Hae it-yrityksiä
osaamisalueittain:

Asiakkuudenhallinta CRM BI ja raportointi HR Tuotekehitys ja suunnittelu Toiminnanohjaus ERP Taloushallinto Markkinointi Webkehitys Mobiilikehitys Käyttöliittymäsuunnittelu Tietoturva Verkkokaupparatkaisut Ohjelmistokehitys Integraatiot Pilvipalvelut / SaaS Tekoäly (AI) ja koneoppiminen Lisätty todellisuus ja VR Paikkatieto GIS IoT Microsoft SAP IBM Salesforce Amazon Web Services Javascript React PHP WordPress Drupal

Nämä asiat sinun tulisi tietää pilven jaetun vastuun mallista

BloggausViimeistään nyt - etätyön luvattuna aikana - on yhä useampi yritys siirtynyt hyödyntämään pilvipalveluita entistä kokonaisvaltaisemmin. Pilviteknologiat tuovat työn sinne missä loppukäyttäjäkin on, mutta vapauden mukana tulee myös kasvanut tarve tietoturvan seurannalle ja kehittämiselle. Kysyimme CloudNown Juha Karilta, mitä jokaisen yrityksen tulisi tietää pilven jaetun vastuun mallista.

”Jaetun vastuun mallilla tarkoitetaan vastuun jakautumista palvelun eri osapuolille myös tietoturvan osalta. Toisin sanoen, vaikka palveluita siirretäänkin omilta palvelimilta pilveen, ei se tarkoita sitä, että vastuu tietoturvasta siirtyisi täysin pilvipalveluiden tarjoajille. Vastuu jakautuu palveluntarjoajan ja asiakasyrityksen välille jaetun vastuun mallin mukaisesti”, Juha selittää.

Selvitä omat ja palveluntarjoajan vastuut

Pilvipalveluntarjoajat ilmoittavat usein suoraan, mikä kuluu palveluntarjoajan vastuulle. Vastuutaulukoista aukeaa tyypillisesti heti, että palveluntarjoajat eivät ota tietoturvasta koko vastuuta, vaan suuri osa tietoturvavastuusta on luonnollisesti yritysten omilla harteilla. 

"Pilvipalveluyritykset tarjoavat kuitenkin paljon erilaisia ratkaisuja tietoturvan mahdollistamiseksi omissa pilviympäristöissään. Näitä tulee tyypillisesti itse ottaa käyttöön, jos niitä haluaa hyödyntää."

Myös Microsoft mahdollistaa teknologiatalona tietoturvaa omiin palveluihinsa. Esimerkiksi Microsoftin Azure-pilvessä tietoturva on huomioitu jo konesalien fyysisestä tietoturvasta alkaen hyvin pitkälle aina alustojen ja sovellusten tietoturvaan saakka. Käytännössä palveluiden tietoturvaominaisuuksien käyttöönotto vaatii suurelta osin tietotaitoa ja toimenpiteitä yritykseltä itseltään. Kuten aina, tässäkin pilvipalveluihin pätee jaetun vastuun malli, joka on hyvä ottaa huomioon tehtäessä omaa tietoturvan vaatimusmäärittelyä.

“Azuressa ei ole oletuksena päällä kaikkia tietoturvaominaisuuksia, vaan Microsoft tarjoaa vain työkalut, joilla tietoturvan pääsee itse rakentamaan omien vaatimusten mukaiselle tasolle. Jaetun vastuun mallin mukaisesti, on asiakkaan omalla vastuulla huolehtia omista vastuualueistaan ja näiden osa-alueiden tietoturvasta.”
“Pilvipalveluntarjoajat huolehtivat omalta osaltaan todella riittävällä tasolla tietoturvasta ja pyrkivät mahdollistamaan tietoturvallisen pilviympäristön. Jopa pankki- ja terveyssektorin toimijat pystyvät luottamaan Azure-pilven pitkälle auditoituun ja sertifioituun tietoturvaan. Tietoturvan osalta on hyvä kuitenkin huomioida, että jos yritys ei huolehdi omista vastuualueistaan, ei Microsoft ole jaetun vastuun mallin mukaisesti vastuussa, jos jotakin itsestä johtuen tapahtuu”, Juha jatkaa.

Palveluntarjoaja vastaa konesalien fyysisestä tietoturvasta ja huolehtii infrastruktuuriin liittyvistä tietoturvaratkaisuista ja niiden toiminnasta. Pilviratkaisuista puhuttaessa puhutaan usein IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service), ja Serverless ratkaisuista. Riippuen ostetun pilviratkaisun tasosta palveluntarjoajan vastuut alustasta, käyttöjärjestelmästä tai sovelluksesta saattavat vaihdella. Tyypillistä kuitenkin on, että käyttäjät, laitteet ja yritysdata ovat yritysten omalla vastuulla. Näiden ratkaisujen osalta tarjotaan työkalut riittävän tietoturvan rakentamiseen. Palveluntarjoaja varmistaa, että pilvipalvelut ovat muilta osin tietoturvallisia.


Microsoftilta lainattu kuvio, jossa on esitelty pilven jaetun vastuun mallia.

Kuvio lainattu Microsoftilta.

Lisätietoa pilven jaetun vastuun mallista löydät Microsoftin verkkosivuilta täältä.

Pilvipalvelut houkuttelevat rikollisia 

Rikollisten silmissä pilvipalvelut ovat mielenkiintoisia, sillä palvelut ovat julkisesti saavutettavissa antaen rikollisille oivan mahdollisuuden tutustua niihin ja suunnitella hyökkäyksiä tarkoin. 

Pilvessä on paljon rikollisia kiinnostavia kohteita ja usein arkaluontoistakin yritysdataa, jonka takia yrityksissä tulisikin kiinnittää huomiota tietoturvan varmistamiseen. Tietoturvan suunnittelu lähtee aina liikkeelle vaatimustenmäärittelystä. 

“Ympäristöä suunniteltaessa tulee tarkastella, minkälaisia vaatimuksia omaan ympäristöön kohdentuu, ja mitä vaatimuksia ne asettavat tietoturvalle. Tavallinenkin pk-yritys voi rakentaa tietoturvan todella kokonaisvaltaiseksi ja kattavaksi helpoilla toimenpiteillä, joita pilvi mahdollistaa.”

Kannattaako tietoturva hoitaa itse vai ulkoistaa kumppanille

Pilvipalvelut mahdollistavat, että yritys voi pitää omat it-resurssinsa hieman perinteistä tarvetta kevyempänä. Yrityksen kokoluokasta riippuen voi olla kuitenkin hyvä ylläpitää jonkin verran tiettyä it-osaamista talon sisällä. 

“SaaS-palveluissa, kuten Microsoft 365, sovellusten ja palveluiden ylläpito on pilvipalveluntarjoajan vastuulla. Näiden osalta on hyvä olla yrityksen liiketoiminnan huomioiva aidosti kehittävä IT-kumppani, jolloin yritys voi itse enemmän keskittyä omaan liiketoimintaansa.

Azure-pilvipalvelut saattavat sisältää enemmän teknistä puolta ja tällöin on hyvä hankkia infrastruktuuriasioita osaava it-kumppani selkänojaksi huolehtimaan ympäristöstä kokonaisuutena. Sovellustoimittajat ja -kehittäjät huolehtivat Azure-ympäristöissä toteuttamastaan sovelluksesta, mutta muuten tietoturva ja Azure-ympäristön elinkaaren ja jatkuvuuden varmistaminen saattavat jäädä vähemmälle. Yhteistyössä hyvä kumppani ja oikeat kehittäjät ovat kullan arvoisia.

“Jos sovellusten kehittäminen ei ole itselle tärkeätä liiketoimintaa niin ei ehkä kannata investoida sellaiseen osaamiseen firman sisälle. Ketterät it-palvelut oikealta kumppanilta ja hyvin valitut sovellustoimittajat yhdessä tuovat huolettomuutta arkeen."

Tietoturvan kehittämiseen tukea kumppanilta

Tietoturva-asioille on helppo sokaistua, ja usein onkin fiksua hakea tukea tietoturva-asioihin ulkopuoliselta asiantuntijalta.

“Keskustelin taannoin nuoren kasvavan yrityksen kanssa. Lähtökohta tapaamiselle oli, että heidän ympäristössään loppukäyttäjät olivat todella osaavia. Yrityksellä ei ollut käytössään mitään it-tukea. He olivat mielestään itse ottaneet todella kattavasti kaikkia tietoturvaominaisuuksia käyttöön.”
“Kun kävimme tapaamisessa asiaa läpi, huomasimme, ettei yrityksessä ollut käytössä esimerkiksi vahvaa tunnistautumista. Yrityksessä oli hajauduttu käyttämään useita eri palveluita ja it-kustannuksia tuli aika monesta suunnasta. Silti he kokivat, etteivät tarvitse it-palveluita ja tukea tietoturvan kehittämiseen”, Juha jatkaa.

Vaikka oma henkilöstö olisikin osaava, on kumppanista yleensä iso apu myös omalle it:lle ja ympäristöä voidaan kehittää monipuolisemmin. Etenkin tietoturva tulisi ottaa osaksi jatkuvaa kehitystä ja seurantaa. 

“Erään asiakkaan tapauksessa olemme pala kerrallaan rakentaneet Azure-ympäristöön tietoturvaa ja parannelleet sitä. Kumppanin kanssa huoli poistuu ja yritys voi keskittyä omaan tekemiseen, samalla kun me huolehdimme, että palvelimet ovat päivitetty ja tietoturva riittävällä tasolla.”

Kehittävä kumppani on ajan tasalla alan uusimmista trendeistä ja ominaisuuksista, ja huolehtii, että ympäristö pysyy tietoturvallisena myös palveluiden kehittyessä.

"Oikea kumppani tuo huolettomuutta. Kehittävä kumppani on avain moneen asiaan. On monenlaisia toimittaja, jotka ottavat sinut kyllä palveluiden piiriin, mutta laittavat sen jälkeen silmät kiinni.”

”Osaava kumppani, joka kehittää ja vie yritystä eteenpäin on erittäin iso etu it:lle. Kehitys on usein pois reaktiivisesta tuen tarpeesta”.

Mietityttääkö oletteko hoitaneet omat vastuut pilvipalveluissa? Kaipaatteko tukea tietoturvan varmistamiseen Azuressa tai muissa Microsoftin pilvipalveluissa? Jätä soittopyyntö tai varaa aika tapaamiseen niin keskustellaan asiasta lisää!

Pinterest
CloudNow IT Oy logo

Lisätietoja

Yritysprofiili CloudNow IT kotisivut

Tagit

Jos tarjontatagi on sininen, pääset klikkaamalla sen kuvaukseen

Liiketoimintaprosessi

Tietohallinto

Erikoisosaaminen

Pilvipalvelut / SaaS
Tietoturva

Toimialakokemus

Asiantuntijapalvelut
IT
Järjestöt ja yhdistykset
Kiinteistöala
Koulutusala
Kuljetus, liikenne ja logistiikka
Raaka-aineet ja energia
Valmistava teollisuus

Teknologia

Azure
Microsoft

Tarjonnan tyyppi

Konsultointi
Tuki- ja ylläpitotyö

Omat tagit

pilvipalvelut
SaaS
paas
iaas
Microsoft Azure
Microsoft 365
Serverless

Siirry yrityksen profiiliin CloudNow IT kotisivut Yrityshaku Referenssihaku Julkaisuhaku

CloudNow IT - Asiantuntijat ja yhteyshenkilöt

Premium-profiilia ei ole aktivoitu. Aktivoi plus/premium-profiili näyttääksesi tässä lisäämäsi 3 asiantuntijaa.

CloudNow IT - Muita referenssejä

CloudNow IT - Muita bloggauksia

Digitalisaatio & innovaatiot blogimedia

Blogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä

Etusivu Yrityshaku Pikahaku Referenssihaku Julkaisuhaku Blogimedia