Whitepaper (suomeksi)
Pilvipalvelujen tietoturvallisuudesta
Lataa julkaisu
(1.4 Mt)
15.5.2010, Nixu Oy
Pilvipalvelut ovat sosiaalisen median ohella tämän hetken eniten huomiota saanut teema IT-alalla. Pilvipalveluissa ei sinänsä ole mitään radikaalisti uutta. Uutta sen sijaan on teknologinen kehitys etenkin verkon siirtonopeuden alueella, mikä on mahdollistanut laajemman palvelutuotannon erilaisissa pilvipalvelumalleissa. Pilvipalvelumallit vaihtelevat laskentatehon vuokrauksesta aina täysiverisiin web-pohjaisiin yritysjärjestelmiin. Palvelujen joustavuus ja kustannustehokkuus tulevat arviomme mukaan johtamaan pilvipalvelujen merkittävään yleistymisen organisaatioiden käytössä. Palvelujen ja niissä olevan tiedon siirto yrityksen oman verkon ja hallinnan ulkopuolelle aiheuttaa useimmissa tietohallintajohtajissa huolen tunteita erityisesti tietoturvallisuuteen liittyen. Huoli on monesti oikeutettu ja pakottaa organisaation miettimään tietoturvakäytäntöjään.
Tärkeimmät suosituksemme pilvipalveluja käyttävien organisaatioiden tietohallinnolle ovat:
- Määritelkää strategia sille, mitä ja missä järjestyksessä haluatte pilveen siirtää ja mikä on vaatimustasonne tietoturvallisuudelle
- Laatikaa yksinkertainen ohje pilvipalveluiden hankintaan etenkin muita yksiköitä varten
- Suorittakaa tietojen luokittelua – miettikää kumpi on tärkeämpää luottamuksellisuus vai saatavuus
- Miettikää arkkitehtuuria: kuinka käyttövaltuudet hallitaan, miten turva-arkkitehtuuria seurataan jne.
- Tehkää riskianalyysi aina päätettäessä jonkin palvelun siirrosta pilveen
- Sopimusta tehtäessä kiinnittäkää erityistä huomiota dokumentaatioon ja palvelutasolupaukseen ja verratkaa omaan vaatimustasoonne
- Edellyttäkää tietoturvatarkastusta ja vaatikaa todisteita nähtäväksi
Kohdeyleisö: Tietohallintojohto, Liiketoimintajohto, Yleissivistävä