Sivut

Näytetään tekstit, joissa on tunniste SaaS. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste SaaS. Näytä kaikki tekstit

keskiviikko 26. helmikuuta 2020

SaaS-ratkaisut ja tietoturva pilvessä?

SaaS = lyhenne sanoista Software As A Service, eli "ohjelmisto palvelutuoteena". 


Nykypäivänä SaaS tuntuu olevan varsinainen muotisana ja SaaS-palvelut ovatkin kasvattaneet suosiotaan samaa tahtia pilvipalveluteknologian kehittymisen kanssa. Palveluna myytävät ohjelmistot ovatkin lähes aina pilvipohjaisia ratkaisuja.

Miksi?

Kun ohjelma on kiinni pilven reunassa, siit√§ on asiakkaalle pari huomattavaa etua: 

  1. Asiakkaan ei tarvitse erikseen ostaa, asentaa ja latailla yhä uusia ohjelmistoversioita. Ne päivittyvät pilvessä automaattisesti ja jokainen asiakas saa heti käyttöönsä uusimmat toiminnot ilman lisämaksua ja odottelua.
  2. Pilvipohjaiset SaaS-palvelut ovat yleensä laiteriippumattomia ja toimivat siis sekä tabletilla, tietokoneella että puhelimella. Näin ollen ne sopivat liikkuvaan ja monipuoliseen työympäristöön.

On siis ymmärrettävää, että SaaS-mallista on tullut useimmilla markkina-alueilla ensisijainen ohjelmistojen toimitustapa. Se on hieno asia, mutta kolikolla on myös kääntöpuoli.

Kysymys kuuluu: Mikä on SaaS-palveluntarjoajasi tietoturvan taso?

Pilvipalvelu ūüÜö On-Premise? 

Useimmille lienee selv√§√§ mit√§ pilvipalvelulla ja On-Premise-palvelulla tarkoitetaan. Selvyyden vuoksi kerrottakoon kuitekin, ett√§: 

  • Pilvipohjaisessa ratkaisussa ohjelmisto toimii talon ulkopuolella.
  • On-Premise-mallissa taas koko systeemi, asennetaan laitteineen ja softineen asiakkaan omiin tiloihin, palvelinhuoneeseen tms. 

Pilvipohjaisen l√§hestymistavan etuja ovat sen joustavuus, kustannustehokkuus ja yleens√§ my√∂s skaalautuvuus. Yritys v√§lttyy suurilta laiteinvestoinneilta ja laitteiden yll√§pitokustannuksilta. Pilvipohjaisen ratkaisun kanssa p√§rj√§√§ usein mallikkaasti my√∂s ilman omaa IT-henkil√∂kuntaa, mutta On-Premise -ratkaisun kanssa se voi olla hieman haastavaa. 

Tietoturvan osalta tilanne on kuitenkin se, että jos mennään On-Premise-mallilla, niin tietoturva on omissa käsissä. Samaa ei voi sanoa pilvipalvelusta.

Kenell√§ on vastuu ohjelmiston tietoturvasta? 

Kun puhutaan SaaS-palvelusta, vastuu tietoturvasta on sek√§ myj√§ll√§, ett√§ asiakasyrityksell√§ itsell√§√§n. 

Myyj√§ huolehtii kaikesta taustalla olevaan infrastruktuuriin liittyv√§st√§, mutta asiakas on kuitenkin viimek√§dess√§ vastuussa tuotteen oikeasta, turvallisesta ja huolellisesta k√§yt√∂st√§. 

Tietoturva on siis n√§iss√§ tapauksissa kahden kauppa. Voitko luottaa siihen, ett√§ SaaS-palveluntarjoajasi suhtautuu asiaan yht√§ vakavasti kuin sin√§? 

Muutama vinkki SaaS-paveluiden tietoturvan arviointiin

Minulla on 3 pient√§ vinkki√§ SaaS-ratkaisujen tietoturvan arvioimiseen liittyen. N√§ill√§ on v√§li√§ silloin kun etsit uutta ohjelmistoa tai toimittajaa, mutta my√∂s silloin kun analysoit markkinoita tai harkitset nykyisten palveluntarjoajiesi kilpailuttamista. (Kilpailuttaminenkin ON t√§rke√§√§ silloin t√§ll√∂in!) 

Täältä pesee!

1) Valitse SaaS-toimittajasi huolella 

Tämä on kaikkein tärkein asia! Kyse on ennen kaikkea luottamuksesta. Kuka on luottamuksenne arvoinen? Oletko varma? Miksi?

SaaS-pohjaisten ratkaisujen tarjonta on valtava. Vaihtoehtoja riittää jonoksi asti. Esimerkiksi itselleni tutulla kulujenhallinnan ja matkakulujen hallintaratkaisujen kentällä on nykyään todella monta eri toimijaa!

Tosiasia on se, että suurin asioista, joita tietoturvan eteen voidaan tehdä, kuuluu ohjelmistosi toimittajalle. Jos firmassa on tietoturvaa vähättelevä asenne, pitää hälytyskellojen soida. Jos käytät ohjelmistoa vaikkapa omien asiakkaidesi tietojen käsittelyyn ja ne vuotavat ulos, korvausvelvollisuus voi silti olla jaettu.

Kysy ojelmiston myyj√§lt√§ heid√§n k√§ytt√§mist√§√§n salauksista. Kysy my√∂s miss√§ ja miten tietoja fyysisesti s√§ilytet√§√§n. S√§ilytet√§√§nk√∂ niit√§ kotimaassa, EU:n sis√§ll√§, EU:n ulkopuolella vai kenties toimitusjohtajan veljenpojan kellarissa? (N√Ė√Ė√ĖYYY!!!) 

Entä varmuuskopiointi? Minne varmuuskopioidaan ja toimiiko salaukset myös tässä vaiheessa?

Aiemmin mainitttu hälläväliä-asenne tietoturvaan liittyen kuvastaa usein yrityskulttuuria, mutta kulttuuri elää tai kuolee sisäisten prosessien mukana. Millaiset sisäiset prosessit toimittajallasi on tietojenkäsittelyyn? Ovatko ne voimassa olevien lakien ja standardien mukaiset? Mitenkäs se GDPR?

Löytyykö sertifikaatteja? Entä dokumentointi?

Varmista myös aina, että sinun ja SaaS-toimittajasi välillä on kiinteä salassapitosopimus tietojenkäsittelystä. Jos sitä ei ole, voit joutua hankalaan välikäteen, jos toimittajan puolella tapahtuu kohtalokas tietosuojarikkomus.

Muista my√∂s se, ett√§ vahvojen suojausten luominen ja yll√§pit√§minen ja hyvin dokumentoidut prosessit eiv√§t ole SaaS-palveluntarjoajallesi ilmaisia. Siksi suosittelen, ett√§ mietit kahdesti ennen kuin valitset halvimman ratkaisun. 

Vanhan sanonnan mukaan, köyhällä ei ole varaa halpaan, mutta ohjelmistojen ollessa kyseessä siihen ei ole oikein varaa edes miljonäärillä. Yhteistyö halvan ohjelmistotoimittajan kanssa voi pitkällä tähtäimellä olla kallis tie!


2) Luo ohjeistus pilvipohjaisten sovellusten k√§ytt√∂√∂n 

Kaikkihan sen tiet√§√§ miten t√§llaisia ohjelmia kuuluu k√§ytt√§√§? NOT! S√§√§nn√∂t eiv√§t ole vain rajoituksia, vaan my√∂s ohjeita ja linajuksia, joiden avulla k√§ytt√§j√§n on helpompi toimia oikein. 

Ep√§tietoisuus ja tiet√§m√§tt√∂myys aiheuttavat kardinaalin munauksia paljon useammin kuin tahallinen riskin otto. 

Kun laaditte yritykseenne selke√§n ohjeistuksen, joka sis√§lt√§√§ parhaat k√§yt√§nn√∂t ja s√§√§nn√∂t pilvipohjaisten ohjelmistojen k√§yt√∂lle, s√§√§stytte todenn√§k√∂isesti monilta virheilt√§. 

Ihannetapauksessa myös esimerkiksi ne henkilöt, jotka yrityksessänne ostavat lisenssejä työntekijöillenne, tietävät sääntöjen avulla minkä tyyppisille tyontekijöille annetaan pääsy mihinkin työkaluihin ja millekin käyttäjätasoille.

S√§√§nn√∂iss√§ on hyv√§ m√§√§ritell√§ my√∂s miten tuotteisiin p√§√§see k√§siksi ja mill√§ laitteilla niit√§ k√§ytet√§√§n. S√§√§nt√∂jen tulisi my√∂s ohjata niit√§ tapoja, joilla yrityksesi kouluttaa ty√∂ntekij√∂it√§ oikeaan k√§ytt√§ytymiseen internet-pohjaisten ohjelmistoratkaisujen parissa.  

Kenenk√§√§n ei pit√§isi joutua erikseen itse p√§hkim√§√§n, kuinka heid√§n tulisi suojella itse√§√§n, henkil√∂llisyytt√§√§n, k√§ytt√§j√§tunniksiaan ja salasanojaan. Parhaiden k√§yt√§nteiden tulisi ilmet√§ ohjeistuksesta. 

3) Mieti, tarvitsetko erillisen työkalun SaaS-tietojen salaamiseen

K√§yt√§tkin ehk√§ jo useita eri SaaS-tuotteita ja toimittajillasi on vahvat turvatoimet. Ehk√§ sovelluksia on kuitenkin jo niin paljon, ett√§ kaikkien osalta ei en√§√§ aivan joka asiaa pysty huomioimaan? 

Silloin voi olla jo viisasta investoida omaan suojauskerrokseen.

Kuten aiemmin sanottua, SaaS-palvelun tietoturva on kahden kauppa. Monet markkinoilla olevat ratkaisut auttavat sinua hallitsemaan osaasi turvallisuusteht√§v√§st√§. Kohdassa 2 mainittu ohjeistus on kuitenkin hyv√§ olla olemassa, ennen kuin mietit√§√§n omaa suojauskerrosta. 

Tietoturvaloukkauksia voi tapahtua monin eri tavoin.  

Kyse voi olla: 
  • tietojen v√§√§rink√§yt√∂st√§ 
  • tietojen varastamisesta
  • vaarantuneita k√§ytt√§j√§tilej√§ 
  • jne.
T√§llaiset voivat johtua: 
  • heikosta salasanavahvuudesta 
  • liiallisista k√§ytt√§jien k√§ytt√∂oikeuksista 
  • jne.
T√§llaiset rikkomukset kuuluvat l√§ht√∂kohtaisesti aina SaaS-palvelun tilaajan tietoturvatontille. 

Kun otat k√§ytt√∂√∂n organisaatiosi pilvipohjaisten ty√∂kalujen k√§ytt√∂√§ koskevia ohjeistuksia ja s√§√§nt√∂j√§, on my√∂s varmistettava, ett√§ niit√§ noudatetaan. Se voi olla haaste, jos SaaS-viidakko on kasvanut kovinkin suureksi ja monimutkaiseksi. 

Kannattaa siis tarkistaa, mit√§ joillakin isoilla toimijoilla, kuten McAfee ja RSI, on tarjolla tietoturvasi parantamiseksi. 

Yhteist√§ vastuunkantoa? 

Kuten alussa avasin asiaa, sinulla ja toimittajallasi on yhteinen vastuu SaaS-ratkaisujen tietoturvasta. Tämä on tärkeää muistaa. Vaikka oma oganisaatiosi huolehtisi tietototurvastaan kuinka mallikkaasti tahansa, niin välinpitämätön SaaS-kumppani voi vesittää kaiken. (Toimii toki toiseenkin suuntaan.)

Acubiz, on vakiintunut ja sertifioitu pilvipohjaisten ohjelmistojen toimittaja. 

Tuotteemme on suunniteltu ty√∂ntekij√∂iden tuntikirjausten ja matkakulujen hallintaan. Meill√§ suhtaudutaan eritt√§in vakavasti tietosuojaan. Se on t√§rke√§ osa tuotestrategiaamme. Ajattelemme, ett√§ vahva tietoturvataso suojaa my√∂s sit√§ investointia, jonka asiakkaidemme ovat palveluumme tehneet. 

Muista, että tämä kahden kauppa pätee myös toiseen suuntaan. Myös sinulla on oikeus asettaa vaatimuksia toimittajallesi.

PS:
Lue tuotteistamme lis√§√§ Acubizin verkkosivuilta »