Ajankohtaista / Blogi
Ville Kaipainen | Frendy
Lähes kaikki yritykset ovat ottaneet käyttöön pilvipalveluita esimerkiksi julkisesta pilvestä, kotimaiselta konesalitoimittajalta tai tuotannonohjausjärjestelmän toimittajan pilvestä. Moni elää siinä uskossa, että pilvipalvelut ovat aina automaattisesti tietoturvallisia ja käytön jatkuvuus taattu kaikissa tilanteissa.
Tämähän ei pidä paikkaansa, ainakaan siinä laajuudessa ja muodossa kuin yleinen usko on. Lisäksi yritys ei voi (tai sen ei yleensä kannata) ulkoistaa vastuuta tiedoista tai liiketoiminnan jatkuvuudesta muille.
Kyse ei ole mitenkään pienestä ja mitättömästä ongelmasta. Monen yrityksen koko toiminta on enemmän tai vähemmän IT:n varassa. On asiakastietojärjestelmiä, tuotannonohjausta, asiakasrekistereitä ja muita järjestelmiä tai tietopaikkoja – kriittisiä asioita yrityksen toiminnalle.
Joissain yrityksissä toimintojen kriittisyys on tunnistettu. Valitettavasti monesti käy niinkin, ettei tietojen tai tietojärjestelmien tärkeyttä ei ole edes ajateltu. Tätä kutsutaan ”tuurilla ne laivatkin seilaa” -tilanteeksi.
Alta löydät lyhyen yhteenvedon eri pilvipalveluihin liittyvistä yleisimmistä uskomuksista ja toisaalta asioista, mitkä oikeasti ovat niissä kunnossa.
Julkisen pilven kapasiteettipalvelut
Julkisen pilvipalvelun, kuten Microsoftin Azuren, pohja on yleensä tehty hyvin ja tietoturvallisesti. Isoilla toimijoilla on resursseja käytössään paljon ja mahdolliset tietoturvaongelmat näkyisivät välittömästi mainehaittoina.
Mihin kiinnittää huomiota? Vaikka pohja on kunnossa, on vastuun rajapinta tiukka: asiakas vastaa itse täysin itse palvelinten tietoturvasta. Palvelun tuottaja vastaa kyllä siitä, että virtuaalipalvelimelle riittää resursseja, mutta tietoturvamielessä se on kuin lumipallo helvetissä. Virtuaalikoneet pitää suojata palomuureilla ja virustorjunnoilla ihan samalla tavalla kuin omassakin konesalissa. Myöskään varmistuksia ei tehdä oletuksena välttämättä tehdä ollenkaan.
Muut kapasiteettipalvelut
Globaaleja pienemmät toimijat voivat toimittaa räätälöidympiä ratkaisuita konesalipalveluiksi. Tällöin palvelukokonaisuutta voidaan räätälöidä asiakkaan tarpeisiin ja sopia mistä maksetaan ja mistä ei. Varmistukset voivat kuulua automaattisesti palveluun. Lisäpalveluina on saatavilla hyvinkin eksoottisia ratkaisuita.
Mihin kiinnittää huomiota? Pienempää toimittajaa käyttäessä kannattaa aina tarkastaa tuotantoympäristön taustat. Konesalipalveluiden tuottaminen oikeaoppisesti vaatii resursseja ja pitkäjänteistä toimintaa. Näistä tinkiminen johtaa tietoturvan ja jatkuvuuden kannalta ikäviin tilanteisiin. Toimittajalta kannattaa vaatia jatkuvuussuunnitelmaa sekä esimerkiksi ISO27001 – sertifikaattia osoitukseksi toiminnan laadusta. Hyvin tärkeää on myös tietää, mitä ostaa sekä mitä palveluun kuuluu ja mitä ei.
Julkisen pilven sovelluspalvelut
Microsoftin 365-ympäristö on yleisin esimerkki julkisen pilven sovelluspalveluista. Julkisen pilven sovelluspalvelut ovat hyvin joustavia ja päivittyvät jatkuvasti. Asiakas hyötyy tietoturvan tasosta ja uusista ominaisuuksista. Lisenssiviidakosta löytyy yleensä juuri oikea lisenssikin kaikkiin tarpeisiin. Microsoft esimerkiksi tarjoaa laajan työkaluvalikoiman tietojen ja identiteetin suojaamiseksi palvelussa.
Mihin kiinnittää huomiota? Vastoin yleistä harhaluuloa, esimerkiksi Microsoft ei varmista palvelussa olevia tietoja. Se takaa niiden saatavuuden, mutta hallintatunnuksilla tehty oho ja hups (tai rikollisen tekemä vastaava toimi) voi hävittää tiedot niin, etteivät ne ole saatavilla enää yhtään missään. Tietoturvatyökalut saattavat vaatia lisälisensointia ja niiden käyttöönotto ammattitaitoa.
Sovellustoimittajien pilvipalvelut
Moni toiminnanohjausjärjestelmä tai vastaava toimija tarjoaa nykyään mahdollisuutta ostaa ohjelmistoa käyttöpalveluna. Tämä on yleensä paljon joustavampi ja tehokkaampi tapa hankkia sovellusta. Tällöin myöskään yritys itse ei tarvitse omaa osaamista tai alustaa sovelluksen ajamiseen.
Mihin kiinnittää huomiota? Sovellustoimittaja usein vastaa alustasta, hyvässä ja pahassa. Hyvä käytäntö on varmistaa, että sovellustoimittaja tuottaa palveluaan riittävän turvallisella tavalla, huolehtii varmistuksista ja jatkuvuudesta. Asiakas ei voi näihin useinkaan vaikuttaa, mutta niistä kannattaa vaatia tietoa.
Vielä isompi asia on tehdä exit-suunnitelma, kun palveluita hankitaan. Moni sovellustoimittaja tekee sovelluksen itse ja tiedot voivat olla siellä sellaisessa muodossa, että niitä ei saada siirrettyä mihinkään. Tällöin asiakassuhde toimittajan kanssa on käytännössä pakkoavioliitto. Ainakin uusissa sopimuksissa exit-suunnitelma kannattaa miettiä jo ennakkoon ja vaatia sitä sovellustoimittajalta.
Heräsikö kysymyksiä?
Frendy on kumppanisi, kun haluat varmistua, että tietosi ovat tallessa – tietoturvallisesti. Ota meihin yhteyttä ja kysy lisää tai
