Nixun asiantuntijat joutuvat työssään ottamaan kantaa asiakkaiden haasteisiin tasapainottaa liiketoiminnan ja kustannustehokkuuden vaatimukset tiedon ja toiminnan suojaamisen kanssa.

Tälläkin hetkellä työskentelemme asiakkaidemme kanssa projekteissa, joissa joko rakennetaan uutta liiketoimintaa suoraan pilvipalvelumalliin (cloud computing) perustuen tai halutaan kustannussyistä siirtää vanhoja järjestelmiä pilveen. Niinpä asetimme Nixun kaksi asiantuntijaa esittämään oman analyysinsä seuraavaan kysymykseen:

Yritys on siirtämässä tietojärjestelmiä pilvipalvelumalliin, mitä huomioitavaa näet tietoturvallisuuden kannalta?

Kim Westerlund, toimii johtavana konsulttina ja vetää Nixussa tietoturva-arkkitehtuuriin keskittyvää Build-yksikköä:

Tietoturvaihmisillä tulee luonnostaan mieleen paljon riskejä liittyen pilvipalveluihin. Itselläni, tietoturva-arkkitehdin hattu päässä heräsi toivon kipinä, että pilvipalveluiden käyttö pakottaa hoitamaan kuntoon niitä asioita mitkä jo muutenkin pitäisi saattaa ajan tasalle – käyttövaltuushallinnan prosessit ja standardeihin pohjautuva identiteettien federoinnista ja pääkäyttäjätunnusten hallinnasta tuleekin tietoriskien kannalta keskeinen haaste. Korkeimman luottamustason tunnuksia on tyypillisesti suojattu fyysisellä pääsyllä ja palomuurein – IaaS ja PaaS -malleissa se ei enää toimi.

Vain toimivat prosessit voivat pelastaa luottamuksellisuuden ja eheyden tässä saatavuuden kuumentamassa pilvibuumissa. Vaikeat konseptit kuten PKI, WS-Security, tiedon luokittelu ja salaus, kerberos tai SAML -kertakirjautuminen tulevat väkisin tutuiksi, koska nyt niitä todella tarvitaan.

Toisaalta joitakin monimutkaisia tietoturvapalveluitakin voi olla järkevämpää ostaa SaaS-mallilla. Vaikkakaan palveluntarjoaja ei juuri kerro tietoturvatoteutuksestaan, on se todennäköisesti laadukkaampi kuin organisaation itse tekemänä – ja ainakin se on 24x7x365xGlobal ja bonuksena työkalujen käyttö on paljon helpompi ulottaa kumppaniorganisaatioiden käyttöön. Mielestäni pilvipalvelut sisältävät tietoturvan parantamisen kannalta paljon mahdollisuuksiakin.

—

Jonna Särs, toimii johtavana konsulttina ja vetää Nixussa johdon tietoturvakonsultointiin keskittyvää Advise-yksikköä:

Siirryttäessä omassa hallinnassa olevista tietojärjestelmistä verkosta hankittaviin palveluihin muuttuu moni asia: vastuunjako ja ohjausrakenteet, tiedonkulku ja valvontamahdollisuudet, todennäköisimmät riskit, käyttökelpoiset suojausmekanismit, osin jopa sovellettava lainsäädäntö. Hommaa helpottaa, jos on miettinyt valmiiksi strategian tietojen turvaamiselle uudessa mallissa. Varaudu valitsemaan palveluntarjoaja huolella ja kirjaamaan sopimuksiin tarkasti mm. tietojen omistajuus, osapuolten vastuut ja sanktiot.

Erityisen hyviä pilveen siirrettäviä ovat järjestelmät, joissa tärkein tietoturvatavoite on tiedon saatavuus eikä tiedon luottamuksellisuudelta vaadita paljoa. Tällöin pilvimallilla voidaan lisätä joustavuutta, pienentää kustannuksia ja samaan aikaan parantaa tietoturvallisuutta. Jos palvelu on sinulle tärkeä, älä kuitenkaan jättäydy pilven reunalle tuulen vietäväksi, vaan tee jatkuvuussuunnitelma ja varmista että pääset tietoihisi käsiksi ja pystyt jatkamaan toimintaasi silloinkin jos palveluntarjoaja yllättäen lakkaa olemasta.

Jos ulkoiset tai oman liiketoiminnan vaatimukset järjestelmässä käsiteltävien tietojen luottamuksellisuudelle ja eheydelle ovat kovat, on pilvimalliin siirtymisessä arvioitava riskejä ja reunaehtoja huomattavasti tarkemmin. Esim. huippusalaista reseptiä ei ehkä kannata laittaa julkiseen pilveen ollenkaan, ja laki rajoittaa mm. henkilötietojen tuuppaamista mihin sattuu. Varmista, että ymmärrät miten pilvipalvelu ja tietosi siellä on suojattu, ja että palvelun vaatimustenmukaisuus on auditoitu ja kirjattu sopimuksiin.

Ota yhteyttä jos haluat keskustella yrityksesi pilviproblematiikasta.