CGI Suomen blogi
Mika Hållfast

Kyberturvallinen pilvi - Uhka vai mahdollisuus?

Miksi organisaatiot näkevät pilvipalvelut mahdollisuutena? Kustannussäästöjen lisäksi yritykset usein toivovat mahdollistavansa uutta liiketoimintaa ketterän kapasiteetin ja pilven aikaansaamien kustannussäästöjen avulla.

Oli organisaation liiketoimintatavoite mikä tahansa, on pilvipalvelujen käytössä tehtävä oikeita ratkaisuja alusta lähtien, muuten mahdollisuus kääntyy uhkaksi.

Oikein tehtynä pilvipalvelut voivat parantaa turvallisuutta ja vapauttaa sekä tietoturvan, että jatkuvan palvelun resursseja uuden luomiseen. Oikean toimittajan ja palvelun yhdistelmällä on mahdollista parantaa turvallisuuden tasoa ja laskea kustannuksia.

Väärin tehtynä pilvipalvelujen käyttö on hallitsematonta johtaen kontrollien katoamiseen ja tunnistamattomien riskien lisääntymiseen.

Huomioi nämä seikat, kun suunnittelet pilvipalveluiden käyttöönottoa:

1. Tarkenna mistä pilvipalvelusta on kyse:

  • SaaS - Sovelluksia palveluna: huomioi ratkaisujen liittäminen organisaation keskitettyyn käyttäjähallintaan
    SaaS-palvelut helpottavat kyberturvallisuutta siirtämällä toimittajan vastuulle ympäristön turvallisuuden ylläpidon. Standardoidun palvelun ostaminen hyvämaineiselta toimittajalta on erinomainen mahdollisuus vähentää kokonaiskustannuksia, sekä tietoturvan, että varsinaisen palvelun osalta. Esim. sähköpostipalveluiden tuottamiseen liittyy paljon vakiomuotoista tietoturvatyötä, jonka tekeminen jaetusta palvelusta mahdollistaa kustannustehokkaat ratkaisut.
  • PaaS - Alustaa palveluna: huomioi sovelluskehityksen turvallisuus ja sovellusten sisäiset käyttäjätietokannat
    PaaS-palvelujen käyttö vähentää alustapalvelujen ylläpitoa ja niiden haavoittuvuuksien seurantaa. Keskitetty toimija pystyy varmistamaan ympäristön turvallisuuden paremmin ja tehokkaammin. PaaS ei vähennä datan sijaintiin liittyviä haasteita, eikä vähennä tarvetta turvallisen ohjelmistokehityksen mallien järjestämiselle. Haasteena voi olla myös turvallisien liittymien luonti organisaation sisäverkossa sijaitseviin tietovarastoihin.
  • IaaS - Infrastruktuuri palveluna: Osaava kumppani kykenee hallinnoimaan pilviympäristöä kuten normaaliakin konesalia vähentäen riskejä
    IaaS-palvelujen käyttö ei käytännössä tuo helpotusta turvallisen ympäristön rakentamiseen. Jaettujen palvelujen käyttö voi joskus jopa heikentää turvallisuutta ja lisätä kustannuksia. IaaS-palveluissa organisaation vastuulle jää edelleen kaikki samat tietoturvahaasteet, kuin ympäristön omassa konesalissa pyörittämisessä. Ongelmaksi muodostuu esimerkiksi erilaisien kontrollien rakentaminen pilviympäristöön, usein nämä kontrollit ovat jopa päällekkäisiä nykyisten investointien kanssa.


2. Vältä pilvipalveluiden käyttöönoton riskit:

  • Varjo-it ja hajaantuminen
    Mikäli siirtyminen pilveen ei ole hallittua, hajaantuvat it-hankinnat ja ratkaisut ympäri organisaatiota ja turvallisuusvaatimusten seuranta käytännössä lakkaa. Tätä kehitystä on erittäin vaikea korjata.
  • Toimittaja
    Pilvipalvelun toimittaja tulee valita huolella. Pienet toimijat eivät pilvenkään osalta välttämättä sovi isojen organisaatioiden toimittajiksi, eikä kaukaista globaalia toimittajaa ole helppoa saada mukaan yhteistyöhankkeisiin. 
  • Tiedon turvallisuus
    Olennaista on huolehtia sopimusteitse ja riittävällä valvonnalla tiedon sijainnista ja sen turvallisuudesta.
  • Sopimukset
    Selvitä millaisia sopimuksia pilvitoimittajan kanssa on mahdollista tehdä.
  • Ylläpito
    Ylläpidon hallinnointi on ratkaisevasti kriittisempää kuin omassa konesalissa, hallintaliittymiin on pääsy mistä tahansa

Ota yhteyttä, jos haluat tietää lisää kyberturvallisista pilviratkaisuista.

Blog moderation guidelines and term of use