+358 40 596 7309 juhani.hodju[at]jhps.fi

Kuva1Pilvipalvelun käyttäjän kannalta tärkeitä on, että tieto pysyy turvattuna pilvipalvelussa seuraavissa tapauksissa:

·  Tieto on tallennettu pilvipalveluun
·  Tietoa käytetään pilvipalvelussa
·  Tietoa siirretään pilvipalvelusta tai pilvipalveluun

Pilvipalvelun täytyy täyttää tiedon elinkaarelle asetetut yleiset määräykset ja asiakkaan asettamat vaatimukset.

Pilvipalveluita tarjotaan useimmiten jaetusta alustasta, jossa on myös muiden yritysten tietoja. Mahdollista on esimerkiksi, että samalla alustalla on yrityksen kilpailijan luottamuksellisia tietoja.

Ainakin seuraavat tietoturvaan liittyvät asiat on hyvä huomioida pilvipalvelun käyttöönotossa.

1. Tiedon luottamuksellisuus
a. Miten tieto eriytetään muiden yritysten tiedoista?
b. Miten tiedon luottamuksellisuus taataan tiedonsiirron aikana?
c. Miten varmistetaan, että tiedot ovat vain niiden käyttöön oikeutettujen käytössä.

2.  Tiedon eheys
a. Miten varmistetaan, että tiedot eivät muutu esim. laitteistovikojen tai inhimillisten tapahtumien seurauksena.
b. Miten varmistetaan, että tiedot ja niitä käsittelevät järjestelmät ovat luotettavia.

3. Tiedon käytettävyys
a. Miten turvataan tiedon jatkuva käytettävyys sovitun vasteajan puitteissa?
b. Mitä tiedolle tapahtuu, jos palveluntarjoajan toiminta loppuu syystä tai toisesta.
c. Miten tiedon palauttaminen on hoidettu ja mikä on vasteaika?
d. Onko palautussuunnitelma olemassa?
e. Miten on varmistettu, että tiedot eivät tuhoudu vikatilanteissa tai muiden tapahtumien seurauksena?

4. Pääsynhallinta
a. Miten varmistetaan, että ainoastaan ne, joilla on tarvittavat valtuudet, pääsevät tietoihin käsiksi.

5. Todentaminen (autentikointi)
a. Miten henkilöiden tai muiden tahojen todentaminen tapahtuu luotettavasti?

6. Tietoturva-auditointi
a. Mahdollisuus auditoida palveluntarjoajan tietoturvakäytännöt.

7. Tiedon fyysinen sijaintipaikka
a. Miten varmistetaan, että tietoa ei tallenneta maan rajojen ulkopuolelle, mikäli esim. lainsäädäntö tai yrityksen/yhteisön oma politiikka kieltää tämän.

8. Vastuut ja luottamus
a. Kumpi osapuoli on vastuussa pilvipalvelun tietoturvasta ja missä määrin?
b. Mitkä tietoturvanäkökohdat kummankin osapuolen täytyy huomioida?
c. Mitä säädöksiä ja määräyksiä noudatetaan? Mitkä säädökset palveluntuottajan täytyy täyttää asiakkaan näkökulmasta?
d. Miten tietoturvaa valvotaan ja mitkä ovat kontrollit?

9. Tietoturvastandardit
a. Palveluntarjoajan käyttämät tietoturvastandardit varmistavat, että palveluntarjoaja on panostanut tietoturvaan. Kannattaa kuitenkin aina vaatia todisteet tietoturvan kontrolleista auditoinnin yhteydessä.

10. Mobiilikäyttäjät
a. Miten mobiilikäyttäjien tietoturva on hoidettu pilvipalvelussa?

11.   Tekniset työvälineet
a. Mm. virustentorjunta, nettifiltterit, anti-malware, salaus, pishingin esto, palomuurit, tunkeutumisen havaitsemisjärjestelmät
b. Järjestelmien päivittäminen säännöllisesti

Tärkein asia asiakkaan ja palveluntarjoajan välillä on luottamus, jota voidaan vahvistaa tietoturva-auditoinneilla. Lisäksi vastuiden täytyy olla kristallinkirkkaita, jotta kumpikin osapuoli ymmärtää vastuunsa, mikäli tietoturva vaarantuu.

Tietoturva kannattaa ottaa tosissaan, jos pilvipalveluun tallennetaan yrityksen luottamuksellisia tietoja, joiden päätyminen kolmansien osapuolten käsiin vahingoittaa yrityksen mainetta tai aiheuttaa suoraan taloudellisia menetyksiä.