Hallittu pilvi: Varmista pilvipalveluiden tietoturva

Pilvipalveluiden tietoturva on korkealla tasolla. Palveluntarjoajien intressinä on tarjota mahdollisimman vahva ja jatkuvasti ajantasainen tietoturva omille järjestelmilleen; pilvipalveluiden tarjoajien oma liiketoiminta perustuu luottamukseen, jota ei ole varaa menettää. 

Kaikki tietoturvariskit eivät kuitenkaan ole riippuvaisia pilvi-infran teknologiasta. Yrityksesi tietoturvan osalta kaksi perusperiaatetta pätee aina: 

• Oman organisaatiosi työntekijöiden tietoisuus tietoturvasta sekä käyttäytyminen tietoturvan suhteen on ratkaisevan tärkeää. 
• Mikään pilvipalveluiden tarjoaja ei johda puolestasi tietoturvaasi eikä sitä voi myöskään sataprosenttisesti ulkoistaa kumppanille. Tietoturvaa pitää johtaa itse. 

Tietoturvan johtaminen on samanlaista riskienhallintaa kuin muidenkin yritysriskien hallinta. Se perustuu suunnitteluun, osaamiseen ja aktiiviseen johtamisotteeseen. 

Ota tietoturva haltuun heti pilvipalveluiden aloituksen yhteydessä

Pilvi muodostaa valtaosalle yrityksistä liiketoiminnalle kriittisen alustan. Pilven avulla hallinnoidaan osin tai jopa kokonaan yrityksen operatiivista, päivittäistä toimintaa. Mikä tahansa häiriö tai katkos yrityksen pilvipalveluissa näkyy herkästi asiakaspalvelun laadussa ja oman toiminnan tehokkuudessa.

Pilvipalveluita on helppo käyttää, mutta hallittavuus ja tietoturva teettävät töitä, joita organisaatio ei aina osaa ennakoida. Pilvi-infran kasvaessa kasvaa samaa tahtia myös tarve tietoturvalle ja tietosuojalle. Siksi tietoturvan johtamiseen kannattaa panostaa heti pilvipalveluiden käytön alusta alkaen — jo siinä vaiheessa, kun pilvi on vasta pieni osa yrityksesi kriittisiä järjestelmiä. Näin suojaat paitsi omaa toimintaasi, myös asiakkaitasi ja kumppaneitasi.

Luo suunnitelma ja päivitä sekä ylläpidä sitä seuraavien pääkohtien osalta:

• Määritä pilvipalveluiden ja tietoturvan vastuuhenkilöt ja heidän tehtävänsä.
• Varmista riskien auditointi ja ymmärtäminen.
• Varmista ylimmän johdon tietoturva- ja tietosuojaymmärryksen ajantasaisuus.
• Kouluta yrityksesi koko henkilöstö tietoturvan osalta.
• Määritä yhteisesti sovitut toimintatavat ja prosessit.
• Ennakoi investointien ja resurssien tarpeet osana järjestelmien pidempää kehittämistä.
• Päätä pilvipalveluiden ja tietoturvan hallinta- ja valvontamalli.

Ei vain rajoituksia ja sääntöjä, vaan oikeaan ja helppoon käyttöön ohjaamista

Riskienhallinnan skaalautuminen kärsii, jos tietoturvallinen toiminta perustuu vain alati kasvavaan määrään sääntöjä ja rajoituksia. Tämä voi itsessään muodostaa riskin, jos henkilöstö turhautuu ja kyynistyy.

Paras käytäntö tietoturvallisen käyttäytymisen tukemiseksi on ohjata ihmisiä järjestelmien ja ominaisuuksien helppoon käyttämiseen. Lisäksi ihmiset tarvitsevat käytännön opastusta ja koulutusta tyypillisimpien virheiden välttämiseen. Tämä on organisatorinen tehtävä, joka onnistuu sitä helpommin, mitä luontevampi ja käytännönläheisempi on johdon suhtautuminen yrityksen yhdessä sovittuihin tietoturvakäytäntöihin.

Hallinnollinen tietoturva sitoo tietoturvan osa-alueet yhteen

Hallinnolliseen tietoturvaan kuuluu riskien tiedostaminen, yhdessä sovitut tietoturvakäytännöt, yksilöiden oma käyttäytyminen sekä hallinta- ja valvontamalli, joka vastaa tämän päivän uhkakuvia ja yrityksen riskienhallinnan tavoitteita.

Tietoturvassa on johdettava tavoitteita, resursseja, prosesseja ja tilanteisiin varautumista sekä tilanteen sattuessa siihen reagoimista. Hallinnollinen tietoturva on keino organisoitua tätä varten.

Hallinnollista tietoturvaa on myös lain ja vaatimustenmukaisuuden varmistaminen. Säätelyn jatkuvasti kehittyessä tämä edellyttää hallinnolliselta tietoturvalta asianmukaisia prosesseja. Yritys on vastuussa mm. asiakastietojen tietosuojasta EU:n tietosuojadirektiivin (GDPR) säätelyn mukaisesti. Samoin on varmistettava vaatimustenmukaisuus esimerkiksi asiakasdatan tallennuspaikan suhteen. Kaikki suurimmat pilvipalvelut tarjoavat tähän ratkaisuja, mutta yrityksen tulee olla niistä tietoinen ja tarvittaessa osoittaa lain kirjaimen noudattaminen. Muun muassa Microsoft Azuren käytön myötä yritys tietää aina, mihin sen tiedot on tallennettu ja voi todentaa Trust Centerin avulla datan fyysisen tallennuksen EU-alueella sijaitseviin palvelinkeskuksiin.

Kirjautuminen ja tunnistautuminen avainasemassa - vaativat tekniikan lisäksi tietoturvakulttuuria

Käyttäjien luotettava, kaksivaiheinen tunnistaminen ja identiteetinhallinta sekä kirjautumiskäytännöt (identity and access management) ovat jokapäiväistä tietoturvaa. Zero Trust -periaatteen mukaisesti kaikkien käyttäjien on käytettävä vahvaa tunnistautumista, olivatpa he yrityksen sisäiseen verkkoon kirjautuneena tai eivät.

Käyttäjähallinnassa on kehitettävää, sillä on varsin tyypillistä löytää tietoturva-auditoinneissa tilanteita, joissa osaan yrityksen käyttämiä pilvipalveluita ei vaaditakaan vahvaa tunnistautumista tai tietoturvakäytännöt ovat henkilöstölle osin epäselviä. Lisäksi mahdolliset epäilyt tietoturvaloukkauksista ja järjestelmien oudosta toiminnasta voivat jäävät raportoimatta, koska siihen ei ole perehdytetty eikä toimintakulttuuri tue sitä.

Tietoturvakulttuuri ja henkilöstön valveutuneisuus ovat avainasemassa useissa riskeissä, kuten käyttäjätunnusten kalastelussa, työntekijöihin ja johtoon kohdistuvissa identiteettivarkauksissa, nettihuijauksissa ja yritysvakoilussa.

Verkkoratkaisuihin tarvitaan osaamista

Hallittu pilvi edellyttää verkkoratkaisujen osaamista sitä enemmän, mitä monipuolisempi toimintaympäristö on: useita eri järjestelmiä yhteen liitettynä, lukuisia toimitusketjun kumppaneita, monia eri liiketoimintoja, maarajat ja mannertenväliset lainsäädäntöalueet ylittäviä kansainvälisiä organisaatioita jne.

Ratkaisujen arkkitehtuuritasolla IaaS-, PaaS- ja SaaS-mallit sekä yksityiset VPN-verkot ja näiden sovellutukset (esimerkiksi Azure Virtual Network VNet yhdyskäytävänä Microsoftin pilvipalvelusta Azuren tietopalveluihin) tuovat kukin omanlaisensa tarpeen suunnitella ja hallita kokonaisuutta. SaaS-ratkaisuissa (Software as a Service) vaikutusmahdollisuuksia on rajatummin kuin IaaS-toteutuksissa (Infrastructure as a Service); samalla myös vastuun osalta SaaS-ratkaisun palveluntarjoaja vastaa mm.verkosta ja tietoturvasta, kun IaaS-ratkaisua käyttävä yritys on itse vastuussa niistä. PaaS-mallissa (Platform as a Service) on verkkoihin ja tietoturvaan liittyen olemassa tietyt oletusasetukset, mutta niitä voi myös säätää itse. Tärkeää on kuitenkin tietää, kuka vastaa mistäkin kokonaisuudesta, ja tärkeää on olla erityisen huolellinen liiketoimintakriittisten sovellusten osalta.

Osaava kumppani auttaa yritystäsi luomaan kokonaisratkaisun, jossa tietoturvan resurssit on kohdistettu tehokkaasti ja monimutkainenkin toimintaympäristö on hallittu. Meillä Fellowmindilla on laaja kokemus erityisesti Microsoft-teknologioihin pohjautuvan pilven tietoturvasta ja kyberturvallisuuden kokonaisuudesta sekä edistyneestä tavasta luoda turvallinen toimintaympäristö yrityksellesi ja asiakkaillesi.

Lisätietoja:

Kiinnostuitko ja haluat keskustella aiheesta lisää. Ota yhteyttä!

Voit myös lukea muita pilven hyödyntämistä sekä hallinnointia käsitteleviä blogejamme:

• Hallittu ja ketterä pilvi – luotettava Microsoft Azure
• Hallittu pilvi: Kuinka hallitset pilveä kustannustehokkaasti
• Hallittu pilvi: Kenen vastuulla yrityksesi pilven johtaminen on?