silmis,“ kirjutab Kukk.

Tulles tagasi algse küsimuse juurde: miks peaks keegi väljastpoolt organisatsiooni IT-keskkonda hindama? Vastus on lihtne: mõnikord aitab väline silmapaar kõige paremini mõista ettevõtte süsteeme. Keegi, kes on näinud sadu teisi sarnaseid olukordi. Kes teab, kuidas erinevaid süsteeme vastupidavaks muuta ja nende potentsiaalseid vigu prognoosida.

Kui organisatsioon tahab oma IT-süsteemide toimimist parandada, siis ei tasu sellega oodata kriisini. Ettemõtleva juhi jaoks on IT-audit üks parimaid investeeringuid, sest see aitab tagada nii küberturvalisuse, vastavuse nõuetele kui ka äritegevuse jätkusuutlikkuse. Niisiis on erinevate äriosade auditeerimisest saanud hea juhtimiskultuuri tunnus.

Mihkel Kukk

Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332

Ettevõtte ostmisel ei tohi küberturvalisus jääda põrsaks kotis

„Mis on esimene asi, mida sa teed, kui kuhugi investeerid,“ küsib KPMG Baltics küberturvalisuse te..
due diligence

KPMG: vähesest küberturvalisusest on saanud viimase kümnendi suurim oht ettevõtetele

KPMG 2024. aasta ülemaailmne tippjuhtide uuring näitab, et tegevjuhid peavad küberturvalisust viim..
küberturvalisus

Küberturvalisuse ekspert Mihkel Kukk: endine töötaja kui IT-turvarisk

Kõik sai alguse ühest justkui tähtsusetuna tundunud juhtumist. Üks ettevõte oli lõpetamas oma eduk..
küberturvalisus

Varjatud eelised: välisaudit on IT-turvalisuse strateegiline võti

KPMG küberturvalisuse teenuste juht Mihkel Kukk kirjeldab oma mõne aasta tagust  kohtumist ühel kü..
IT-turvalisus välisaudit

Miks küberturvalisuse due diligence on oluline ettevõtete ühinemisel ja ülevõtmisel?

Mõni aeg tagasi pöördus KPMG poole ettevõtte tegevjuht, kes oli hiljuti ostnud ..
küberturvalisus due diligence

Muuda ohud võimalusteks

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
 ${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

Töötajate teadlikkuse analüüs

Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.
Email again: