Kuinka varmistaa tietojen turvallisuus pilvipalveluissa?
Alunperin julkaistu ficolo.com sivustolla vuonna 2021.
Pilvipalvelujen käyttö on kasvanut vuosien saatossa sellaisella vauhdilla, että on hyvä pysähtyä ja arvioida miten tietoturva on toteutettu. Usein uusia palveluita nopealla tahdilla käyttöön ottaessa jää tietoturva helposti vain jälkiajatukseksi. Pilvipalvelut vaativat kuitenkin erilaisia ratkaisuja verrattuna perinteisempään sovellustietoturvaan sekä enemmän ajan tasalla olevaa erikoisosaamista.
Pilvipalveluita hankittaessa voi helposti tuudittautua ajatukseen, että kaikki vastuu tietoturvasta jäisi yksin palveluntarjoajan harteille – näin ei kuitenkaan tosiasiallisesti ole vaan tietoturva jää suurilta osin käyttäjän vastuulle. Palvelun hankkijan on myös itse harkittava sitä, millaisia tietoja pilveen siirretään ja kuinka tietoturvakriittisiä ne ovat. Pilvipalveluita kuitenkin koskevat samat uhat ja riskit kuin muitakin ratkaisuja. Pilvipalveluiden tietoturvassa on myös eroja eri toteutusmallien välillä.
Pilvipalveluiden turvallisuuden arviointikriteeristö
Pilvipalveluiden turvallisuuden arviointikriteeristö, tai PiTuKri, on Traficomin Kyberturvallisuuskeskuksen julkaisema tarkentava ohje pilvipalveluiden turvallisuuden arviointiin. Kriteeristössä määritellään eri tietotyypit sekä annetaan suositukset sille, millaisia ratkaisuja eri turvaluokituksen omaavat tiedot vaativat. Erilaisiin tietotyyppeihin kohdistuu erilaisia riskejä ja ne vaativat eri tasoisia suojaustoimenpiteitä.
Turvallisuuden näkökulmasta on keskeistä millainen varmuus palveluntarjoajan kyvykkyydestä ja luotettavuudesta voidaan saada. Sellaisissa tilanteissa, joissa palvelun tuottaminen tapahtuu useamman kuin yhden organisaation toimesta, tulisi riskit arvioitava kaikkien palveluntuottamisessa mukana olevan organisaation osalta.
Kriteeristön tarkoitus ei kuitenkaan ole eri pilvipalveluiden laittaminen paremmuusjärjestykseen vaan antaa organisaatioille neuvoja siihen, mikä palvelu on kuhunkin tarkoitukseen riittävän turvallinen vaihtoehto. Salassa pidettävää tietoa käsiteltäessä on pilvipalvelun tietoturvaan kiinnitettävä erityistä huomiota.
Pilvipalvelujen toteutusmallit
Pilvipalvelut voidaan toteuttaa usealla eri toteutusmallilla Yksityinen pilvi mahdollistaa tyypillisesti korkeamman turvatason palvelut kuin muut pilvipalveluiden toteutusmallit. Se mahdollistaa luotettavan erottelun muista tietojenkäsittely-ympäristöistä, käyttäjäorganisaatioista ja ulkoisista toimijoista. Yksityistä pilveä verrattaessa julkisiin pilvipalveluihin, kriteeristössä sanotaan: ”Julkisessa pilvessä tietoihin kohdistuu yksityistä pilveä laajempi hyökkäyspinta-ala muun muassa palvelun muiden käyttäjien tai ulkoisten toimijoiden kautta.” Toteutusmallina voidaan käyttää myös yhdistelmäpilveä, joka yhdistää yksityisen ja julkisen pilven. Tällöin yksityisessä pilvessä ajettavaa yksityispilveä täydennetään julkisesta pilvestä hankittavilla palveluilla.
PiTuKri:a käyttämällä yritykset saavat tärkeän työkalun arvioidessaan omia pilvipalveluitaan ja valitessaan mikä toteutusmalli sopii parhaiten käyttötarkoitukseen Vaatimusten täyttymisen arvioimiseen voidaan käyttää muita viitekehyksiä ja voimassa olevia sertifikaatteja.
Sertifikaatit ja palvelut
Ficolo pystyy tarjoamaan asiakkaalle sekä kapasiteettia kansainvälisistä julkipilvistä sekä täysin dedikoitua tai jaettua kapasiteettia, joka tuotetaan Suomessa Ficolon omistamista ja hallinnoimista konesaleista. Kun asiakas ottaa pilviympäristönsä hallintaansa Cloud Management Platform – tuotteella, pystyy asiakas hallinnoimaan kaikkia eri vyöhykkeen palveluita yhden konsolin kautta. Palvelumme ovat saatavilla kaikista konesaleistamme – The Air Helsingissä, The Rock Porissa sekä The Deck Tampereella
Pystymme toteuttamaan esimerkiksi tietojen varmuuskopioinnin kahden tai useamman konesalin ratkaisuna, jolloin tiedot ovat maantieteellisesti hajautettu. Turvallisuuspalvelumme on suunniteltu tukemaan pilvipalveluita ja varmistamaan palveluiden saatavuus. Portfolio muodostuu monipuolisista monitorointi- ja ylläpitopalveluista, verkon turvapalveluista sekä muista palveluista, joilla varmistetaan pilvipalveluidesi jatkuvuus ja turvallisuus. Palveluilla autamme sinua saamaan kattavan, joustavan ja helposti hallittavan pilviratkaisun, joka mukautuu tietoturvan vaatimuksiin ja käyttämäsi kapasiteetin tarpeisiin.
Kaikki toimipisteemme ovat Kiwa Inspectan auditoimia ja meille on myönnetty sekä ISO 27001(tietoturvan hallintajärjestelmä) että ISO 22301 (liiketoiminnan jatkuvuuden hallintajärjestelmä) sertifikaatit – The Rock konesalimme on myös auditoitu vastaamaan Katakri IV tasoa. Toimintojen kehittäminen on keskeinen osa Ficolon toimintamallia ja toimimme aktiivisesti palvelujemme kehittämiseksi ja myös uusien sertifikaattien hankkimiseksi.
Autamme mielellämme, jos yrityksenne harkitsee pilvipalveluiden käyttöönottoa tai kaipaatte apua pilvipalveluiden tietoturvan arvioimisessa –ota yhteyttä.