Päivän pähkinä purtavaksi - Pilvipalveluita tietoturvallisesti?

03.29.16 | Carita Gummerus

Tietoturvallinen pilvipalvelu tuntuu olevan päättäjien huulilla tällä hetkellä. Moni pohtii, mihin data tallentuu ja Gartnerin mukaan jopa 73% suomalaisista organisaatiosta on huolissaan tietoturva-asioista pilvipalveluiden hankinnassa. Uusi tietosuoja-asetus asettaa sekin hankintapäätöksen tekijälle päänvaivaa. Päättäjää mietityttää tunteeko hän mahdolliset sudenkuopat pilvipalvelutoimittajien sopimuksissa ja pystyykö organisaatio vastaamaan uusiin ilmoitusvelvollisuuksiin tietomurtotapauksissa. Onneksi systemaattisella otteella pilvipalveluiden, ja muidenkin ulkoistuspalveluiden käyttöönotto on paitsi tietoturvallista, myös kannattavaa.

ISO sertifiointi

 

Pähkinä #1
Mitä palveluita ollaan ulkoistamassa ja miten palveluita hallitaan?

Liiketoimintakriittisiä palveluita ulkoistaessa kannattaa miettiä, mikä on tarpeellinen saatavuustaso yrityksen toiminnan jatkuvuuden kannalta. Kriittinen palvelu saattaa tulla käytön kannalta hankalaksi tai hitaaksi tai palvelutaso laskea riittämättömälle tasolle, jos siirrettäviä palveluita ei ole analysoitu ja arvioitu kyllin hyvin.

Pähkinä #2
Mikä on siirrettävän datan arvo liiketoiminnalle?

Ulkoistusprojekteissa olisi hyvä miettiä, miten tiedot suojataan siirron aikana ja mikä on suojatun datan arvo liiketoiminnalle. Ei pidä myöskään unohtaa suunnitelmaa palvelusta poistumiseen. Miten siirretty data saadaan palvelusta pois ja mitä se maksaa? Organisaation on hyvä tehdä riski-hyöty-arvioita mitä pilveen ulkoistaa ja kuinka paljon tietoja siirretään.


Pähkinä #3
Kenelle luotat ulkoistuksesi?

Pilvipalvelutarjoajan maantieteellisellä sijainnilla on silläkin merkitystä. Mihin data tallennetaan, ja missä palvelutarjoajan henkilökunta työskentelee. Maantieteellinen sijainti vaikuttaa muuan muassa käräjäpaikkaan mahdollisissa riitatilanteissa ja toimittajan oman toiminnan tietoturvakäytännöt koskevat suoraan myös ostajan palveluita. Ostaja voi arvioida pilvitarjoajan tietoturvakäytäntöjä esimerkiksi mahdollisten sertifiointien ja auditointien avulla. Ulkoistuspalvelut ovat luottamisbisnestä, jossa ongelmatilanteisiin on saatava nopeita toimia sekä selkeitä vastauksia.

Pähkinä #4
Mitkä ovat onnistumisen mittarit?

Pilvipalveluiden hankintaa kannattaa lähestyä, kuten muitakin liiketoiminnan kehitysprojekteja. Projektille tulee määrittää mittarit ja seurantatavat. Mitkä ovat projektin mahdolliset riskit ja niiden rahallinen merkitys? Mitkä ovat projektin tavoitteet rahassa, työtehokkuudessa tai palvelutasossa? Yksi parhaista mittareista on tietenkin toteutunut saatavuus. Käyttökatkosten vaikutukset esimerkiksi maineeseen on eittämättä merkittävä.


Pilvipalvelutarjoajaa valitessa kannattaa siis olla tarkkana. Oikea kumppani takaa hyvin suojatun teknisen ja fyysisen turvallisuuden datallesi, sen henkilökunta noudattaa parhaita turvallisuuskäytäntöjä ja kumppani tarjoaa tuen myös asiakkaalleen palvelun tietoturvalliseen käyttöön.

Kirjoittaja toimii DataCenter Finlandin tietoturvapäällikkönä ja toimi projektipäällikkönä yrityksen ISO27001-sertifiointihankkeessa. Lue miksi halusimme sertifioida tietoturvakäytäntömme>  

Järjestimme 17.5. aamiaisseminaarin tietosuoja-asetuksen uudistuksesta ja sen vaikutuksesta tietohallintojohdolle. Tutustu seminaarin sisältöön ja esityksiin täältä

Lataa videotallenne

Lue myös oppaamme pilvipalveluiden ulkoistukseen>

Picture of Carita Gummerus

Kirjoittaja Carita Gummerus

Tilaa uusimmat kirjoitukset sähköpostiisi