Mitä pilvipalvelun ostajan pitää tietää tietoturvasta?

Uusien pilviteknologioiden ja -prosessien ansiosta nykyaikainen yritys reagoi paremmin asiakkaiden tarpeet ja tuottaa entistä parempia loppukäyttäjäpalveluita. Kuitenkin perinteiset tietoturvatyökalut ja IT:n käyttämät prosessit on suunniteltu hitaampaa, vähemmän dynaamista tekemistä varten. Tästä johtuen useissa suomalaisissa yrityksissä turvallisuus on vaihtunut ketteryyteen. Ottamalla käyttöön pilvipohjaisia tietoturva työkaluja ja DevOps-käytäntöjä, yrityksen tietoturva voi palauttaa tasapainon ketteryyden ja turvallisuuden välillä.

Miksi suomalaisilla yrityksillä on haasteita pilven tietoturvan kanssa?

Tietoturvan ylläpitäminen on monimutkainen kokonaisuus, jonka vaatii hyvää koordinointia yrityksen IT-, tietoturva-, hankinta- ja liiketoimintayksikköjen välillä. Yleisimmin haasteet syntyvät seuraavien tekijöiden yksittäis- tai yhdistelmävaikutuksesta:

• Palveluiden ostaminen on hajautunut ja monitoimittajaympäristön hallitseminen muuttunut huonosti koordinoiduksi
• IT-ympäristöön on kytketty entistä enemmän laitteita (loppukäyttäjälaitteet, IoT-laitteet jne.)
• Jatkuvasti kasvava pilvipalveluiden määrä
• Useampia ja entistä vakavampia kyberhyökkäyksiä
• Kokonaisuudessaan mahdollisten haavoittuvuuksien määrä on kasvanut eksponentiaalisesti.

Tiivistäen voisi sanoa, että yleisimpien pilvipalveluiden tietoturvariskit ovat käyttäjäperäisiä. Käyttöönoton perusongelma on, että käyttäjäryhmiä ja näiden käyttöoikeustasoja ei tehdä suunnitellen. Tällöin käyttäjä pääsee käsiksi sellaisiin tietoihin, jotka eivät hänelle välttämättä kuulu. EU:n tietosuoja-asetuksen myötä erityisesti asiakastietojen käsittelyssä käyttäjähallinta ei enää ole vain suositeltavaa, vaan suorastaan pakollista.

Kaikki oikeudet kaikille -mallinen käyttäjähallinta johtaa helposti myös siihen, että osa käyttäjistä ei edes tiedä olevansa tekemisissä salaisen tiedon kanssa, ja saattaa jakaa tiedoston katseluoikeudet julkisiksi eteenpäin.

Tarve hybridipilviympäristölle ja sen hallinnalle suomalaisissa yrityksissä

Digitaalinen muutos ja liiketoiminnan ketteryys ovat välttämättömiä, jotta yritys pysyy kilpailukykyisenä. Näin ollen pilvi- ja SaaS (software-as-a-service) -palveluiden käyttöönotto lisääntyy koko ajan enemmän. Pilvisiirtymästä huolimatta useimmiten vanhaa IT-ympäristöä ei voi kerralla korvata uudella, vaan pilvisiirtymä on tehtävä hallitusti.

Tuloksena syntyvät hybridi - ja monipilviympäristöt ovat olennainen osa uutta tietojenkäsittelyn todellisuutta, joka pahimmillaan voi olla hyvin vaikea hallita. Näin ollen kun strategisia päätöksiä tehdään, on syytä harkita hybridiympäristöjen hallintaa.

Uskomme, että tietoturva on integroitava yleiseen IT-ympäristöön parhaan menestyksen mittaamiseksi, jos otat sovelluksia käyttöön paikallisessa konesalissa, yksityisessä tai julkisessa pilvessä ja/tai mikropalveluissa. Turvallisuus ei voi olla jälkiarviointi tai lisäosa; sen on oltava tiukasti sidottu jokapäiväisiin prosesseihin ja ponnisteluihin.

Jotta tämä toteutuisi, on neljä keskeistä askelta, jotka meidän mielestämme jokaisen yrityksen tulisi ottaa:

1. Nimeä tietoturvavaltuutettu. Tietoturvallisuuden puolestapuhuja voi olla CISOsi, tietoturvan harjoittaja tai jopa DevOps-tiimin jäsen, jolla on vahva käsitys turvallisuudesta. Tähän rooliin määrittämäsi henkilön tulee olla intohimoinen ennakoivasta turvallisuudesta ja ymmärtää syvällisesti, miksi turvallisuus on avain yrityksesi menestykseen. Tämän henkilön pitäisi olla organisaatiosi turvallisuuden kasvot.
2. Vahvista tietoturvapolitiikkaa ja erityisesti käytäntösääntöjä (guardrail). Perinteiset suojauskäytännöt ovat yleensä melko laajoja, mutta pilvessä – sen sovellusten ja palveluiden määrässä – on oltava hyvin tarkka tietoturvakäytäntöjen suhteen. Tästä syystä vanhojen tietoturvamallien soveltamisen pilveen haasteena on, että tietoturvakäytännöistä voi tulla nopeasti liian monimutkaisia ja vaikeita käyttää. Sen sijaan suosittelemme käyttämään käytäntösääntöjä, joita voidaan soveltaa laajasti useisiin sovelluksiin ja resursseihin.
3. Harkitse uusia tietoturvatyökaluja. Jotta tietoturvaympäristön hallinnasta ei tulisi liian monimutkaista ja kallista, suosittelemme hyödyntämään työkaluja, jotka soveltuvat hybripilviympäristön tietoturvatarpeisiin.
4. Mittaa saavutetut tulokset. ​​Kun olet nimennyt tietoturvavaltuutetun, asettanut käytäntösäännöt ja ottanut käyttöön uudet työkalut, ota käyttöön seurantaohjelma, joka mittaa menestystäsi olennaisilla mittareilla ja mahdollistaa proaktiivisen parannusten tekemisen. Mahdollisia mittareita ovat esimerkiksi tietoturvatarkistuksiin käytetty aika, tietoturvatapahtumien määrä (incident), devops-kehitysputken tietoturvatarkistusten määrä ja tietoturvapoikkeavuuksien määrä.

Suomalaisten yritysten ei tarvitse pelätä siirtymistä pilveen. Vaikka pilvi voi tuoda lisää monimutkaisuutta turvallisuusrintamalla, hyödyt nopeuden ja ketteryyden, ajan ja rahan säästöjen sekä tuotannon tasoittamisen suhteen ovat kiistattomia.