Hakusanoilla ”cyber security” (tietoturva, kyberturva) tehtyjen Google-hakujen määrä on kymmenkertaistunut kymmenessä vuodessa. Samassa ajassa sanoilla ”cloud services” (pilvipalvelut) tehtyjen hakujen määrä on kasvanut seitsenkertaiseksi ja sanoilla ”data breach” (tietomurto) viisinkertaiseksi.
Ihmisiä kiinnostaa tietoturva ja tietoturvan puutteen seuraukset. Samaan aikaan pilvipalveluiden suosio ja tietoturvan taso kasvavat jatkuvasti.
Kuluttajat ovat silti yhä huolissaan pilvipalveluiden turvallisuudesta. Kirjoittamalla Googlen hakukenttään ”is cloud” syöttää automaattinen tekstinsyöttö lauseen jatkoksi ”safe”. Sanaparin ”cloud security” (pilvi turvallisuus) hakumäärä on myös kymmenkertaistunut kymmenessä vuodessa.
Tietoturvan merkitys kasvaa jatkuvasti. Tässä muutamia vinkkejä, jotka kannattaa ottaa huomioon pilvipalveluiden hankinnassa.
Luota ammattilaiseen ja teknologiaan
Pilvipalveluiden yleistyessä 2010-luvun alkuvuosina tietoturva herätti monessa kuluttajassa huolta. Asetelma tietoturvan suhteen on kuitenkin kääntynyt ja pilvipalvelu on lähtökohtaisesti turvallisempaa kuin oman konesalin ylläpitäminen. Suurista pilvipalvelutuottajista esimerkiksi Microsoft toimittaa uusinta tietoturvateknologiaansa vain pilvestä käsin.
Datan määrän räjähdysmäinen kasvu on tehnyt tietoturvasta entistä kompleksisempaa hallita. Tietoturvan ylläpito vaatii jatkuvaa seurantaa, ennakointia ja päivittäistä osaamisen kehittämistä. Onkin järkevää investoida turvallisuuteen ja hankkia osaavaa tietoturvaosaamista eikä räpeltää itse.
Tee riskiarvio
Tarkoituksenmukaisen ja oikean hintaisen tietoturvapalvelun hankinta edellyttää arviota tietoturvan riskeistä. Eri organisaatioiden riskit vaihtelevat toimialan, organisaation koon ja tietoturvakriittisyyden mukaan. Terveydenhuollon tai kansallisen turvallisuuden toimijoilta vaadittava tietoturvataso on merkittävästi korkeampi kuin pienen vähittäiskaupan. Riskiarvion tekoa ei voi täysin ulkoistaa, vaan siihen tarvitaan organisaatiotuntemusta, jota ei saa ulkopuolelta.
Muista tietosuoja-asetus
Pilvipalveluiden tuottajat hajauttavat usein datan useisiin eri palvelukeskuksiin, jotka voivat sijaita eri puolella maailmaa. Uusi Euroopan unionin tietosuoja-asetus (GDPR) edellyttää tietojen käsittelyn dokumentoimista ja rekisteröityjen informoimista esimerkiksi siitä, siirretäänkö dataa Euroopan unionin ulkopuolelle. Rekisterinpitäjiltä vaaditaan lisäksi tiettyjä toimenpiteitä, kuten kirjallisten käsittelysopimusten tekemistä.
Varmista, että pilvipalvelun toimittajasi käsittelee tietoja asetuksen mukaisesti ja että kaikki vaadittavat dokumentit on tehty asianmukaisesti.
Kari Heikkilä
Kirjoittaja on Rubic HR Finland Oy:n Managing Partner.
Lue Karin aikaisemmat vieraskynäblogit:
Miten sitoutat henkilöstön ohjelmistoprojektiin?
Ymmärrä ekosysteemi hankittavan ohjelmiston ympärillä
