Pilvipalvelut tekevät helposti käyttöönotettavat, laajennettavat ja tehokkaat palvelut mahdollisiksi organisaatioille ja kuluttajille. Parhaimmillaan pilvipalvelut mahdollistavat ajasta, paikasta ja käytettävästä tietoteknisestä laitteesta riippumattoman tietotyön.
Mikäli siirtymää ei toteuteta huolellisesti, voidaan sekoittaa organisaation tapaa toimia ja ihmisten päivittäisiä rutiineja ja tuoda uusia tietoturvariskejä luottamuksellisen tiedon käsittelyyn. Tarvitaan hyvät suunnitelmat ja tukea, jotta edistetään tietoturvallisten rutiinien kehittymistä, kun ajasta, paikasta ja laitteesta riippumaton tietotyö saapuu organisaatioihin pilvipalveluiden siivittämänä.
Luottamuksellisuus on osa tietoturvaa
Tietoturva on tietojen, järjestelmien ja palveluiden asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä (Valtionhallinnon tietoturvallisuuden johtoryhmä, VAHTI).
Tietoturva rakentuu kolmelle periaatteelle: luottamuksellisuudelle, eheydelle ja käytettävyydelle (CIA Triad), joiden tehtävänä on varmistaa, että järjestelmissä olevaan ajantasaiseen tietoon pääsee käsiksi vain siihen oikeutetut henkilöt. Tietoon käsiksi pääsyä rajoitetaan esimerkiksi siksi, että tieto on sensitiivistä henkilötietoa, liiketoimintakriittistä tietoa tai että asiattomien pääsy tietoon voi vaarantaa jopa kansallisen turvallisuuden.
Luottamuksellisuus tarkoittaa sitä, että järjestelmät ja niissä olevat tiedot ovat vain niiden käyttöön oikeutettujen käytettävissä. Tällöin tietoja ei paljasteta henkilöille, joilla ei ole oikeutta tietoon, eikä heille anneta mahdollisuutta muuttaa tai tuhota tietoja.
Eheys puolestaan tarkoittaa, että järjestelmät ja niissä olevat tiedot ovat luotettavia, ajantasaisia ja oikein. Ne eivät myöskään ole hallitsemattomasti muutettavissa ”laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena” (VAHTI). Käytettävyys merkitsee, että järjestelmät ja niissä olevat tiedot ovat niihin oikeutettujen käytettävissä määritellyn ajan puitteissa.
Tietoon käsiksi pääsyn rajoittaminen osana tietoturvallisia rutiineja
Tietoturva ilmentää organisaation, siellä työskentelevien sekä liiketoimintakumppanien tapaa toimia. Pilvipalveluiden käyttöönotto ei saa vaarantaa olemassa olevia, tietoturvallisia rutiineja vaan niiden tulee tukea uusien, tietoturvallisten rutiinien kehittämistä organisaatiossa.
Yrityksen toimintatapojen tulee täyttää tietoturvavaatimukset ja hyödynnettävän teknologian lisäksi ihmisten tulisi ymmärtää tietoturvan tärkeys. Tässä tarvitaan henkilöstön ja yrityksen kanssa työskentelevien henkilöiden jatkuvaa opastusta ja koulutusta.
On tärkeää ymmärtää, ettei kaikki organisaatiossa oleva tieto ole luottamuksellista, mutta luottamuksellisen tiedon käsittelyssä pitää olla tietoturvalliset käsittelytavat ja kontrollit. Tietojen luokittelulla voidaan erottaa luottamuksellinen tieto ja rakentaa sopivat kontrollit tiedon suojaamiseksi.
Organisaation tietoturvallisia työn tekemisen rutiineja ja tiedon suojausta voidaan edistää sopivalla teknologialla. Microsoftin pilvipalveluiden Azure Information Protection (AIP) tarjoaa välineitä sen varmistamiseen, että tietoon pääsee käsiksi vain siihen oikeutetut henkilöt.
Välineiden avulla ei ainoastaan sallita suojattujen tiedostojen jakamista siihen oikeutettujen henkilöiden kesken vaan myös rajoitetaan sitä, miten ja kuka tietoon pääsee käsiksi. Esimerkiksi tietovuotojen mahdollisuutta voidaan rajoittaa siten, että estetään luottamuksellisten asiakirjojen aukaisu tunnistamattomista verkoista.
Koneoppimista hyödynnetään jo nyt tiedon automaattisessa luokittelussa ja suojauksessa. Esimerkiksi käyttäjän syöttäessä luottokorttinumeron excel-taulukkolaskentaan, numero tunnistetaan luottokorttitiedoksi ja excel-tiedosto suojataan automaattisesti. Automaattinen suojaus on johdonmukainen tapa suojata tietoa ja luokitteluvirheiden korjaaminen on helpompaa kuin käsin tehtävässä suojauksessa.
Luokittelumallin säännöt pitää kuitenkin pitää yksinkertaisina, ne tulee kunnolla kouluttaa henkilöstölle ja niistä tulee saada jatkuvaa palautetta organisaatiossa työskenteleviltä. Yksinkertaisesta luokittelumallista voidaan helposti siirtyä monipuolisempaan malliin. Luokittelusääntöjä pitää kuitenkin testata pienellä määrällä käyttäjiä ennen niiden laajentamista organisaatiossa. Kun tieto on luokiteltu, organisaatiot voivat liittää luokiteltuun tietoon erilaisia tietoturvakontrolleja.
Älä anna snowdeneille joululahjaa vaan kehitä organisaatiollesi tietoturvalliset rutiinit ja ota käyttöön niitä tukevat järjestelmäominaisuudet!
Lue lisää tietoturvasta ja tiedon suojauksesta palveluistamme