Tiedon eheys pilvessä

Organisaatiot ympäri maailmaa tallentavat yhä enemmän tietojaan pilveen. Tämä on pohjimmiltaan hyvä asia, sillä pilvi on lähes aina turvallisempi kuin paikallinen toimisto tai yrityksen oma datakeskus. Valitettavasti turvallisuus ei aina pysy tietojen virran tahdissa pilveen. Esimerkiksi kaikki eivät salaa tietoja "at rest"-tilassa, heillä ei ole täydellistä näkyvyyttä siihen, mitä tietoja yrityksen pilvisovelluksissa oikeasti on, eivätkä he käytä Data Loss Prevention (DLP) -ominaisuuksia suojautuakseen erilaisten tietojen menetyksiltä. Monet yritykset myös sallivat pääsyn yrityksen hyväksymiin pilvipalveluihin henkilökohtaisilta laitteilta, mikä voi johtaa arkaluonteisen tiedon latautumiseen pilvestä hallitsemattomalle henkilökohtaiselle laitteelle.

Kenenkään, joka käsittelee arkaluonteisia tietoja – erityisesti henkilötietoja ja asiakastietoja – on erittäin tärkeää, että kaikki asetetaan oikein, että sinulla on oikeat turvamenettelyt (joita myös noudatetaan) ja täysi avoimuus siitä, missä ja miten tietoja säilytetään ja suojataan.

Pilvipalvelusi saattavat rikkoa GDPR-säädöksiä

Henkilötietojen käsittelyä koskevat säädökset ovat olleet voimassa useita vuosia, ja tähän asti suuret amerikkalaiset pilvipalveluntarjoajat ovat perustaneet toimintansa Privacy Shield -sopimukseen. Kuitenkin Euroopan tuomioistuimen kumottua Privacy Shieldin, ei enää ole sallittua vedota pelkästään tähän sopimukseen osoittaakseen EU-yhteensopivuutta. Sen sijaan nyt jokaisen yrityksen on itse arvioitava, onko riittävä suoja riittävän GDPR-vaatimusten noudattamisen varmistamiseksi.

Tietojen salaaminen voi tarjota tällaista suojaa organisaatiolle, mutta on tärkeää muistaa, että todistustaakka on tässä tapauksessa yksittäisellä yrityksellä. Yrityksen on siis pystyttävä takaamaan, että mikään ulkoinen organisaatio (kuten amerikkalainen NSA) ei ole murtautunut nykyiseen salausasteeseen. Tämä taatusti on yksittäisille organisaatioille äärimmäisen vaikeaa, ellei mahdotonta.

Kaiken kaikkiaan tilanne on sellainen, että arkaluonteisten tietojen joutumisen vääriin käsiin riski on kasvanut – mikä voi lopulta myös vaikuttaa taloudellisesti niitä tietoja käsitteleviin yrityksiin. Alla on joitakin tärkeitä asioita, jotka kaikki henkilötietoja (kuten asiakastietoja) käsittelevät täytyy varmistaa ja pitää mielessä.

5 vinkkiä arkaluonteisten tietojen suojaamiseen

Pilven ymmärtäminen ja arkaluonteisten tietojen suojaaminen ei ole niin vaikeaa kuin voisi tuntua. Kyse on tietysti siitä, mistä aloittaa ja mihin keskittää huomio. Ja kyse on teknisistä ratkaisuista, politiikoista ja menettelyistä sekä kaikkien työntekijöiden tietoisuuden lisäämisestä.

  1. Valitse pilvipalvelu, joka takaa sääntelyn noudattamisen

    Varmista, että tunnet tietosuojalait, jotka koskevat maata, jossa tietojasi säilytetään, kuten GDPR EU:ssa, ja onko olemassa muita lakeja, jotka voivat syrjäyttää kansalliset lait, kuten US CLOUD Act. Älä unohda, että pilvipalveluntarjoajan asuinmaa määrää, mitkä säädökset koskevat tietoja ja sovelluksia, ei datakeskuksen maantieteellinen sijainti.

  2. Salaus on välttämätöntä

    Muutettaessa pilveen tai vaihdettaessa pilveä, sinun on varmistettava, että alustasi ja pilviratkaisusi tarjoavat mahdollisuuden tietojen salaamiseen – sekä silloin, kun tietoja säilytetään pilvessä että kun tietoja siirretään tai jaetaan liikekumppaneiden kanssa. Pysy myös ajan tasalla salauksesta – salausmenetelmät ja -prosessit kehittyvät nopeasti. Organisaatiot, jotka eivät ole tarkastelleet ja tarvittaessa päivittäneet salausmenetelmiään, ovat usein alttiita hyökkäyksille.

  3. Valvo, valvo, valvo.

    Laadi laitteenhallintastrategia, jolla tunnistat ja hallitset kaikkien sellaisten laitteiden käyttöä, jotka voivat tallentaa tai ladata tietoja. Tämä ei ainoastaan vähennä riskin siitä, että haitallista sisältöä pääsee verkkoon – se auttaa myös estämään arkaluonteisten tietojen vuotamista, tahattomasti tai tahallisesti. Käytä sovellushallintaa seurata ja rajoittaa tarpeettomia tai riskialttiita ohjelmistoja.

    Harkitse myös pääsyn rajoittamista asiakastietoihin – kaikilla organisaation jäsenillä ei tarvitse olla oikeutta nähdä asiakkaiden henkilötietoja. Mitä vähemmällä ihmisellä on todellista tarvetta päästä tietoihin, sitä vähemmän hyökkääjillä on mahdollisuuksia löytää heikko lenkki ja varastaa tietoja.

    Verkkojesi erottaminen voi myös olla hyvä idea. Nykyajan kyberrikolliset haluavat enemmän kuin vain käyttäjän salasanan ja muutaman tiedoston – he haluavat päästä käsiksi taustajärjestelmiisi, PoS-verkkoosi ja testiverkkoosi. Siksi harkitse verkkojasi erottavien tehokkaiden palomuurien käyttöä, jotka kohtelevat sisäisiä osastoja mahdollisesti vihamielisiksi toisiaan kohtaan, sen sijaan että olisi yksi suuri "sisäinen" suoja pelottavaa "ulkopuolta" vastaan.

  4. Älä unohda perus turvaominaisuuksia

    Turvatyökaluissasi tulee aina olla useita asioita – oli kyse sitten henkilötietojen suojaamisesta pilvessä tai muualla. Esimerkiksi varmista, että sinulla on tehokas päätteiden, verkon ja sähköpostin suojaus, joka suodattaa suurimman osan roskapostista, haittaohjelmista ja tiedostoista. Kouluta työntekijöitäsi olemaan epäluuloisia sähköpostien suhteen, erityisesti liitteitä sisältäviin, ja aina raportoimaan oudot sähköpostit tai liitteet IT-osastolle. Valitettavasti edelleen on liian monta yritysten työntekijää, jotka vahingossa lataavat haittaohjelmia napsauttamalla sähköpostilinkkejä tai -liitteitä.

    Lisäksi sinulla tulee olla tiukat salasanakäytännöt, eikä lempinimiä, syntymäpäiviä tai suosikkijoukkueita saa käyttää kirjautumistunnuksina pilvialustoilla, joihin arkaluonteisia tietoja tallennetaan. Jos mahdollista, ota aina käyttöön monivaiheinen tunnistautuminen – todellisuudessa monet puhuvat nykyään salasanattomuuden puolesta ja biometrisistä ratkaisuista.

    Ns. 'varjoteknologia' on tilanne, jossa työntekijät käyttävät lukemattomia pilvipalveluja tietämättäsi. Yritä saada yleiskuva siitä, mitä palveluita organisaatiossasi oikeasti käytetään ja miten niitä käytetään. Tiedota työntekijöitäsi, että arkaluonteisen yritystiedon siirtäminen yksityiseen Dropboxiin tai vastaavaan on erittäin sopimatonta. Vaikka se olisi "kätevämpää" tällä hetkellä, se voi merkittävästi lisätä riskin, että tieto joutuu vääriin käsiin (erityisesti jos Dropbox-tilin salasana on heikko tai sitä ei ole koskaan vaihdettu).

    Pikainen ja jatkuva korjausten tekeminen on toinen erittäin tärkeä osa turvatyötäsi. Tunnetut mutta korjaamatta jääneet tietoturva-aukot ovat yksi yleisimmistä rikollisten hyödyntämistä hyökkäysvektoreista. Valitettavasti korjaukset usein laiminlyödään ja ne asetetaan matalalle prioriteetille. Harkitse siis työkalujen tai palveluiden ostamista, jotka hoitavat korjausten tekemisen puolestasi. Tämä varmistaa, että käyttöjärjestelmäsi ja sovelluksesi pysyvät aina ajan tasalla uusimpien tietoturvakorjausten osalta.

  5. Tallenna vain se, mikä on ehdottoman välttämätöntä

    Tarpeettomien asiakastietojen kerääminen on paitsi energian ja resurssien hukkaa myös tekee hyökkäyksen kohdistamisesta helpompaa. Se voi myös helposti aiheuttaa asiakkaiden huolta ja ihmettelyä siitä, miksi sinun tarvitsee kerätä niin paljon tietoja ylipäätään. Kerää ja säilytä siis vain se, mitä todella tarvitset liiketoiminnan kannalta. Voit myös mennä askeleen pidemmälle ja tarjota asiakkaille mahdollisuuden valita, haluavatko he jakaa henkilökohtaisia tietoja kanssasi vai eivät.

    Sen sijaan, että aina yrität saada mahdollisimman paljon irti asiakastiedoista (monet yritykset tilaavat edelleen asiakkaansa automaattisesti postituslistoille heti kaupan jälkeen), harkitse tietojen tuhoamista käytön jälkeen, kun yrityksesi on lopettanut kommunikoinnin heidän kanssaan. Tällainen turvallisuustajunta vahvistaa asiakkaiden luottamusta yksityisyydensuojaasi.

Yhteenvetona – tee asiakastietojen yksityisyydestä kaikkien prioriteetti

Tietosuoja koskee kaikkia. Asiakkaan turvallisuus on liian tärkeää jätettäväksi harvojen hoidettavaksi. Kun sinulla on kattavat turvamenettelyt ja -politiikat käytössä, varmista, että kaikki organisaatiossasi ymmärtävät ne ja ennen kaikkea noudattavat niitä. Esimerkiksi kiinnitä erityistä huomiota siihen, että työntekijäsi ymmärtävät mahdolliset riskit omien laitteidensa tai verkkojensa käytössä toimiston ulkopuolella.