CASE Tilaajavastuu & pilvipalveluiden monitorointi

Pilvipalvelut ovat yleistyneet nopeasti ja tulleet osaksi jokapäiväisiä toimintoja. Niiden saatavuuden, käyttöönoton ja käytön helppous on mahdollistanut sen, että kuka tahansa voi aloittaa pilvisovellusten käytön vain muutamalla klikkauksella. Useassa organisaatiossa liiketoimintayksiköt ovat tuoneet IT-osaston tietämättä oman varjo-IT:n osaksi päivittäistä toimintaa. Tämä on tuonut organisaatioille uudenlaisia haasteita tietoturvan ja liiketoiminnan jatkuvuuden varmistamiseen. Herää mm. seuraavia kysymyksiä: Onko organisaatioilla tieto käytössä olevista pilvipalveluista ja näkyvyys niiden käyttöön? Mitä tietoa pilveen talletetaan ja mihin? Millä tasolla organisaatioissa on pilvisovellusten käytön kontrollointi?

Miten suojautua, jos ei ole näkyvyyttä?

Suomen Tilaajavastuu on tilaajavastuu- ja veronumerolain noudattamista helpottavia palveluita tarjoava organisaatio, joka on kasvanut nopeasti – myös henkilöstömäärältään. Nykypäivänä erilaiset pilvi-palvelut ovat suosittuja ja täten varsinkin voimakkaassa kasvussa olevissa organisaatiossa niiden määrän voidaan olettaa olevan korkea. Aiemmin isossa organisaatiossa työskennellyt Tilaajavastuun palvelupäällikkö Rikhard Tiula tiesi, että tämä tulisi huomioida toiminnassa liiketoiminnan jatkuvuuden varmistamiseksi. Hän nosti asian pöydälle ja havaittiin ettei riittävää näkyvyyttä ja ymmärrystä käytössä oleviin pilvipalveluihin ja niiden riskeihin ollut. Näin ollen lähdettiin miettimään mitä asialle voisi tehdä.

Edistyksellinen ratkaisu nykyajan ympäristöihin

Etsintä johti Tilaajavastuun Ymonin tarjoaman Netskope Discovery -ratkaisun luo. Ratkaisun avulla saadaan näkyvyys organisaatiossa käytettäviin pilvipalveluihin ja niiden riskeihin sekä pystytään kontrolloimaan yksityiskohtaisesti mitä pilvipalveluita tai niiden osia sallitaan. He tutustuivat ratkaisuun ja totesivat, että siitä löytyvät elementit, jotka tukevat heidän tavoitteitaan. ”Netskopella on riittävä kyvykkyys ja miehitys analysoida pilvipalveluyritysten luotettavuutta ja pitää ajan tasalla heidän omaa Cloud Confidence Index -rekisteriä”, toteaa Tiula. Tärkeää oli myös työkalun soveltuvuus koko henkilöstölle, sillä Tilaajavastuu halusi sen olevan jokaisen työntekijän käytettävissä. ”Näin kaikki pääsevät katsomaan millaisia pilvipalveluyrityksiä on ja lukemaan niistä tehdyt analyysit sekä näkemään mitä pilvipalveluja Tilaajavastuulla on käytössään”, selittää Tiula. Tiula huomauttaa myös, että ymmärrystä lisäämällä, jokainen voi kantaa vastuunsa. ”Ratkaisun käyttöliittymä onkin erittäin onnistunut ja hyvin suunniteltu, asiat on helppo löytää ja ratkaisua on helppo ylläpitää”, toteaa Tiula. Suoraan koko organisaation yhteiseksi työkaluksi ratkaisu ei kuitenkaan taipunut yksityiskohtaisuutensa takia. Ratkaisun räätälöinti kuitenkin onnistui ja näin työkalu saatiin vastaamaan tarpeita. Myös asiakaspalveluun ollaan Tilaajavastuulla oltu erittäin tyytyväisiä. ”Ymon on hoitanut hommansa asiantuntevasti ja vaikka pienempi asiakas Netskopelle varmasti olemmekin, niin olemme saaneet korkean tason palvelua myös heiltä. Asiakaspalvelumielessä täyden kympin suoritus.” kehuu Tiula.

Monipuolinen apu; tietoturvalle, tietosuojalle ja liiketoiminnalle

Suomen Tilaajavastuu hyödynsi työkalua jo ennen kuin se otti tuotteen sen päätarkoitukseen ajateltuun käyttöön. Tiula antaa esimerkkinä tilanteen, jossa työntekijät halusivat ottaa käyttöönsä uuden web-konferenssipalvelun. Ennen päätöstä he halusivat tietää enemmän palvelusta ja sen riskeistä, joten he katsoivat millaiseksi Netskope on palvelun arvioinut. Heille ilmeni muun muassa, että sovellus on saanut matalan luotettavuus-indeksin ja että pilvipalvelun tarjoajat omistavat myös kaiken datan, joka menee palvelun kautta. Näiden tietojen perusteella he tekivät päätöksen ettei kyseistä palvelua oteta Tilaajavastuulla käyttöön edes rajoitetuin oikeuksin. ”Kyseessä on hyvä esimerkki siitä, miten haluamme reagoida pilvipalvelujen käyttöön jo siinä vaiheessa, kun ihmiset pohtivat niiden käyttöönottoa”, kertoo Tiula. ”Tällaisia palveluita on kymmeniä tuhansia vain muutaman klikkauksen päässä käyttövalmiudesta, siksi onkin tärkeää muodostaa ihmisille ensin yleisymmärrys asiasta”, selittää Tiula. Tämän jälkeen on tarkoituksena laajentaa palvelun käyttöä entisestään. Myös EU:n uusi tietosuoja-asetus luo jatkossa organisaatioille painetta lisätä tietoisuutta tietojensa käsittelytavoista ja tuoda työkaluja, joilla varmistaa tietoturvan lisäksi myös tietosuoja-vaatimusten toteutuminen.

Lataa Case PDF-tiedostona tästä.