Varmista pilvipalvelun tietoturva

Ammattimaisesti toteutettu pilvipalvelu on turvallinen, ja luotettava järjestelmätoimittaja kertoo avoimesti, kuinka palvelun turvallisuus on varmistettu. Katso mitä asioita kannattaa huomioida järjestelmätoimittajaa valitessaan ja kuinka varmistat omalla toiminnallasi, että yrityksesi tärkeät tiedot ovat turvassa.

Tästä artikkelista voit lukea:

Nykyihminen on aina liikkeessä, myös yrittäjä, joten työhuoneen pöydälle sijoitettu tietokone ei enää riitä palvelemaan tämän päivän tarpeita. Esimerkiksi yrityksen taloushallinnon tarpeisiin löytyy erilaisia pilvipalveluita, jotka ovat käytettävissä vaivattomasti missä tahansa.

– Yrityksen tukitoimintoihin liittyvät IT-ratkaisut kuten sähköposti, taloushallinnan sovellukset ja nettisivut on jo pitkään voinut hankkia pilvipalveluina. Mikään ratkaisu ei takaa täydellistä tietoturvaa, mutta pilvipalveluissa on paljon etuja perinteiseen omassa ylläpidossa olevaan IT-ratkaisuun verrattuna, kertoo perustaja ja asiantuntija Jani Kirmanen tietoturvan testaukseen ja kehittämiseen erikoistuneesta Silverskin Information Securitystä.

Ajasta ja paikasta vapautumisen lisäksi pilvipalvelulla on toinenkin merkittävä etu perinteiseen työpöytäohjelmistoon verrattuna: Sen avulla yrittäjä voi keskittyä ydinosaamiseensa, kun vastuu ohjelmiston päivityksistä, ylläpidosta, palvelimista, varmuuskopioinnista ja turvallisuudesta on IT-ammattilaisella.

– Harva yritys, jonka ydinosaaminen ei liity IT-järjestelmiin, yltää sellaiseen palvelutasoon kuin pilvipalveluntarjoajat. Kapasiteettia lisätään tarpeen mukaan ja alustan konfigurointiin ja ylläpitoon ei tarvitse uhrata omaa aikaa. Pilvipalvelut on suunniteltu hyvin skaalautuviksi ja vikasietoisiksi.

Lähtökohtaisesti pilvi on turva ja fyysinen laite on riski. Turvallisuuden takaamiseksi kannattaa kuitenkin huomioida muutamia asioita palveluntarjoajan valinnassa ja myös omissa toimintatavoissaan.

Jani Kirmanen - Silverskin Information Security - Admicom asiakaslehti

Varmista ainakin nämä ohjelmistotoimittajaa valitessasi

Toiminnanohjausjärjestelmällä hallitaan yrityksen elintärkeitä tietoja, joten turvallisuus ja toimintavarmuus ovat kriittisen tärkeitä. Selvitä ainakin ohjelmiston toimintavarmuus sekä varmuuskopiointi- ja päivityskäytännöt. Jos ohjelmistossa on jatkuvia käyttökatkoksia tai pahimmassa tapauksessa tärkeitä tietojasi hukkuu, ei palvelu ole tätä päivää. Myös varautuminen ulkoisiin hyökkäyksiin on tämän päivän palvelulle elinehto.

– Pilvessä on useiden yritysten arkaluonteistakin tietoa. Tämä houkuttelee ulkoisia hyökkääjiä ja myös ammattirikollisia hyödyntämään tietoturva-aukot. Uhka kääntyy pidemmän päälle kuitenkin eduksi, sillä palveluntarjoaja oppii mukautumaan hyökkääjien toimintatapoihin ja kehittyy sekä hyökkäysten tunnistamisessa ja niistä toipumisessa, että niiden ennaltaehkäisyssä.

Myös pilvipalveluihin liittyy fyysinen turvallisuus. Selvitä onko käytössä kulunvalvonta, jolla varmistetaan, etteivät ulkopuoliset pääse käsiksi fyysisiin palvelimiin, joissa on mm. yrityksesi kirjanpitoaineisto, sopimukset ja asiakastiedot. Entä varautuminen esimerkiksi vesivahinkoon, tulipaloon tai verkkoliikenteen katkeamiseen: Pystytäänkö palvelun jatkuvuus ja tietojesi tallessa pysyminen takaamaan myös poikkeustilanteessa?

Jo ohjelmistoa valittaessa on syytä kiinnittää huomioita myös toimivaan käyttäjähallintaan. Tunnusten luomisen ja käyttöoikeuksien jakamisen tulee onnistua vain siihen erikseen valtuutetuilta henkilöiltä. Lisäksi käyttöoikeuksia pitää voida määritellä yksittäisille käyttäjille siten, että heillä on pääsy vain oman roolinsa mukaisiin tietoihin.

Käyttäjä on tietoturvan heikoin lenkki

Nykyään tietoa käsitellään ja jaetaan lukuisissa eri laitteissa. Yrityksissä on vaikea hallita, mitä tietoja lähetetään ja vastaanotetaan. Usein tietoturvan heikoin lenkki löytyykin yksittäisestä käyttäjästä. Muutamalla toimenpiteellä varmistat, että pilvipalvelu on mahdollisimman turvallinen myös käyttäjän päässä.

Ohjeista henkilöstösi palvelun turvalliseen käyttöön. Kerro esimerkiksi, mitä tietoja palveluun saa tallentaa, mihin tarkoitukseen tietoa saa käyttää ja kenelle niitä saa jakaa sekä millä päätelaitteilla palveluun saa kirjautua. Tärkeää on myös päivittää internetselain ja käytettävät ohjelmistot aina viimeisimpään versioon, sillä niissä on paras tietoturva.

Muista varmistaa aina pilvipalvelua käyttäessäsi, että yhteys on salattu. Salatun yhteyden tunnistat selaimen osoiterivin https://-alusta tai lukon kuvasta osoitekentän edessä. Tuolloin voit käyttää palvelua verkkoyhteyden osalta yhtä luottavaisin mielin, kuin henkilökohtaista verkkopankkiasi.

Kun valitsee luotettavan palveluntarjoajan ja varmistaa tietoturvan kannalta järkevän toiminnan arjessaan, on pilvipalvelu useimmiten järkevin vaihtoehto. Tätä mieltä on myös Kirmanen:

– Pilvipalvelut ovat useimmiten yrityksen omaan IT-ylläpitoon verrattuna ylivoimaisia: arkkitehtuuri, ylläpitoprosessit ja jatkuva hyökkäyksistä oppiminen tekevät pilvipalveluista houkuttelevia vaihtoehtoja.  Pilvipalveluita harkitsevan yrityksen on kuitenkin itse tunnistettava mitkä ovat liiketoiminnan jatkuvuuden kannalta keskeiset riskit ja miten ne voivat realisoitua.

5 faktaa Adminetin tietoturvasta

1. Konesali ja laitteistot

Kansallinen palveluntarjoaja vastaa Adminetin konesalista, jonka kulunvalvonta, paloturvallisuus ja murtosuojaus ovat huipputasoa. Palvelinratkaisuissa on käytössä kolmitasoinen suojaus: kaikki laitteet on kahdennettu ja tiedot kopioidaan sekä peilataan reaaliaikaisesti toiselle palvelimelle, joten ne eivät katoa edes häiriötilanteissa.

2. Tietoliikenneyhteydet

Konesalista on korkealaatuiset valokaapeliyhteydet valtakunnan runkoverkkoon ja kaikki sisään tulevat ja ulos lähtevät tietoliikenneyhteydet on kahdennettu. Yhteys asiakkaan laitteilta palvelimille on salattu korkeatasoisella salauksella.

3. Virussuojaus ja palomuurit

Koulutetut ammattilaiset vastaavat tietoturvasta. Admicom suojaa jokaisen koneensa, jotka päivitetään automaattisesti.

4. Varmuuskopiointi ja päivitykset

Tiedot varmuuskopioidaan päivittäin ja ne ovat tallessa kahdessa fyysisesti eriytetyssä konesalissa. Ennakkoon testatut päivitykset tehdään säännöllisesti ammattilaisten toimesta. Näin varmistetaan ohjelmiston tietoturva ja ongelmaton käyttö päivityksen jälkeen.

5. Käyttäjän tietoturva

Asiakkaan tiedot ovat yrityskohtaisen yhteystunnuksen, käyttäjäkohtaisen tunnuksen ja salasanasuojauksen varmistamia. Pääkäyttäjä voi antaa uusia salasanoja ja määritellä työntekijän roolin mukaiset käyttöoikeudet. Jokainen tallennustapahtuma nimikoituu käyttäjän tiedoilla.

Turvallisuusalan asiakkaan näkökulma

Lesec Oy - Timo Iivarinen - Admicom asiakaslehti

Lesec Oy turvallisuusalan asiantuntijayritys, jolle myös yhteistyökumppaneiden turvallisuus ja luotettavuus ovat keskeisiä elementtejä kaikessa toiminnassa.

”Pidämme huolta asiakkaidemme turvallisuusteknistä järjestelmistä ja olemme osa heidän turvallisuusratkaisujaan. Keskeinen luottamus on tässä toiminnassa ensiarvoisen tärkeää.

Admicom on ymmärtänyt toiminnanohjausjärjestelmän toimittajana toimialaamme liittyvät erityiset tarpeet osaltaan hyvin ja osoittanut kantavansa yhteistyökumppanina osansa turvallisuuteen liittyvästä vastuusta.

Admicomin käyttämä konesali on rakenteellisesti esimerkillisesti suojattu, se on tehokkaasti kulunvalvottu ja teknisesti kattavasti valvottu. Olen vakuuttunut servereiden olevan hyvin suojattu myös tietoturvaan liittyvien asioiden osalta. Voin kertoa asiakkaillemme tarvittaessa asioiden olevan tällä saralla hyvin hoidossa meillä sekä yhteistyökumppanillamme Admicomilla.

Omat palvelimet yhteistyökumppanin toimiston nurkassa eivät ole hakemamme turvallisuuteen liittyvä kestävä ratkaisu. Kiitos Admicomille vakuuttavista tietoturvaan liittyvistä turvallisuusratkaisuista sekä siihen liittyvästä asianmukaisesta selvityksestä.”

Timo Iivarinen
Lesec Oy