Ads 468x60px

keskiviikko 11. joulukuuta 2013

Pilvipalvelujen turvallisuudesta

KPMG:n pilvipalvelututkimuksen mukaan yli 50% yrityksistä käyttää erilaisia pilvipalveluja mm. HR:n tarpeisiin, IT:n hallintaan, toimisto- ja sähköpostiohjelmiin sekä myynnin ja asiakkaiden hallintaan. Vastanneista 80% aikoo käyttää samoja palveluja myös seuraavien 18 kuukauden sisällä. Tämän lisäksi pilvipalveluiden käyttö tulee tutkimuksen mukaan laajenemaan lähivuosina voimakkaasti toimitusketjujen ja logistiikan, rahoituksen, business intelligencen, tietoturvan sekä toiminnan ohjauksen tarpeisiin.

Luonnollisesti pilvipalveluiden yleistymisellä ja käyttöönoton laajenemisella enemmän bisneskriittisiin toimintoihin ja prosesseihin on huomattavia vaikutuksia organisaatioiden tietoturvaan. Sen seurauksena vaatimukset pilvipalveluiden tietoturvalle ja sen varmentamiselle kasvavat. Tutkimukseen vastanneista liiketoimintajohtajista 30% näkee tietovuodot ja tietosuojan loukkaukset pilvipalveluiden käytön keskeisimpänä riskinä, mikä toisaalta on hidastanut pilvipalveluiden käyttöönottoa. Pilvipalvelutarjoajien näkökulmasta haasteina ovat oman liiketoiminnan nopea kasvu, asiakkaiden ja lainsäädännön kasvavat tietoturvavaatimukset sekä uusien tietoturvauhkien perässä pysyminen.

Sekä pilvipalvelujen käyttäjien että tarjoajien haasteita helpottamaan on kehitetty erittäin käyttökelpoisia ISAE-raportteja, joiden käyttö on kasvanut myös Suomessa viime vuosina voimakkaasti. Lyhyesti ISAE-lausuntojen eroista; ISAE 3402 -varmennuslausunto lausuu taloudellisen raportoinnin kannalta merkittävistä yleisistä IT-kontrolleista (nk. GITC) ja ISAE 3000 -varmennuslausunto taas voidaan tuottaa lähes mistä kontrolliympäristöstä tahansa. Suomessa ISAE 3000 lausuntoja on tuotettu mm. Tietoturvatasoista, KATAKRIsta, fyysisistä kontrolleista konesaleissa (esim. VAHTI 2/2013 tai KATAKRI F-osio), ISO27001, ISO22301 ja WLA-SCS -standardien mukaisuudesta. Listaa voi jatkaa lähes millä tahansa standardilla tai kontrolliviitekehyksellä. Lisää aiheesta aiemmassa blogitekstissäni standardien eroista.

Koska pilvipalvelujen luonne tukee nopeaa käyttöönottoa, on tärkeää että myös niiden turvallisuudesta ja vaatimustenmukaisuudesta varmistuminen on helppoa ja se tukee nopeaa päätöksentekoa. Monilla aloilla (kuten rahoitusalalla) toimittajien riskien arviointi ja auditointi on pakollista tehdä säännöllisesti. Tällaisten auditointien ajoittaminen ja sopivien resurssien saaminen juuri tiettyyn aikaan saattaa olla haasteellista. Kun pilvipalvelun tarjoajalla on jo valmiiksi olemassa ISAE-lausunto vaatimustenmukaisuudesta, ei asiakkaan tarvitse tehdä itse aikaa vievää auditointia, ja toimittajan riskiarviointi on nopeampaa suorittaa.

Pilvipalvelun tarjoajan näkökulmasta ISAE-lausunnon hyödyt näkyvät auditointien määrän vähenemisessä ja ajan sekä resurssien käytön optimoimisessa. Myös palveluntarjoajan intresseissä on asiakkaiden käyttöönoton ja päätöksenteon nopeus ilman monimutkaisia ja haasteellisia auditointeja. Yksi hyvin määritellyn kontrolliympäristön ISAE-auditointi ja raportti vastaa moniin tarpeisiin ja useimpien asiakkaiden auditointivaatimuksiin. Lisäksi ISAE-auditointi ja siitä annettu SOC-lausunto alkaa nykypäivänä olla merkittävä kilpailuetu jo tarjousvaiheessa.

Mikäli kiinnostuit asiasta, ota yhteyttä ja sovi tapaaminen niin saat nimenomaan pilvipalvelujen varmistuslausuntoja koskevan thought leadership-raporttimme, joka ei vielä toistaiseksi ole julkisessa jakelussa. KPMG:n varmentamislausuntoja yleisemmin käsittelevä white paper on ladattavissa täältä.

Ei kommentteja:

Lähetä kommentti