Miksi organisaatiot näkevät pilvipalvelut mahdollisuutena? Kustannussäästöjen lisäksi yritykset usein toivovat mahdollistavansa uutta liiketoimintaa ketterän kapasiteetin ja pilven aikaansaamien kustannussäästöjen avulla.
Oli organisaation liiketoimintatavoite mikä tahansa, on pilvipalvelujen käytössä tehtävä oikeita ratkaisuja alusta lähtien, muuten mahdollisuus kääntyy uhkaksi.
Oikein tehtynä pilvipalvelut voivat parantaa turvallisuutta ja vapauttaa sekä tietoturvan, että jatkuvan palvelun resursseja uuden luomiseen. Oikean toimittajan ja palvelun yhdistelmällä on mahdollista parantaa turvallisuuden tasoa ja laskea kustannuksia.
Väärin tehtynä pilvipalvelujen käyttö on hallitsematonta johtaen kontrollien katoamiseen ja tunnistamattomien riskien lisääntymiseen.
Huomioi nämä seikat, kun suunnittelet pilvipalveluiden käyttöönottoa:
1. Tarkenna mistä pilvipalvelusta on kyse:
- SaaS - Sovelluksia palveluna: huomioi ratkaisujen liittäminen organisaation keskitettyyn käyttäjähallintaan
SaaS-palvelut helpottavat kyberturvallisuutta siirtämällä toimittajan vastuulle ympäristön turvallisuuden ylläpidon. Standardoidun palvelun ostaminen hyvämaineiselta toimittajalta on erinomainen mahdollisuus vähentää kokonaiskustannuksia, sekä tietoturvan, että varsinaisen palvelun osalta. Esim. sähköpostipalveluiden tuottamiseen liittyy paljon vakiomuotoista tietoturvatyötä, jonka tekeminen jaetusta palvelusta mahdollistaa kustannustehokkaat ratkaisut. - PaaS - Alustaa palveluna: huomioi sovelluskehityksen turvallisuus ja sovellusten sisäiset käyttäjätietokannat
PaaS-palvelujen käyttö vähentää alustapalvelujen ylläpitoa ja niiden haavoittuvuuksien seurantaa. Keskitetty toimija pystyy varmistamaan ympäristön turvallisuuden paremmin ja tehokkaammin. PaaS ei vähennä datan sijaintiin liittyviä haasteita, eikä vähennä tarvetta turvallisen ohjelmistokehityksen mallien järjestämiselle. Haasteena voi olla myös turvallisien liittymien luonti organisaation sisäverkossa sijaitseviin tietovarastoihin. - IaaS - Infrastruktuuri palveluna: Osaava kumppani kykenee hallinnoimaan pilviympäristöä kuten normaaliakin konesalia vähentäen riskejä
IaaS-palvelujen käyttö ei käytännössä tuo helpotusta turvallisen ympäristön rakentamiseen. Jaettujen palvelujen käyttö voi joskus jopa heikentää turvallisuutta ja lisätä kustannuksia. IaaS-palveluissa organisaation vastuulle jää edelleen kaikki samat tietoturvahaasteet, kuin ympäristön omassa konesalissa pyörittämisessä. Ongelmaksi muodostuu esimerkiksi erilaisien kontrollien rakentaminen pilviympäristöön, usein nämä kontrollit ovat jopa päällekkäisiä nykyisten investointien kanssa.
2. Vältä pilvipalveluiden käyttöönoton riskit:
- Varjo-it ja hajaantuminen
Mikäli siirtyminen pilveen ei ole hallittua, hajaantuvat it-hankinnat ja ratkaisut ympäri organisaatiota ja turvallisuusvaatimusten seuranta käytännössä lakkaa. Tätä kehitystä on erittäin vaikea korjata. - Toimittaja
Pilvipalvelun toimittaja tulee valita huolella. Pienet toimijat eivät pilvenkään osalta välttämättä sovi isojen organisaatioiden toimittajiksi, eikä kaukaista globaalia toimittajaa ole helppoa saada mukaan yhteistyöhankkeisiin. - Tiedon turvallisuus
Olennaista on huolehtia sopimusteitse ja riittävällä valvonnalla tiedon sijainnista ja sen turvallisuudesta. - Sopimukset
Selvitä millaisia sopimuksia pilvitoimittajan kanssa on mahdollista tehdä. - Ylläpito
Ylläpidon hallinnointi on ratkaisevasti kriittisempää kuin omassa konesalissa, hallintaliittymiin on pääsy mistä tahansa
Ota yhteyttä, jos haluat tietää lisää kyberturvallisista pilviratkaisuista.
Kirjoittajasta
Mika Hållfast
kehitysjohtaja, kyberturvallisuus
Olen Mika Hållfast ja toimin kehitysjohtajana CGI:n kyberturvallisuusyksikössä . Minulla on yli 15 vuoden kokemus tieto- ja viestintätekniikka-alalta. Kyberturvallisuuden lisäksi osaamisalueitani ovat vaativien hankkeiden johtaminen, liiketoiminnan konsultointi, julkishallinto, pilvipalvelut ja arkkitehtuurit.
