Mietitkö, voisiko jonkin tietyn sovelluksen hankkia SaaS-palveluna?
Mistä tietää, voiko SaaS-palvelun tietoturvaan luottaa?
Käsittelen tässä kirjoituksessa sitä, miten voit arvioida SaaS-palvelun tietoturvaa.
Noudattamalla näitä kuutta (6) askelta osaat todennäköisesti vastata kysymykseen, uskaltaako jonkin nimenomaisen sovelluksen hankkia SaaS-palveluna.
Samoja periaatteita voi hyödyntää, jos miettii, voiko jonkin palvelun siirtää pilveen.
Askel 1: Selvitä onko kyseessä oikea pilvipalvelu vai sovelluksen käyttöpalvelu
Pilvipalvelujen tietoturvaa arvioitaessa on hyvä ymmärtää, että moni SaaS-palveluna myytävä palvelu ei ole oikea pilvipalvelu.
Moni sovellustoimittaja tarjoaa sovellustaan SaaS-palveluna, joka on oikeasti käyttöpalvelu.
Mitä tämä tarkoittaa?
Oikea pilvipalvelu perustuu automaatioon ja modernien pilvitekniikoiden hyödyntämiseen. Tällaisen pilven tietoturva rakennetaan eri tavalla kuin perinteisen konesalin tietoturva.
Moni sovellustoimittaja tarjoaa SaaS-palveluna konesalipalvelua, joka on toteutettu hyvin perinteisesti ja eroaa on premises -ratkaisusta ainoastaan sen osalta, kuka operoi palvelua.
Ensimmäinen askel pilvipalvelun tietoturvaa arvioitaessa on siis ymmärtää, onko kyseessä ns. oikea pilvipalvelu vai perinteinen konesalipalvelu, jossa ylläpitovastuu on siirretty sovellustoimittajalle.
Jos haluat lukea lisää siitä, millainen on oikea pilvipalvelu, lukaise kirjoitukseni Näin tunnistat aidon pilvipalvelun.
Askel 2: Kuvaa SaaS-palvelun muodostama kokonaisuus arkkitehtuuritasolla
Jotta tietoturva-arviointi onnistuu käytännössä, pitää ymmärtää arvioitava kokonaisuus.
Siksi nyt on tärkeää piirtää auki kokonaisuus, joka on muodostumassa. Piirrä siis kuva verkoista, palvelimista, eri ympäristöistä ja laitteista, joilla palvelua käytetään.
Pyri sisällyttämään kokonaisuuteen kaikki riippuvuudet. Esimerkkejä riippuvuuksista ovat esimerkiksi käyttäjien tunnistus, integraatiot ja tulostus.
Usein kokonaisuuden hahmottaminen kuvaksi auttaa näkemään mahdollisia ongelmia. Tämä ei liity pelkästään tietoturvaan, vaan kokonaisuuteen muutenkin.
Näihin kuviin on hyvä piirtää mukaan vastuita. Samoin tietovirtojen kuvaaminen on hyödyllistä.
Tässä tulee selkeä yhtäläisyys kokonaisarkkitehtuurityöhön. Hyvä ymmärrys IT-ympäristöstä ja kunnossa oleva dokumentaatio auttaa tässäkin kohtaa.
Jos haluat lukea lisää kokonaisarkkitehtuurityöstä ja sen hyödyistä, lue kirjoitukseni Kokonaisarkkitehtuuri – kaikki mitä aiheesta tarvitsee tietää.
Kun syntyvä kokonaisuus on selvillä, voidaan tunnistaa kokonaisuuden kriittiset kohteet ja niiden merkitys toiminnalle.
Askel 3: Tunnista kohteet joihin SaaS-palvelu vaikuttaa
Itse lähden siitä, että pilvipalveluiden käytön hyötyjä kannattaa lähestyä perinteisen riskienhallinnan keinoin. Silloin arvioidaan riskejä ja verrataan niitä saavutettaviin hyötyihin.
Jos hyödyt ovat riskejä suuremmat, kannattaa palvelu ottaa käyttöön. Prosessi menee lyhyesti kuvattuna seuraavasti:
- Tunnista asiaan liittyvät kohteet DAASU-periaatteella. Mikä on DAASU-periaate? DAASU tulee sanoista Devices, Assets, Applications, Services ja Users. Tunnista siis laitteiden, suojattavien kohteiden, sovellusten, palvelujen ja käyttäjien muodostama kokonaisuus.
- Arvioi onko mukana kriittisiä kohteita tai kokonaisuuksia. Käsitelläänkö palvelussa kriittistä tietoa? Ketkä tietoa käsittelevät? Millä laitteilla tietoa käsitellään? Mihin kaikkiin palveluihin tietoa tallennetaan?
- Pohdi organisaationne riskinsietokykyä. Tämä on yksi keskeisimpiä tehtäviä koko prosessissa. Mieti vastauksia esimerkiksi seuraaviin kysymyksiin: Mitä meille tapahtuisi, jos järjestelmän tiedosta tulisi julkista? Mitä toiminnolle tai prosessille kävisi, jos pilveen siirrettävä järjestelmä ei olisikaan käytettävissä silloin kun sitä tarvitaan?
Kun arvioi pilvijärjestelmiä, on tietysti hyvä muistaa, ettei omassakaan konesalissa oleva järjestelmä ole useinkaan niin luotettavissa käsissä kuin tulisi ajatelleeksi.
Siksi johtopäätöksiä vedettäessä pitää olla järkevä. Toki jos kohteet ovat kriittisiä ja riskinsietokyky on alhainen, pitää pilven hyödyntämistä miettiä paljon tarkemmin kuin jos kyse on lähiruokalan ruokalistan tallennuspaikasta.
Jos tämän arvioinnin jälkeen edelleen näyttää siltä, että sovelluksen voisi hankkia SaaS-palveluna, on aika miettiä tietoturvavastuita.
Askel 4: Selvitä itsellesi asiakkaan ja SaaS-palvelun tarjoajan vastuut
Kun mietitään sitä, voiko jonkun palvelun tai sovelluksen ostaa pilvestä, pitää arvioida myös sitä, mitä kaikkea palvelu sisältää.
Kun on kyse uudentyyppisestä palvelusta, palvelun sisällön hahmottaminen voi olla vaikeaa.
Yksi tapa arvioida palvelun sisältöä, on palvelumallin arvioiminen. Vastuu tietoturvasta riippuu voimakkaasti palvelumallista eli siitä, käytetäänkä IaaS-, PaaS- vai SaaS-palvelua.
Infrastructure-as-a-Servise (IaaS) -palvelua käytettäessä palveluntarjoajan vastuu tietoturvasta voi rajoittua käytetyn konesalin fyysiseen tietoturvaan ja tietoliikenneverkon sekä palvelutuotantoalustan tietoturvaan.
IaaS-palvelussa asiakkaan vastuulle jää huomattava osa tietoturvasta: esimerkiksi käyttöjärjestelmän päivityksistä ja asetuksista huolehtiminen, sovellustason tietoturva, datan suojaaminen ja tietoliikenteen oikea konfigurointi.
Jos taas puhutaan Software-as-a-Service (SaaS) -palvelusta, on palveluntarjoajan vastuu paljon suurempi. Palveluntarjoaja suojaa verkon, palvelimet ja niiden käyttöjärjestelmät, sovellukset ja datan. Tällöin asiakkaalle jäävä osuus tietoturvasta on pienehkö.
Haasteena SaaS-palveluissa on se, että tietoturvatason todentaminen on vaikeaa ja jää pitkälti luottamuksen sekä sopimuksien varaan.
Jos haluat lukea lisää IaaS-, PaaS- ja SaaS-mallien tietoturvasta suhteessa omaan konesaliin, lue kirjoitukseni Miten pilvipalvelun tietoturva eroaa perinteisestä tietoturvasta
Kun haluaa selvittää asiakkaan ja palveluntarjoajan välisiä vastuita, joutuu lukemaan palvelukuvauksia ja kysymään hankalia kysymyksiä.
Erityisesti jos on ostamassa palvelua pienehköltä toimittajalta, kannattaa olla tarkkana tietoturvan suhteen.
Pienemmillä softataloilla voi olla paine tarjota sovelluksia palveluna, vaikka hostaus ja tietoturvan rakentaminen uskottavasti ei ole omaa ydinosaamista.
Siksi riskitietoisen asiakkaan on syytä olla hereillä ja miettiä asia läpi huolellisesti. Muista, että vastuuta tietoturvasta ei lopulta voi ostaa palveluna tai ulkoistaa.
Jos tietoturva pettää ja riskit realisoituvat, palvelun asiakas on se, joka kärsii tilanteesta. Siksi riskitietoinen asiakas näkee hieman vaivaa ja varmistaa, että käyttöpalvelua tarjoava sovellustoimittaja todella tietää, mitä on tekemässä.
Erityisesti pienempien toimijoiden kanssa asioitaessa on hyvä käydä tietoturvan ja palvelun hallintaa kumppanikandin kanssa läpi.
Tässä kohtaa on hyvä muistaa, että usein heikko lenkki ei olekaan palveluntarjoaja vaan asiakas.
Asiakkaan tulee ymmärtää omat velvollisuutensa ja todella hoitaa ne. Palvelun tarjoaja ei niitä hoida. Hyvänkin palvelun tietoturva pettää, jos asiakas jättää konfiguroimatta sen tietoturvan, joka on hänen vastuullaan.
Lisäksi on hyvä pohtia toimittajaan liittyviä riskejä. Jos toimittaja on kovin pieni, voi tämä muodostaa asiakkaalle riskin. Onko toimittaja markkinoilla vielä vuosien päästä? Mitä tiedoille ja asiakkaan prosessille käy, jos palveluntarjoaja menee nurin?
Askel 5: Arvioi SaaS-palvelun tietoturvamekanismien riittävyys
Kun pohditaan jonkin SaaS-palvelun tietoturvaa, on tärkeää hahmottaa syntyvä kokonaisuus ja sen uskottavuus. Tässä vaiheessa on jo piirretty auki syntyvä kokonaisuus arkkitehtuuritasolla, käyty läpi omien suojattavien tietojen arvo ja tutkittu toimittajan tietoturvavastuita.
Jos ollaan ostamassa ns. oikeaa pilvipalvelua ja toimittajana on suurempi pilvipalvelutarjoaja, on aika turha kuvitella, että yksittäinen asiakas pääsisi auditoimaan tietoturvaa. Mitä silloin voi tehdä?
Silloin kannattaa perehtyä Cloud Security Alliancen (CSA) ylläpitämään STAR-rekisteriin.
STAR tulee sanoista Security, Trust, Assurance ja RISK. Kyse on julkisesta rekisteristä, johon palveluntarjoaja voi ilmoittaa oman palvelunsa. Rekisterin avulla voi käydä läpi pilvipalvelun tietoturvatasoa.
Rekisteri mahdollistaa palveluntarjoajalle joko itsearvioinnin (Level 1) tai 3. osapuolen toteuttaman tietoturva-arvioinnin (Level 2).
CSA:n ylläpitämä STAR-rekisteri auttaa siis yksittäistä asiakasta arvioimaan, miten uskottavalla tasolla toimittajan tietoturva on.
Jos kohde on kriittinen, on pilven muodostama riskienhallinnallinen kokonaisuus syytä ymmärtää kunnolla. Silloin kannattaa perehtyä myös Cloud Security Alliancen Cloud Control Matrix -viitekehykseen.
Pilvipalvelujen hankaluus piilee juuri niiden monitahoisuudessa. Monet palvelut ovat niin monimutkaisia ja konfiguroitavia kohteita on niin paljon, että ihmisten on vaikea hahmottaa kaikkia kohteita.
Siksi erilaiset tarkistuslistat ja viitekehykset auttavat miettimään eri asiat läpi. Tässä mielessä SaaS-palvelut ovat pilvipalvelujen helpoimmasta päästä.
SaaS-palveluissa on konfiguroitavia kohteita yleensä kohtuullisesti, jolloin tietoturvaakin on helpompi hallita.
Askel 6: Arvioi palvelun hyötyjä ja riskejä
Tässä vaiheessa kokonaisuudesta pitäisi olla aika hyvä käsitys. Jos pilvipalveluiden käyttö on organisaatiolle uudehkoa, vaatii palveluiden riskien arviointi periaatteellisempaa pohdintaa.
Kun riskeihin ja hyötyihin perustuvasta tarkastelusta tulee organisaatiossa normaali menettelytapa, virtaviivaistuu riskien arviointi huomattavasti. Työ vaatii kuitenkin pilvipalveluiden tietoturvaratkaisuiden ja palveluntarjoajien tietoturvamenettelyiden hyvää tuntemista.
Tietoturva-asiantuntijat pyrkivät usein täydelliseen tietoturvaan. Silloin riskejä halutaan minimoida. Kuitenkin ainakin kannattava liiketoiminta perustuu harkittujen riskien ottamiseen.
On siis hyvä miettiä, saadaanko palvelun avulla hyötyjä suhteessa sen muodostamiin riskeihin. Ehkä palvelun hankkiminen vapauttaa omaa työaikaa tärkeämpiin projekteihin?
Ehkä jonkin sovelluksen ostaminen SaaS-palveluna auttaa yksinkertaistamaan omaa IT-ympäristöä ja pienentää tarvittavaa kapasiteettia juuri ratkaisevasti.
Pilvipalveluista saa tietoturvallisia, kun ne rakennetaan oikein. SaaS-palvelu on usein turvallisempi kuin omaan konesaliin toteutettu ratkaisu. Kun asiat tehdään oikein.
Jos pidit tästä artikkelista, myös seuraavat artikkelit voivat olla kiinnostavia:
- Mitä jäi käteen DevOpsCon London 2023 -seminaarista?
- 7 syytä miksi pilvipalvelu voisi olla parempi kuin ulkoistettu konesali
- Tunnetko nämä neljä (4) erilaista pilvistrategiaa – mikä näistä sopii teille?
- Miksi private cloudia ei kannata rakentaa vanhan konesaliverkon varaan (4 syytä)?
- Mikä on Software Defined Networking (SDN) ja mitä hyötyä siitä on?
- Tunnistatko nämä 7 tilannetta joissa oma konesali on parempi kuin pilvi?
- Tiedätkö nämä 5 tapaa säästää pilveen siirrettyjen palvelinten kustannuksissa?
- Voisiko oman konesalin siirtää pilveen?
- Pilvipalvelut – 15 syytä miksi pilvestä on hyötyä liiketoiminnalle vuonna 2024
- Mikä on Kubernetes ja mitä hyötyä siitä on?