Näin ostat pilvipalveluita tietoturvallisesti

Tietoturvallinen pilvipalvelu tuntuu olevan päättäjien huulilla tällä hetkellä. Moni pohtii, mihin data tallentuu ja Gartnerin* mukaan jopa 73% suomalaisista organisaatiosta on huolissaan tietoturva-asioista pilvipalveluiden hankinnassa.

EU:n uudistuva tietosuoja-asetus asettaa sekin hankintapäätöksen tekijälle päänvaivaa. Päättäjää mietityttää tunteeko hän mahdolliset sudenkuopat pilvipalvelutoimittajien sopimuksissa ja pystyykö organisaatio vastaamaan uusiin ilmoitusvelvollisuuksiin tietomurtotapauksissa. Onneksi systemaattisella otteella pilvipalveluiden, ja muidenkin ulkoistuspalveluiden käyttöönotto on paitsi tietoturvallista, myös kannattavaa.

Tässä muutama pähkinä purtavaksi ennen kuin olet ostamassa pilvipalveluita:

Pähkinä #1

Mitä palveluita ollaan ulkoistamassa ja miten palveluita hallitaan? 

Liiketoimintakriittisiä palveluita ulkoistaessa kannattaa miettiä, mikä on tarpeellinen saatavuustaso yrityksen toiminnan jatkuvuuden kannalta. Kriittinen palvelu saattaa tulla käytön kannalta hankalaksi tai hitaaksi tai palvelutaso laskea riittämättömälle tasolle, jos siirrettäviä palveluita ei ole analysoitu ja arvioitu kyllin hyvin.

Pähkinä #2

Mikä on siirrettävän datan arvo liiketoiminnalle?

Ulkoistusprojekteissa olisi hyvä miettiä, miten tiedot suojataan siirron aikana ja mikä on suojatun datan arvo liiketoiminnalle. Ei pidä myöskään unohtaa suunnitelmaa palvelusta poistumiseen. Miten siirretty data saadaan palvelusta pois ja mitä se maksaa? Organisaation on hyvä tehdä riski-hyöty-arvioita mitä pilveen ulkoistaa ja kuinka paljon tietoja siirretään.

Pähkinä #3

Kenelle luotat ulkoistuksesi?

Pilvipalvelutarjoajan maantieteellisellä sijainnilla on silläkin merkitystä. Mihin data tallennetaan, ja missä palvelutarjoajan henkilökunta työskentelee. Maantieteellinen sijainti vaikuttaa muuan muassa käräjäpaikkaan mahdollisissa riitatilanteissa ja toimittajan oman toiminnan tietoturvakäytännöt koskevat suoraan myös ostajan palveluita. Ostaja voi arvioida pilvitarjoajan tietoturvakäytäntöjä esimerkiksi mahdollisten sertifiointien ja auditointien avulla. Ulkoistuspalvelut ovat luottamisbisnestä, jossa ongelmatilanteisiin on saatava nopeita toimia sekä selkeitä vastauksia.

Pähkinä #4

Mitkä ovat onnistumisen mittarit?

Pilvipalveluiden hankintaa kannattaa lähestyä, kuten muitakin liiketoiminnan kehitysprojekteja. Projektille tulee määrittää mittarit ja seurantatavat. Mitkä ovat projektin mahdolliset riskit ja niiden rahallinen merkitys? Mitkä ovat projektin tavoitteet rahassa, työtehokkuudessa tai palvelutasossa? Yksi parhaista mittareista on tietenkin toteutunut saatavuus. Käyttökatkosten vaikutukset esimerkiksi maineeseen on eittämättä merkittävä.

Pilvipalvelutarjoajaa valitessa kannattaa siis olla tarkkana. Oikea kumppani takaa hyvin suojatun teknisen ja fyysisen turvallisuuden datallesi, sen henkilökunta noudattaa parhaita turvallisuuskäytäntöjä ja kumppani tarjoaa tuen myös asiakkaalleen palvelun tietoturvalliseen käyttöön.

Konesali

EmCen konesalikumppanit ovat kotimaisia toimijoita ja EmCen asiakkaiden data säilytetään turvallisesti Suomessa. DataCenter Finland on pitkäaikainen kumppanimme, jonka kanssa olemme tehneet yhteistyötä jo vuodesta 2009. Huhtikuussa 2016 DataCenter Finlandille myönnettiin kansainvälisen ISO/IEC 27001:2013 -standardin vaatimusten mukainen tietoturvahallinnan järjestelmäsertifikaatti.

Lisätietoa pilvipalveluratkaisuistamme saat myynniltämme tai myynti@emce.fi. Jos pilvipalvelut ja sen yhteydessä käytettävät lyhenteet ovat vielä hämärän peitossa, lue blogipostauksemme ”palvelut pilvessä, so what?” aiheesta.

 

* Pilvipalvelut kasvavat Suomessa keskimäärin 30 prosenttia vuonna 2016, sanoo Gartnerin tutkimus


Kirjoittaja: Carita Gummerus

Kirjoittaja toimii DataCenter Finlandin tietoturvapäällikkönä ja toimi projektipäällikkönä yrityksen ISO27001-sertifiointihankkeessa.