Pilvipalvelut ovat monelle pk-yritykselle arkipäivää: tiedostot ovat Microsoft 365:ssä, asiakkuustiedot CRM-järjestelmässä ja tuotannon tai taloushallinnon data SaaS-ratkaisuissa. Hyöty on selvä, mutta samalla syntyy käytännön kysymys: kuka oikeastaan vastaa tietoturvasta, kun data ei ole enää omassa palvelinhuoneessa?
ISO 27001 antaa tähän selkeän rungon. Se auttaa rakentamaan hallintajärjestelmän, eli systemaattisen tavan tunnistaa riskit, sopia vastuut, valita oikeat suojaustoimet ja seurata, toimivatko ne myös käytännössä. Tässä artikkelissa käymme läpi, mitä pilvipalveluiden tietoturvassa pitää huomioida ja miten voit edetä askel askeleelta niin, että tietoturva ei jää toimittajan markkinointilupausten varaan.
Miksi pilvipalveluiden tietoturva vaatii eri ajattelua?
Pilvipalvelu ei poista tietoturvavastuuta, vaan jakaa sitä uudella tavalla. Palveluntarjoaja huolehtii yleensä esimerkiksi konesalien fyysisestä turvallisuudesta, alustojen ylläpidosta ja osasta teknisiä suojauksia. Asiakasyritykselle jää silti vastuu siitä, miten palvelua käytetään, kenellä on pääsy tietoihin ja mitä tietoa palveluun ylipäätään tallennetaan.
Tämä on monelle yritykselle kompastuskivi. Oletko joskus ajatellut, että “kyllä toimittaja hoitaa tietoturvan”? Käytännössä suurin osa poikkeamista liittyy usein aivan muihin asioihin kuin palvelinsalin lukkoihin.
Tyypillisiä pilvipalveluiden riskejä ovat esimerkiksi:
- liian laajat käyttöoikeudet
- puuttuva monivaiheinen tunnistautuminen
- vanhentuneet käyttäjätilit entisillä työntekijöillä
- epäselvät sopimukset alihankkijoista ja datan sijainnista
- varmuuskopioinnin tai palautuksen testaamattomuus
- luottamuksellisen tiedon tallennus väärään palveluun
Huomio
ISO 27001 ei tarkoita, että kaikki pilvipalvelut pitäisi siirtää pois käytöstä tai omaan konesaliin. Standardin idea on tunnistaa riskit ja hallita ne liiketoiminnan kannalta järkevällä tasolla.
Kun pilvipalveluita tarkastellaan riskienhallinnan näkökulmasta, keskustelu muuttuu heti konkreettisemmaksi. Sen sijaan että kysytään “onko tämä palvelu turvallinen”, kannattaa kysyä:
- mitä tietoa palvelussa käsitellään
- mitä tapahtuisi, jos tieto vuotaa, muuttuu tai katoaa
- kuka voi tehdä mitäkin palvelussa
- miten nopeasti virhe tai poikkeama havaitaan
- miten toiminta jatkuu, jos palvelu ei ole käytettävissä
Mitä ISO 27001 käytännössä tuo pilvipalveluihin?
ISO 27001 on kansainvälinen standardi tietoturvan johtamiseen. Sen ydin ei ole yksittäinen tekninen työkalu, vaan toimintamalli, jolla tietoturvaa johdetaan suunnitelmallisesti. Pilvipalveluympäristössä tämä on erityisen hyödyllistä, koska käytössä on usein useita eri toimittajia, käyttöliittymiä ja integraatioita.
Standardin avulla yritys määrittää esimerkiksi soveltamisalan, eli mitä liiketoiminnan osia, järjestelmiä ja tietoja tietoturvan hallintajärjestelmä kattaa. Jos käytätte viittä eri pilvipalvelua, mutta kukaan ei omista kokonaisuutta, riskit jäävät helposti väliin.
Pilvipalveluiden näkökulmasta ISO 27001 auttaa erityisesti näissä asioissa:
| Osa-alue | Mitä kysytään käytännössä? | Esimerkki mittarista |
|---|---|---|
| Vastuut | Kuka omistaa palvelun, käyttäjät ja toimittajasuhteen? | Jokaiselle kriittiselle palvelulle nimetty omistaja |
| Käyttöoikeudet | Kenellä on pääsy tietoihin ja millä perusteella? | Käyttöoikeuksien tarkistus 4 kertaa vuodessa |
| Toimittajahallinta | Mitä toimittaja lupaa sopimuksissa ja raporteissa? | 100 % kriittisistä toimittajista arvioitu vuosittain |
| Poikkeamien hallinta | Miten tietoturvapoikkeama havaitaan ja käsitellään? | Poikkeama kirjataan 24 tunnin sisällä |
| Jatkuvuus | Miten toiminta jatkuu häiriössä? | Palautustesti tehty vähintään 1 kerran vuodessa |
Moni pk-yritys huomaa tässä kohtaa, että teknologia ei ole suurin ongelma. Suurin ongelma on usein se, että käytännöt ovat hajallaan: yksi henkilö tilaa palvelun, toinen hallinnoi käyttäjiä ja kolmas hyväksyy sopimukset. Kun kokonaisuus kootaan yhteen, tietoturva muuttuu hallittavaksi.
Jaettu vastuu on pilven tärkein periaate
Pilvipalveluissa puhutaan usein jaetun vastuun mallista. Se tarkoittaa yksinkertaisesti sitä, että palveluntarjoaja ja asiakas vastaavat eri asioista. Jos tätä ei kirjata auki, syntyy helposti vaarallinen oletus, että “joku muu varmasti hoitaa”.
Käytännössä vastuut kannattaa kuvata vähintään kriittisimmille palveluille. Tämä onnistuu hyvin yksinkertaisella taulukolla, jota voi käyttää myös johdon katselmuksessa.
| Tietoturvan osa-alue | Palveluntarjoaja | Asiakasyritys |
|---|---|---|
| Konesalin fyysinen turvallisuus | Vastaa | Ei yleensä vastaa |
| Palvelualustan tekninen ylläpito | Vastaa | Seuraa sopimustasoa |
| Käyttäjätilit ja roolit | Tarjoaa ominaisuudet | Vastaa käytännön hallinnasta |
| Monivaiheinen tunnistautuminen | Mahdollistaa | Ottaa käyttöön ja valvoo |
| Tallennettavan tiedon luokittelu | Ei tunne liiketoimintaa | Vastaa |
| Poikkeamien sisäinen käsittely | Ilmoittaa omista häiriöistä | Vastaa omasta reagoinnista |
Jos haluat testata oman tilanteesi nopeasti, kysy nämä kolme kysymystä:
- tiedättekö, missä kriittinen data sijaitsee
- poistetaanko käyttäjätunnukset 24 tunnin sisällä työsuhteen päättymisestä
- onko jokaiselle kriittiselle pilvipalvelulle nimetty omistaja
Jos yksikin vastaus on epäselvä, kehitystyölle on selvä lähtöpiste.
Varoitus
Yleinen virhe on luottaa pelkkään toimittajan sertifikaattiin. Vaikka pilvipalveluntarjoajalla olisi ISO 27001 -sertifiointi, se ei kata automaattisesti sitä, miten oma organisaationne käyttää palvelua.
Mitkä kontrollit ovat pilvipalveluissa tärkeimpiä?
ISO 27001:n liitteessä A kuvataan joukko kontrolleja, eli käytännön suojaustoimia. Kaikkia ei toteuteta samalla tavalla jokaisessa yrityksessä, mutta pilvipalveluissa tietyt asiat nousevat lähes aina kärkeen.
Aloita näistä 3–5 keskeisestä riskistä ja niitä vastaavista kontrolleista:
| Riski | Suositeltu kontrolli | Käytännön toteutus |
|---|---|---|
| Tunnus joutuu vääriin käsiin | Vahva tunnistautuminen | Ota monivaiheinen tunnistautuminen käyttöön 100 %:lle ylläpitotunnuksista |
| Liian laajat oikeudet | Käyttöoikeuksien hallinta | Tarkista admin-oikeudet kuukausittain |
| Tieto tallennetaan väärään paikkaan | Tiedon luokittelu | Määritä, mitä tietoa saa tallentaa mihinkin palveluun |
| Toimittajariski | Toimittaja-arviointi | Arvioi kriittiset toimittajat ennen hankintaa ja vuosittain |
| Palvelukatko pysäyttää työn | Jatkuvuussuunnittelu | Testaa palautuminen vähintään 1 kerran vuodessa |
Näiden lisäksi kannattaa varmistaa ainakin seuraavat käytännöt:
- lokitietojen keruu kriittisistä tapahtumista
- pääkäyttäjätunnusten erillinen hallinta
- hyväksyttyjen pilvipalveluiden lista
- tietoturvavaatimukset hankintaprosessissa
- poistuvien käyttäjien tarkistuslista
Vinkki
Valitse yksi kriittinen pilvipalvelu, esimerkiksi Microsoft 365 tai CRM, ja tee sille 60 minuutin miniarviointi. Käy läpi omistaja, käyttäjät, MFA, lokit, varmistukset ja sopimus. Saat nopeasti näkyviin suurimmat puutteet.
Miten aloittaa käytännössä ISO 27001:n mukainen kehitys?
Pelkkä vaatimuslista ei vielä auta, jos tekeminen ei etene. Siksi pilvipalveluiden tietoturva kannattaa jäsentää muutamaan selkeään vaiheeseen. Näin työ ei jää yksittäiseksi auditointiharjoitukseksi, vaan muuttuu jatkuvaksi tekemiseksi.
Listaa kaikki kriittiset pilvipalvelut
Tee ensin näkyväksi, mitä palveluita oikeasti käytätte. Kirjaa vähintään palvelun nimi, omistaja, käyttötarkoitus, käsiteltävä tieto ja toimittaja. Useimmissa pk-yrityksissä tämä työ vie 1–2 viikkoa, jos palveluita on alle 20.
Arvioi riskit palvelukohtaisesti
Valitse ensin tärkeimmät palvelut ja arvioi niihin liittyvät riskit luottamuksellisuuden, eheyden ja saatavuuden näkökulmasta. Käytännössä riittää alkuun, että pisteytätte vaikutuksen ja todennäköisyyden asteikolla 1–5 ja nostatte käsittelyyn korkeimmat riskit.
Määritä vastuut ja minimikontrollit
Nimeä jokaiselle kriittiselle palvelulle omistaja ja sopikaa vähimmäisvaatimukset. Hyvä peruspaketti on monivaiheinen tunnistautuminen, käyttöoikeuksien katselmointi, poistuvien käyttäjien prosessi, lokien seuranta ja toimittajan vuosiarviointi.
Dokumentoi käytännöt osaksi hallintajärjestelmää
Kirjaa päätökset niin, että ne eivät jää yhden henkilön muistin varaan. Dokumentoi esimerkiksi pilvipalveluiden hyväksymisperusteet, käyttöoikeusprosessi, poikkeamien käsittely ja toimittaja-arvioinnin malli. Tämä on juuri sitä, missä hallintajärjestelmä tuo arkeen ryhtiä.
Seuraa toteutumista kuukausi- ja vuositasolla
Sovi muutama mittari, joita seuraatte säännöllisesti. Esimerkiksi: poistuneet tunnukset suljettu 24 tunnin sisällä, MFA käytössä 95–100 % käyttäjistä, käyttöoikeuskatselmointi tehty neljännesvuosittain ja kriittiset toimittajat arvioitu vuosittain.
Yleisimmät virheet, jotka hidastavat kehitystä
Pilvipalveluiden tietoturvassa ongelma ei yleensä ole se, ettei mitään tehtäisi. Ongelma on se, että tehdään vähän kaikkea, mutta ilman priorisointia. Silloin aikaa kuluu paljon ja vaikutus jää pieneksi.
Vältä erityisesti näitä virheitä:
- kaikkia palveluita yritetään käsitellä yhtä syvällisesti heti alussa
- kontrollit kopioidaan mallipohjasta ilman omaa riskiarviointia
- liiketoiminnan omistajia ei oteta mukaan palveluiden arviointiin
- toimittajasopimuksia ei tarkisteta ennen käyttöönottoa
- mittareita ei määritetä, jolloin kehitystä ei voi osoittaa
Hyvä nyrkkisääntö on tämä: aloita niistä palveluista, joiden häiriö pysäyttäisi liiketoiminnan yhdeksi työpäiväksi tai joiden tietovuoto aiheuttaisi merkittävää haittaa asiakkaille, henkilöstölle tai maineelle. Usein tämä rajaa tarkastelun ensimmäisessä vaiheessa 3–5 palveluun.
Miten Tietoturvapankki helpottaa pilvipalveluiden hallintaa?
Kun pilvipalveluita on useita, tietoturvatyö hajoaa helposti eri dokumentteihin, taulukoihin ja sähköposteihin. Silloin kokonaiskuva katoaa: mitä on päätetty, mitä puuttuu ja kuka vastaa mistäkin? Juuri tähän tarvitaan selkeä toimintamalli ja työkalu, joka tukee sitä.
Tietoturvapankki yhdistää sovelluksen ja asiantuntijatuen ISO 27001 -tietoturvan hallintajärjestelmän rakentamiseen. Käytännössä tämä tarkoittaa, että riskit, toimenpiteet, vastuut, dokumentaatio ja seuranta saadaan samaan paikkaan. Jos organisaatiossanne on jo kokemusta esimerkiksi ISO 9001 -kehityksestä tai Laatupankki — Konsernin laadunhallinnan tuotemerkki -ratkaisuista, ajattelutapa on tuttu: tavoitteena on tehdä johtamisesta systemaattista, ei byrokraattista.
Softapankki Oy ja QMClouds Oy -taustaiset ratkaisut ovat syntyneet juuri siihen tarpeeseen, että pk-yrityksen ei tarvitse rakentaa kaikkea alusta asti itse. Tämä on erityisen hyödyllistä pilvipalveluympäristössä, jossa muutoksia tulee jatkuvasti ja tietoturvan pitää pysyä mukana.
Yhteenveto
- Pilvipalvelu ei siirrä tietoturvavastuuta pois yritykseltä, vaan muuttaa sen jaetuksi vastuuksi.
- ISO 27001 auttaa rakentamaan selkeän hallintajärjestelmän riskien, vastuiden, kontrollien ja seurannan ympärille.
- Aloita käytännössä listaamalla kriittiset pilvipalvelut ja arvioimalla niihin liittyvät 3–5 keskeistä riskiä.
- Varmista vähintään käyttöoikeuksien hallinta, monivaiheinen tunnistautuminen, toimittaja-arviointi ja jatkuvuuden testaus.
- Seuraa toteutumista konkreettisilla mittareilla, kuten tunnusten poistolla 24 tunnin sisällä ja neljännesvuosittaisilla katselmoinneilla.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.