SaaS = lyhenne sanoista Software As A Service, eli "ohjelmisto palvelutuoteena".
Nykypäivänä SaaS tuntuu olevan varsinainen muotisana ja SaaS-palvelut ovatkin kasvattaneet suosiotaan samaa tahtia pilvipalveluteknologian kehittymisen kanssa. Palveluna myytävät ohjelmistot ovatkin lähes aina pilvipohjaisia ratkaisuja.
Miksi?
Kun ohjelma on kiinni pilven reunassa, siitä on asiakkaalle pari huomattavaa etua:
- Asiakkaan ei tarvitse erikseen ostaa, asentaa ja latailla yhä uusia ohjelmistoversioita. Ne päivittyvät pilvessä automaattisesti ja jokainen asiakas saa heti käyttöönsä uusimmat toiminnot ilman lisämaksua ja odottelua.
- Pilvipohjaiset SaaS-palvelut ovat yleensä laiteriippumattomia ja toimivat siis sekä tabletilla, tietokoneella että puhelimella. Näin ollen ne sopivat liikkuvaan ja monipuoliseen työympäristöön.
On siis ymmärrettävää, että SaaS-mallista on tullut useimmilla markkina-alueilla ensisijainen ohjelmistojen toimitustapa. Se on hieno asia, mutta kolikolla on myös kääntöpuoli.
Kysymys kuuluu: Mikä on SaaS-palveluntarjoajasi tietoturvan taso?
Pilvipalvelu 🆚 On-Premise?
Useimmille lienee selvää mitä pilvipalvelulla ja On-Premise-palvelulla tarkoitetaan. Selvyyden vuoksi kerrottakoon kuitekin, että:
- Pilvipohjaisessa ratkaisussa ohjelmisto toimii talon ulkopuolella.
- On-Premise-mallissa taas koko systeemi, asennetaan laitteineen ja softineen asiakkaan omiin tiloihin, palvelinhuoneeseen tms.
Pilvipohjaisen lähestymistavan etuja ovat sen joustavuus, kustannustehokkuus ja yleensä myös skaalautuvuus. Yritys välttyy suurilta laiteinvestoinneilta ja laitteiden ylläpitokustannuksilta. Pilvipohjaisen ratkaisun kanssa pärjää usein mallikkaasti myös ilman omaa IT-henkilökuntaa, mutta On-Premise -ratkaisun kanssa se voi olla hieman haastavaa.
Tietoturvan osalta tilanne on kuitenkin se, että jos mennään On-Premise-mallilla, niin tietoturva on omissa käsissä. Samaa ei voi sanoa pilvipalvelusta.
Kenellä on vastuu ohjelmiston tietoturvasta?
Kun puhutaan SaaS-palvelusta, vastuu tietoturvasta on sekä myjällä, että asiakasyrityksellä itsellään.
Myyjä huolehtii kaikesta taustalla olevaan infrastruktuuriin liittyvästä, mutta asiakas on kuitenkin viimekädessä vastuussa tuotteen oikeasta, turvallisesta ja huolellisesta käytöstä.
Tietoturva on siis näissä tapauksissa kahden kauppa. Voitko luottaa siihen, että SaaS-palveluntarjoajasi suhtautuu asiaan yhtä vakavasti kuin sinä?
Muutama vinkki SaaS-paveluiden tietoturvan arviointiin
Minulla on 3 pientä vinkkiä SaaS-ratkaisujen tietoturvan arvioimiseen liittyen. Näillä on väliä silloin kun etsit uutta ohjelmistoa tai toimittajaa, mutta myös silloin kun analysoit markkinoita tai harkitset nykyisten palveluntarjoajiesi kilpailuttamista. (Kilpailuttaminenkin ON tärkeää silloin tällöin!)
Täältä pesee!
1) Valitse SaaS-toimittajasi huolella
Tämä on kaikkein tärkein asia! Kyse on ennen kaikkea luottamuksesta. Kuka on luottamuksenne arvoinen? Oletko varma? Miksi?
SaaS-pohjaisten ratkaisujen tarjonta on valtava. Vaihtoehtoja riittää jonoksi asti. Esimerkiksi itselleni tutulla kulujenhallinnan ja matkakulujen hallintaratkaisujen kentällä on nykyään todella monta eri toimijaa!
Tosiasia on se, että suurin asioista, joita tietoturvan eteen voidaan tehdä, kuuluu ohjelmistosi toimittajalle. Jos firmassa on tietoturvaa vähättelevä asenne, pitää hälytyskellojen soida. Jos käytät ohjelmistoa vaikkapa omien asiakkaidesi tietojen käsittelyyn ja ne vuotavat ulos, korvausvelvollisuus voi silti olla jaettu.
Kysy ojelmiston myyjältä heidän käyttämistään salauksista. Kysy myös missä ja miten tietoja fyysisesti säilytetään. Säilytetäänkö niitä kotimaassa, EU:n sisällä, EU:n ulkopuolella vai kenties toimitusjohtajan veljenpojan kellarissa? (NÖÖÖYYY!!!)
Entä varmuuskopiointi? Minne varmuuskopioidaan ja toimiiko salaukset myös tässä vaiheessa?
Aiemmin mainitttu hälläväliä-asenne tietoturvaan liittyen kuvastaa usein yrityskulttuuria, mutta kulttuuri elää tai kuolee sisäisten prosessien mukana. Millaiset sisäiset prosessit toimittajallasi on tietojenkäsittelyyn? Ovatko ne voimassa olevien lakien ja standardien mukaiset? Mitenkäs se GDPR?
Löytyykö sertifikaatteja? Entä dokumentointi?
Varmista myös aina, että sinun ja SaaS-toimittajasi välillä on kiinteä salassapitosopimus tietojenkäsittelystä. Jos sitä ei ole, voit joutua hankalaan välikäteen, jos toimittajan puolella tapahtuu kohtalokas tietosuojarikkomus.
Muista myös se, että vahvojen suojausten luominen ja ylläpitäminen ja hyvin dokumentoidut prosessit eivät ole SaaS-palveluntarjoajallesi ilmaisia. Siksi suosittelen, että mietit kahdesti ennen kuin valitset halvimman ratkaisun.
Vanhan sanonnan mukaan, köyhällä ei ole varaa halpaan, mutta ohjelmistojen ollessa kyseessä siihen ei ole oikein varaa edes miljonäärillä. Yhteistyö halvan ohjelmistotoimittajan kanssa voi pitkällä tähtäimellä olla kallis tie!
2) Luo ohjeistus pilvipohjaisten sovellusten käyttöön
Kaikkihan sen tietää miten tällaisia ohjelmia kuuluu käyttää? NOT! Säännöt eivät ole vain rajoituksia, vaan myös ohjeita ja linajuksia, joiden avulla käyttäjän on helpompi toimia oikein.
Epätietoisuus ja tietämättömyys aiheuttavat kardinaalin munauksia paljon useammin kuin tahallinen riskin otto.
Kun laaditte yritykseenne selkeän ohjeistuksen, joka sisältää parhaat käytännöt ja säännöt pilvipohjaisten ohjelmistojen käytölle, säästytte todennäköisesti monilta virheiltä.
Ihannetapauksessa myös esimerkiksi ne henkilöt, jotka yrityksessänne ostavat lisenssejä työntekijöillenne, tietävät sääntöjen avulla minkä tyyppisille tyontekijöille annetaan pääsy mihinkin työkaluihin ja millekin käyttäjätasoille.
Säännöissä on hyvä määritellä myös miten tuotteisiin pääsee käsiksi ja millä laitteilla niitä käytetään. Sääntöjen tulisi myös ohjata niitä tapoja, joilla yrityksesi kouluttaa työntekijöitä oikeaan käyttäytymiseen internet-pohjaisten ohjelmistoratkaisujen parissa.
Kenenkään ei pitäisi joutua erikseen itse pähkimään, kuinka heidän tulisi suojella itseään, henkilöllisyyttään, käyttäjätunniksiaan ja salasanojaan. Parhaiden käytänteiden tulisi ilmetä ohjeistuksesta.
3) Mieti, tarvitsetko erillisen työkalun SaaS-tietojen salaamiseen
Käytätkin ehkä jo useita eri SaaS-tuotteita ja toimittajillasi on vahvat turvatoimet. Ehkä sovelluksia on kuitenkin jo niin paljon, että kaikkien osalta ei enää aivan joka asiaa pysty huomioimaan?
Silloin voi olla jo viisasta investoida omaan suojauskerrokseen.
Kuten aiemmin sanottua, SaaS-palvelun tietoturva on kahden kauppa. Monet markkinoilla olevat ratkaisut auttavat sinua hallitsemaan osaasi turvallisuustehtävästä. Kohdassa 2 mainittu ohjeistus on kuitenkin hyvä olla olemassa, ennen kuin mietitään omaa suojauskerrosta.
Tietoturvaloukkauksia voi tapahtua monin eri tavoin.
Kyse voi olla:
- tietojen väärinkäytöstä
- tietojen varastamisesta
- vaarantuneita käyttäjätilejä
- jne.
Tällaiset voivat johtua:
- heikosta salasanavahvuudesta
- liiallisista käyttäjien käyttöoikeuksista
- jne.
Tällaiset rikkomukset kuuluvat lähtökohtaisesti aina SaaS-palvelun tilaajan tietoturvatontille.
Kun otat käyttöön organisaatiosi pilvipohjaisten työkalujen käyttöä koskevia ohjeistuksia ja sääntöjä, on myös varmistettava, että niitä noudatetaan. Se voi olla haaste, jos SaaS-viidakko on kasvanut kovinkin suureksi ja monimutkaiseksi.
Kannattaa siis tarkistaa, mitä joillakin isoilla toimijoilla, kuten McAfee ja RSI, on tarjolla tietoturvasi parantamiseksi.
Yhteistä vastuunkantoa?
Kuten alussa avasin asiaa, sinulla ja toimittajallasi on yhteinen vastuu SaaS-ratkaisujen tietoturvasta. Tämä on tärkeää muistaa. Vaikka oma oganisaatiosi huolehtisi tietototurvastaan kuinka mallikkaasti tahansa, niin välinpitämätön SaaS-kumppani voi vesittää kaiken. (Toimii toki toiseenkin suuntaan.)
Acubiz, on vakiintunut ja
sertifioitu pilvipohjaisten ohjelmistojen toimittaja.
Tuotteemme on suunniteltu työntekijöiden tuntikirjausten ja matkakulujen hallintaan. Meillä suhtaudutaan erittäin vakavasti tietosuojaan. Se on tärkeä osa tuotestrategiaamme. Ajattelemme, että vahva tietoturvataso suojaa myös sitä investointia, jonka asiakkaidemme ovat palveluumme tehneet.
Muista, että tämä kahden kauppa pätee myös toiseen suuntaan. Myös sinulla on oikeus asettaa vaatimuksia toimittajallesi.
PS:
Lue tuotteistamme lisää Acubizin verkkosivuilta »