Turvallisesti pilveen – Pilvipalveluiden turvallisuudesta

Kannabisosakkeiden hurjan ylämäen vanavedessä on hyvä puhua pilven turvallisuudesta. Tässä yhteydessä kuitenkin toisen kuuman trendin, eli pilvipalveluiden käytöstä ja turvallisuudesta.

Viimeisen kahden vuoden aikana pilvipalvelut ovat yleistyneet huomattavaa vauhtia ja niiden käytöllä haetaan monenlaisia hyötyjä. Yhtenä tärkeimmistä hyödyistä ovat parempi käyttäjäkokemus ja uusien digitaalisten palveluiden ja ratkaisuiden mahdollistaminen. Esimerkiksi Wärtsilä kertoo hyötyjen liittyvän tehokkuuteen, turvallisuuteen ja uusien työnteon mallien mahdollistamiseen.

Monet kuitenkin vielä epäilevät pilvipalveluiden turvallisuutta. Suurelta osin aivan turhaan, sillä isossa osassa tapauksista organisaation tietoturvallisuuden taso nousee näiden palveluiden käyttöönoton yhteydessä. Tässä on kuitenkin hyvä muistaa se, että samaakin ratkaisua voidaan käyttää joko turvallisesti tai turvattomasti. Oleellista on tietää, mitä kukin palvelu mahdollistaa, miten sitä voidaan käyttää ja mitkä ovat kunkin osapuolen roolit ja vastuut kussakin palvelumallissa. Myös käyttäjien autentikointi ja identiteetin hallinta yleensä on erityisen tärkeää, sillä sanotaan, että ”pilvipalveluiden aikakaudella vihamieliset tahot eivät murtaudu järjestelmään – he kirjautuvat sisään”. Sanonta tarkoittaa sitä, että he siis saavat haltuunsa tunnukset ja salasanat ja käyttävät niitä. Tarvetta murtautua ei ole.

Pilviratkaisujen alustat tietoturvallisia, mutta tietoturvan hallinnoinnissa parantamisen varaa

KPMG:n Suomen tietoturvatiimi on yhtenä harvoina, ellei ainoina suomalaisina tahoina, päässyt paikanpäälle auditoimaan esimerkiksi Microsoftin pilviratkaisuiden, kuten Azure 365:n ja Office 365:n, turvallisuutta eri manterilla sijaitseviin konesaleihin saakka. Näiden auditointien opit ovat myös asiakkaidemme käytössä. Tiivistetysti oleellisin oppi on se, että yleisesti tietoturvallisuus on erittäin ammattimaisesti hoidettu alustatasolla. Eri ratkaisuissa on erilaisia tietoturvallisuutta parantavia ominaisuuksia, jotka joko voivat kuulua asiakkaan ostamiin lisensseihin tai voivat olla kuulumatta. Havaintojemme mukaan asiakkaat eivät käytä läheskään kaikkia ominaisuuksia, joita usein voisivat lisenssiehtojen puitteissa käyttää, he tai käyttävät muita pistemäisiä ratkaisuita, jotka usein ovat myös kalliimpia.

Tiedätkö, mitä pilvipalveluja yrityksessänne käytetään?

Toinen yrityksiä yleisesti koskettava ongelma on se, että he eivät oikeasti tiedä mitä pilvipalveluita heidän työntekijänsä ja organisaatioiden eri yksiköt käyttävät. Osa näistä ratkaisuista voi olla sellaisia, joita turvallisuusmielessä ei kannattaisi käyttää tai sellaisia, että ne ovat päällekkäisiä muiden käytössä olevien ratkaisuiden kanssa. Me ratkaisemme tätä ongelmaa tyypillisesti Cloud Discovery -toimeksiantojen kautta, joissa kartoitetaan verkkoliikenteen analysoinnin kautta, mitä oikeasti käytetään.

Pilvipalveluiden käyttö on mahdollista saada hallintaan siten, että tietohallinto pysyy aina ajan tasalla siitä, mitä pilvipalveluita organisaatio käyttää ja matalan riskin palvelut voidaan esimerkiksi sallia käyttäjien ”itsepalveluportaalin” avulla siten, että kokonaisuus pysyy tiedossa ja hallittuna.

Pilvi on turvallista kohtuullisesti käytettynä. Tiedä, mitä organisaatiossasi käytetään ja miten sitä käytetään. Älä myöskään maksa turhaan päällekkäisistä ja pistemäisestä ratkaisuista. Samat ominaisuudet saattavat jo sisältyä ostamiisi lisensseihin.