Mistä pilven tietoturva on tehty? Tässä vinkkejä
Suosittujen julkipilvipalveluiden kysyntä kasvaa kaksinumeroisilla luvuilla, ja hyvästä esimerkistä käy Azuren peräti 59 prosentin kasvun Microsoftin vuoden 2020 kolmannella kvarttaalilla. Pilviympäristöt kasvavat ripeästi myös kotimaisissa organisaatioissa, eivätkä kyberriskit tosiaan vähene. Pilviympäristöjen tietoturva vaatii organisaatioissa ja yrityksissä erityistä huomiota.
Nostamme nyt esille osa-alueita, joiden pitää olla kunnossa, jotta pilven käyttö olisi tietoturvallista.
Julkipilvipalvelut tarjoavat tiedon suojaamiseen runsaasti mahdollisuuksia, kunhan kaikki osa-alueet on huomioitu. On tiedettävä missä luottamuksellista dataa kannattaa käsitellä, jakaa ja säilyttää sekä minkä datan pitää olla jatkuvasti vaikkapa Suomessa saatavilla. Mitä dataa voidaan käsitellä julkipilven kautta, jotta lakisääteiset velvoitteetkin toteutuvat?
Pilvipalveluiden turvallinen käyttö edellyttää, että yrityksellä on selkeät käytännöt ja kontrollit palveluiden ostamiseen, ympäristöjen rakentamiseen ja muutoshallintaan oman tietoturvapolitiikan mukaisesti. Tilannekuvan ja kirkkaan kokonaisnäkymän avulla voidaan pienentää kyberriskejä. Cloud Health Check -kartoituksessa kiinnitetään kokonaisvaltaisesti huomiota myös pilviympäristöjen tietoturvaan.
Poikkeamat haltuun
Pilviympäristöihin ja sovelluksiin ei luonnollisesti ole asiaa suojaamattomilla mobiililaitteilla. Toisin esille senkin, että ilman automatisoitua identiteetin- ja pääsynhallintaa pilvipalveluiden käyttö vaikeutuu ja riskit kasvavat. On kyettävä varmistamaan kenellä ja millä laitteilla on oikeus käyttää myös pilvessä olevia tietojärjestelmiä.
Poikkeamien automatisoitu havainnointikyky on välttämätöntä, jotta kyberhyökkäyksiä voidaan tunnistaa verkkoympäristöistä ajoissa. Kenen vastuulla on poikkeaminen hallinta ja miten toimitaan mahdollisissa tietomurrossa? Sujuuko palautuminen liiketoiminnan vaatimusten mukaisesti?
Tietoturvapolitiikka pitää sulauttaa myös ketterään sovelluskehitykseen ja kehityskulttuuriin sekä sovellustoimittajiin. Ohjelmistokonttien käyttö kasvaa ja niiden avulla voidaan parantaa sovellusten tietoturvaa. Jokaista sovellusta varten ei tarvitse luoda omia virtuaalikoneita.
Pilvisiirtymän riskienhallinnan suosittelen tekemään yhdessä kokeneiden ammattilaisten kanssa. Pilviympäristöt ovat useimmiten isoja ja nopeasti kasvavia ympäristöjä. Kyberuhkien lisääntyessä ja pilvipalveluiden kehittyessä on varmistettava myös ajan hermolla pysyminen sekä ympäristön jatkuva kehittäminen.
Miten siis toimia?
Oikotietä onneen ei ole, ja tässä muutamia neuvoja, joihin organisaatiosi kannattaa panostaa. Kaikkea ei tarvitse saada kerralla kuntoon, mutta suosittelen toimimaan suunnitelmallisesti.
1) Laadi pilven pelikirja ja tietoturvapolitiikka.
Selkeät ohjeet, käytännöt ja kontrollit pilvipalveluiden ostamiseen ja ympäristöjen rakentamiseen sekä muutoshallintaan.
2) Luo tilannekuva ja kokonaisnäkymä.
Läpinäkyvyyttä parantamalla voidaan pienentää tietoturvariskejä tunnistamalla mm. tekniikkaan liittyviä kehityskohteita ja tarpeettomia resursseja. Miten pilvikapasiteetti, verkko, palvelimet ja sovellukset on suojattu?
3) Suojaa yhteydet sekä varmista integroitavuus julkipilveen omasta konesalista tai privaattipilvestä.
4) Hallitse tietoturvatapahtumia ja varmista palautumiskyky.
Poikkeamien havainnointikyky on välttämätöntä, jotta organisaatio voi tunnistaa kyberhyökkäyksiä. Sujuuko palautuminen liiketoiminnan vaatimusten mukaisesti?
5) Varmista päätelaitteiden riittävä suojaustaso.
Pilviympäristöihin ja sovelluksiin ei ole asiaa suojaamattomilla mobiililaitteilla.
6) Automatisoi identiteetin- ja pääsynhallinta.
On kyettävä varmistamaan kenellä ja millä laitteilla on oikeus käyttää myös pilvessä olevia tietojärjestelmiä.
7) Suojaa tietoasi tehokkaasti.
On tiedettävä missä luottamuksellista dataa kannattaa käsitellä, jakaa ja säilyttää sekä minkä datan pitää olla jatkuvasti vaikkapa Suomessa saatavilla. Mitä dataa voidaan ylipäänsä käsitellä julkipilven kautta?
8) Varmista hallittu sovelluskehitys.
Tietoturvan pitää sulauttaa myös DevOpsiin, kehityskulttuuriin sekä sovellustoimittajiin. Konteilla voidaan parantaa sovellusten tietoturvaa.
9) Muista turvallinen pilvisiirtymä.
Siirtymän riskienhallinta kannattaa todellakin tehdä ja automaattisilla kontrolleilla poistaa pullonkaulat.
10) Huolehdi jatkuvasta kehittämisestä.
Kyberuhkien lisääntyessä ja pilvipalveluiden kehittyessä on varmistettava ajan hermolla pysyminen.
Askarruttaako oman pilviympäristösi tietoturva?
Pilviympäristösi nykytilasta ja tärkeimmistä kehityskohteista saat tietoa Cloud Health Check -palvelullamme.
Kartoituksen myötä tunnistat ympäristöösi liittyvät riskialueet ja haasteet sekä löydät uusia väyliä kustannustehokkuuden, ketteryyden ja muutostenhallinnan tukemiselle.