Organisaatiot ympäri maailmaa tallentavat yhä enemmän tietoa pilvipalveluihin. Tämä on periaatteessa hyvä asia, sillä pilvi on lähes aina turvallisempi kuin paikallinen toimisto tai yrityksen oma datakeskus. Valitettavasti turvallisuus ei aina pysy tietomäärän kasvun tahdissa pilvessä. Esimerkiksi kaikki eivät salaa "at rest" -dataa, eivätkä heillä ole täyttä näkyvyyttä siitä, millaista dataa yrityksen pilvisovelluksissa oikeasti on, tai käytä Data Loss Prevention (DLP) -ominaisuuksia suojellakseen erilaisilta tietojen menetyksiltä. Monet yritykset myös sallivat pääsyn yrityksen hyväksymiinsä cloud-tjenesteihin henkilökohtaisilta laitteilta, mikä voi johtaa siihen, että arkaluonteista tietoa ladataan pilvestä hallitsemattomalle henkilökohtaiselle laitteelle.
Kenen tahansa, joka käsittelee arkaluonteista tietoa – etenkään henkilötietoja ja asiakastietoja – on erittäin tärkeää, että kaikki on asetettu oikein, että sinulla on oikeat turvallisuusmenettelyt käytössä (ja niitä noudatetaan) sekä täydellinen läpinäkyvyys siitä, missä ja miten dataa säilytetään ja suojataan.
Henkilötietojen käsittelyä koskevat säädökset ovat olleet voimassa useita vuosia, ja tähän asti suuret amerikkalaiset pilvipalveluntarjoajat ovat nojanneet Privacy Shield -sopimukseen. Kuitenkin Euroopan unionin tuomioistuimen kumottua Privacy Sheildin, ei enää ole sallittua vedota pelkästään tähän sopimukseen EU-yhteensopivuuden osoittamiseksi. Sen sijaan nyt on jokaisen liiketoiminnan itse arvioitava, onko riittävä suojaus olemassa GDPR-vaatimusten täyttämiseksi.
Datansalaus voi tarjota tällaista suojaa organisaatiolle, mutta on tärkeää muistaa, että näyttövelvollisuus on tässäkin tapauksessa yksittäisellä liiketoiminnalla. Siis yksittäisen yrityksen on pystyttävä takaamaan, että mikään ulkoinen organisaatio (kuten amerikkalainen NSA) ei ole murtautunut vallitseviin salausmenetelmiin. Tämä on takuu, jonka yksittäisten organisaatioiden on äärimmäisen vaikea, ellei mahdotonta, antaa.
Kokonaisuutena meillä on tilanne, jossa on lisääntynyt riski arkaluonteisen tiedon joutumisesta vääriin käsiin – mikä voi lopulta vaikuttaa myös taloudellisesti niitä yrityksiä kohtaan, jotka käsittelevät dataa.
Alla on joitakin tärkeitä asioita, jotka jokaisen henkilötietoja (kuten asiakastietoja) käsittelevän tulee varmistaa ja ottaa huomioon.
Ymmärryksen saaminen cloudista ja arkaluonteisen datan suojaaminen ei ole niin vaikeaa kuin miltä se saattaa tuntua. Mutta toki kyse on siitä, mistä aloittaa ja mihin keskittyä. Ja kyse on teknisistä ratkaisuista, politiikoista ja menettelyistä sekä tietoisuuden lisäämisestä kaikkien työntekijöiden keskuudessa.
Varmista, että tunnet ne tietosuojalait, jotka koskevat maata, jossa dataasi säilytetään, kuten GDPR EU:n sisällä, sekä onko muita lakeja, jotka voivat syrjäyttää kansalliset lait, kuten US CLOUD Act. Älä unohda, että cloud-palveluntarjoajan kotimaa määrittelee mitkä säädökset koskevat dataa ja sovelluksia, ei datakeskuksen maantieteellinen sijainti.
Kun siirryt cloudiin tai vaihdat cloud-palvelua, sinun on varmistettava, että alusta ja pilviratkaisut tarjoavat mahdollisuuden datan salaamiseen – sekä datan tallennuksen yhteydessä pilvessä että datan siirron tai jakamisen aikana liikekumppaneille. Pysy myös ajan tasalla salauksessa – salausmenetelmät ja -prosessit kehittyvät nopeasti. Organisaatiot, jotka eivät ole tarkistaneet ja tarvittaessa päivittäneet salausmenetelmiään, ovat usein alttiita hyökkäyksille.
Laadi laitevalvontasäännöstö tunnistaaksesi ja valvoaksesi kaikkien laitteiden käyttöä, jotka voivat tallentaa tai ladata dataa. Tämä ei ainoastaan vähennä riskkiä haitallisen pääsyn verkkoosi – se voi auttaa myös estämään arkaluonteisen tiedon vuotamisen, tahallisesti tai vahingossa. Käytä sovellusten valvontaa seurataksesi ja rajoittaaksesi tarpeetonta tai riskialtista ohjelmistoa.
Harkitse myös pääsyn rajoittamista asiakastietoihin – kaikki organisaation jäsenet eivät tarvitse pääsyä asiakkaiden henkilötietoihin. Mitä harvemmilla on todellinen tarve päästä tietoihin käsiksi, sitä vähemmän hyökkääjillä on mahdollisuuksia löytää heikko kohta ja varastaa tietoja.
Verkkojesi erottelu voi myös olla hyvä idea. Nykypäivän kyberrikolliset haluavat enemmän kuin vain käyttäjän salasanan ja muutaman tiedoston – he haluavat päästä käsiksi taustajärjestelmiin, PoS-verkkoon ja testiympäristöön. Siksi harkitse verkkojesi erottelua tehokkailla palomuureilla, jotka kohtelevat sisäisiä osastoja potentiaalisesti vihamielisinä toisiaan kohtaan sen sijaan, että olisi yksi suuri "sisäinen" este pelätyn "ulkopuolisen" varalta.
Turvatyökaluistasi ei pitäisi puuttua asioita, olipa kyse henkilötietojen suojelusta pilvessä tai muualla. Varmista esimerkiksi, että sinulla on tehokas päätelaite-, verkko- ja sähköpostisuojaus, joka suodattaa suurimman osan roskapostista, haittaohjelmista ja tiedostoista. Kouluta työntekijöitäsi olemaan epäileväisiä sähköpostiviestejä kohtaan, erityisesti liitteitä sisältäviä, ja aina raportoimaan poikkeukselliset viestit tai liitteet IT-osastolle. Valitettavasti liian monet yrityksen työntekijät lataavat vahingossa haittaohjelmia napsauttamalla linkkejä tai liitteitä sähköposteissa.
Lisäksi sinulla pitäisi tietenkin olla tiukat salasanakäytännöt, eikä lempinimiä, syntymäpäiviä tai suosikkijoukkueita tule sallia kirjautumistunnuksina cloud-alustoille, joihin tallennetaan arkaluonteisia tietoja. Mikäli saatavilla, ota aina käyttöön monivaiheinen tunnistautuminen – itse asiassa monet puhuvat nyt salasanattoman käytön puolesta ja biometristen ratkaisujen käyttöönotosta.
Niin kutsuttu "shadow IT" syntyy, kun työntekijät käyttävät lukemattomia cloud-tjenesteja ilman sinun tietoasi. Yritä saada yleiskuva siitä, mitä palveluita organisaatiossasi oikeasti käytetään ja miten niitä käytetään. Tiedota työntekijöitäsi siitä, miten sopimattomia ovat arkaluonteisten yritystietojen siirrot yksityiseen Dropboxiin tai vastaavaan. Vaikka se olisi hetkellisesti "kätevämpää", se voi suuresti lisätä riskin, että tieto joutuu vääriin käsiin (erityisesti, jos Dropbox-tilin salasana on heikko tai sitä ei ole koskaan vaihdettu).
Pikakorjaukset ja jatkuva päivitysten tekeminen on myös erittäin tärkeä osa turvallisuustyötäsi. Tunnetut mutta paikantamattomat haavoittuvuudet ovat yksi yleisimmistä rikollisten hyväksikäyttämistä hyökkäysvektoreista. Valitettavasti päivitykset jäävät usein tekemättä tai ne saavat matalan prioriteetin. Siksi harkitse työkalujen tai palveluiden hankintaa, jotka hoitavat päivitykset puolestasi. Tämä varmistaa, että käyttöjärjestelmäsi ja sovelluksesi ovat aina ajan tasalla uusimpien suojauspäivitysten kanssa.
Turhien asiakastietojen kerääminen ei ole vain energian ja resurssien tuhlausta, vaan se tarjoaa myös hyökkääjille suuremman kohteen. Se voi myös helposti aiheuttaa asiakkaille huolta ja kysymyksiä siitä, miksi sinun on ylipäätään kerättävä niin paljon tietoa. Kerää ja tallenna siis vain se, mitä todella tarvitset liiketoiminnan tarkoituksiin. Voit myös viedä asian pidemmälle ja tarjota asiakkaille mahdollisuuden valita, haluavatko he jakaa henkilökohtaisia tietoja kanssasi.
Sen sijaan, että jatkuvasti pyrkisit saamaan mahdollisimman paljon hyötyä asiakastiedoista (monet yritykset liittyvät edelleen automaattisesti asiakkaansa postituslistoille heti kaupan jälkeen), harkitse, että kun yrityksesi on lopettanut viestinnän, kaikki tiedot tuhotaankin niiden käytön jälkeen. Tällainen turvallisuusajattelu vahvistaa asiakkaiden luottamusta yksityisyystavoitteisiisi.
Tietosuoja koskettaa kaikkia. Asiakkaiden turvallisuus on liian tärkeää annettavaksi vain harvojen hoidettavaksi. Kun sinulla on kattavat turvallisuusmenettelyt ja -politiikat käytössä, varmista, että kaikki organisaatiossasi ymmärtävät ne ja ennen kaikkea noudattavat niitä. Esimerkiksi sinun tulisi korostaa erityisesti sitä, että työntekijäsi ymmärtävät riskejä, jotka liittyvät omien laitteiden tai verkkojen käyttöön toimiston ulkopuolella.
Meitä ohjaa asiakkaidemme auttaminen saavuttamaan suurempaa innovaatiota ja kustannustehokasta IT:tä. Haluaisitko sinäkin hyödyntää uusinta suorituskykyisissä pilvipalveluissa?
