Pilvipalveluiden tietoturva

Pilvipalveluiden eduista puhutaan yleisesti ja organisaatiot hyödyntävät pilvipalveluita yhä enemmän erilaisiin käyttötapauksiin lähes toimialasta riippumatta.

Tämä toimitusmalli kuitenkin tuo mukanaan uusia riskejä, joita on käsiteltävä asianmukaisesti. Usein näitä riskejä:

  1. Ei huomioida, joka johtaa alennettuun kyberturvallisuuden tilaan
  2. Pienennetään tietoturvainvestoinnein, jotka eivät ole optimoitu
  3. Korostetaan liikaa, jolloin pilvipalveluita ei varmuudeksi oteta käyttöön lainkaan.

Näkemyksemme mukaan harkittaessa pilvipalveluiden hyödyntämistä seuraavat aihealueet tulisi ottaa huomioon:

Pilvipalveluiden tarjoajat

Pilvipalveluiden tarjoajiin tulee voida luottaa riittävästi, jotta osan omasta toiminnasta voi ulkoistaa, tai tätä luottamusta voidaan hyödyntää asiakkaille tarjottavaan pilvipalveluun. Luottamuksen voi saavuttaa esimerkiksi seuraavilla tavoilla:

  • Tarjoajat ovat auditoitavissa tai auditoitu ja tarjoavat tähän asiankuuluvan dokumentaation ja läpinäkyvyyden.
  • Tarjoajan teknologia sekä näihin tehdyt integraatiot on tarkasteltu asiaankuuluvien haasteiden osalta.
  • Tarjoajan kanssa solmitut sopimukset ja noudatettava lainsäädäntö tukee ulkoisia vaatimuksia.

Ihmiset ja prosessit

Pilvipalveluiden prosessien tulee olla linjassa liiketoiminnan tarpeiden kanssa; ne ovat yksiselitteisiä mutta riittävän ketteriä tukeakseen joustavaa pilvipalveluiden käyttöönottoa. Ihmiset ymmärtävät prosessit ja heidät suojataan riittävällä tasolla. Seuraavia asioita tulisi pohtia:

  • Ihmiset ovat koulutettuja ja ymmärtävät sallitun pilvipalveluiden käytön sekä vaatimukset.
  • Prosessit ovat auditoitu tukemaan pilvipalveluiden käyttöä, mukaanlukien esim. käyttäjien ja palveluiden elinkaaren hallinnan.
  • Yleinen pilvipalveluiden ohjeistus on tehty tukemaan pilvipalveluiden elinkaarta ja esim datan luokittelua.

Tietoturva-investoinnit

Pilvipalveluiden käyttöönottoon liittyvien tietoturvainvestointien tulee olla optimoitu perustuen relevatteihin uhkiin sekä riskitasoon. Seuraavat toimenpiteet voivat auttaa määrittelemään optimaalisen tietoturvabudjetin tason:

  • Pilvipalveluun ja käyttötapaukseen liittyvät uhat on tunnistettu sekä mikäli mahdollista myös kvantifioitu.
  • Monitorointi sekä lokienhallinta tarjoaa tietoa investointien perusteeksi pelkän saatavuusajattelun lisäksi.
  • Palvelut ja näiden turva ovat eroteltu ja luokiteltu datan vaatimusten sekä järjestelmien kriittisyyden perusteella.

Loppukäyttäjät

Jotta pilvipalvelut otetaan laajalti käyttöön organisaatioissa tulee käyttäjien kokea tämän hyödyt sekä luottaa siihen, että tarvittavat tietoturvamenetelmät ovat tukemassa, eivät estämässä pilvipalveluita. Jotta loppukäyttäjät voisivat olla tyytyväisiä pilvipalveluihin, seuraavia asioita tulee huomioida:

  • Loppukäyttäjät ovat tietämättömiä käytetystä tietoturvasta tai näkevät sen suojaavan heitä käyttäessään pilvipalveluita.
  • Työkalut tukevat saumatonta pilvipalveluiden käyttöönottoa.
  • Käyttäjät näkevät pilvipalveluiden hyödyt sekä tukevat muutosta.


Mikäli haluat kuulla lisää siitä miten me voimme auttaa teitä ottamaan käyttöön pilvipalveluita tietoturvallisesti ota yhteyttä: Eero Öster, Head of Cloud Transformation.