Pilvitietoturva

Pilvitietoturva lyhyesti

Pilvipalveluissa on monta haastetta joita sekä pilvipalveluiden tarjoajat että ostajat joutuvat huomioimaan. Parhaimmassa tapauksessa pilvipalvelun tarjoaja on huolehtinut omasta tontistaan hyvin. Perusasiat eivät sinänsä ole muuttuneet. Organisaatio on itse vastuussa itseensä kohdistuvista vaatimuksista ja niiden toteutumisesta. Useimmiten organisaation uhkamalli muuttuu hyvin pieniltä osin. Jotta ymmärretään mihin ollaan ryhtymässä kun siirretään toimintoja ja tietoja pilveen, on syytä perustaa nykytilan uhkamalli ja tuleva uhkamalli. Näin muodostuu tarkempi kuva siitä, miten ja mihin pilveen siirtyminen vaikuttaa toimintaan.

Pilveä on periaatteessa kolmenlaista: SaaS, PaaS ja IaaS. Jokaisessa mallissa on uhkia, mutta useimmissa tapauksissa mahdollisuudet ovat suuremmat kuin uhat. Tämä ei tarkoita sitä, että uhkia voisi sivuuttaa – siirtämällä palveluita kriitiikittä pilveen, kasvatetaan tahtomatta ja huomaamatta riskitasoa sekä teknisesti että hallinnollisesti.

Pilveä lähestytään liiketoiminnallisesti ja arkkitehtuurimaisesti – huomioiden liiketoiminnan tarpeita, liiketoiminnalle asetettavia vaatimuksia, toimittajahallintaa, riskienhallintaa, tekniikkaa ja jatkuvuutta. Jokaisessa kohdassa komponentteina myös tietoturva ja tietosuoja.

Mitä Mint Security toimittaa

Toimitamme osaamista ja asiantuntemusta

  • pilvipalveluita käyttäville organisaatioille
  • pilvipalveluita toimittaville organisaatioille

Kokemuksella istumme kummallakin puolella pöytää. Pilvitietoturva on itse asiassa yhdistelmä monta asiaa – yksittäistä vipua pilvitietoturvan päällekytkemiseksi ei ole. Pilvitietoturva ei ole tekniikkaa, vaikka tekniikkaa pitää hyödyntää oikealla tavalla (ja olla hyödyntämätä väärällä tavalla). Pilveen siirtyminen voi olla strateginen tai taktinen työkalu organisaatiolle. Yksittäisen SaaS-palvelun käyttöönotossa pärjätään lyhyellä tarkistuslistalla ja sopimuksen tarkistamisella – laajemmassa IaaS-ulkoistuksessa taas koko yrityksen tulevaisuus voi olla sidoksissa onnistumiseen.

Pilvipalveluita toimittavien organisaatioiden pitää jo kilpailukyvyllisistä syistä keskustelemaan avoimesti tietoturvasta ja näyttämään miten kriittisiä asioita hoidetaan. Asiakkaat ovat valistuneita – tai tuovat valistuneen kumppanin mukaan neuvottelupöytään – jolloin myyjän pitää kilpailutilanteessa pystyä osoittamaan oman erinomaisuutensa.

Asiakkaiden tarpeet ja ratkaistavat haasteet

Asiakkaille on tärkeää saada jonkinlainen strateginen näkemys siitä, mitä pilvipalvelu ratkaisee ja mitä sillä voi saavuttaa. Pilvipalveluiden ostaminen ja niihin siirtyminen on tältä osin kuin sisustaminen – asioiden päätön siirtäminen paikasta toiseen ilman näkemystä ja selkeää tavoitetta ei tuota tulosta.

Pilvipalveluita käyttäville, ostaville tai hankkiville organisaatioille muun muassa seuraavat asiat ovat tärkeitä

  • Ymmärrys siitä, mikä tietoturvan osalta muuttuu uudessa tavoitetilassa (sopimukset, vasteajat, lisenssit, …)
  • Ymmärrys siitä, miten nykyisin ratkaistut vaatimukset siirtyvät turvallisesti ja vähintään yhtä hyvinä pilveen
  • Kustannustietoisuus ja kustannusten realistinen ennustaminen
  • Teknisten ratkaisujen validointi ja auditointi
  • Käyttäjähallinta ja organisaation identiteetit
  • Tietosuoja
  • Valvonta ja monitorointi – seurattavuus
  • Jatkuvuus, tietojen saatavuus – omien liiketoiminnallisten riskien hallinta
  • Automatisointi

Pilvipalveluita tuottaville organisaatioille muun muassa seuraavat asiat ovat tärkeitä

  • Mitä arvolupauksia asiakkaille voi tai pitää myydä – mitä vaatimuksia asiakkaisiin saattaa kohdistua
  • Miten paketoidaan erilaisia tietoturvatasoja
  • Miten palveluiden tietoturvaa mitataan ja miten se osoitetaan asiakkaalle – miten tämä rakennetaan sopimuksiin
  • Miten huolehditaan haavoittuvuushallinnasta ja omasta ympäristöstä
  • Vastuurajaukset
  • Tietosuoja
  • Valvonta ja monitorointi – seurattavuus
  • Teknisten toteutusten tietoturvapätevyys
  • Omien kaupallisten ja teknisten riskien hallinta
  • Tietoturvan automatisointi

Tarkemmin menetelmistämme ja työkaluistamme

Siksi että pilvitietoturva ei ole yksittäinen vipu, vaan yhdistelmä erilaisia (monesti ihan perinteisiä) asioita joita hyödynnetään uudella tavalla, hyödynnämme mekin koko palvelupalettiamme.

Cloud Security Alliance

”Cloud Security Alliance (CSA) is a not-for-profit organization with a mission to “promote the use of best practices for providing security assurance within Cloud Computing, and to provide education on the uses of Cloud Computing to help secure all other forms of computing”.

Tarjoamme koulutusta yhteistyössä CSA:n kanssa Suomessa.