Challenges in moving to cloud computing environment : case Finnish teleoperator

Abstract

Pilvipohjaisista palveluista on tullut erittäin suosittuja yritysten kesken. Pilvi tuo mukanaan monia hyötyjä ja mahdollisuuksia yrityksille, mutta se tuo myös

epävarmuutta ja haasteita datan turvallisuuteen ja yksityisyyteen. Henkilötietojen yksityisyydestä on tullut tarkempaa ja määräykset ja lainsäädännöt kuten

EU:n yleinen tietosuoja-asetus (eng. EU General Data Protection Regulation, GDPR) ovat puuttuneet siihen miten yritysten täytyy käsitellä asiakkaidensa henkilötietoja siten, että yksityisyys säilyy. Tämä pro gradu -tutkielma tutkii mitä muutoksia pilviympäristöön siirtyminen aiheuttaa verrattuna perinteisiin

tietojärjestelmiin. Tutkimus keskittyy kontrollin muutokseen, jonka pilvi aiheuttaa ja kuinka organisaatiot voivat säilyttää kontrollia pilvessä. Tämä tutkimus myös pyrkii selventämään EU:n yleisen tietosuoja-asetuksen tavoitteita ja

mitä ne tarkoittavat yrityksille, jotka käyttävät tai aikovat ottaa pilven käyttöön.

Pilvi eroaa perinteisistä tietojärjestelmistä monin tavoin, mutta jo olemassa olevia käytännöllisiä tietoturvamekanismeja voidaan hyödyntää tietoturvan ja yksityisyyden turvaamiseen pilvessä jos organisaatiot tietävät mitä ovat tekemässä. Kontrollin määrä järjestelmiin vähenee, kun siirrytään pilveen, mutta kontrollin vähenemistä voidaan pitää kurissa yritysten välisillä sopimuksilla ja oikeanlaisilla tietoturvamekanismeilla. Viranomaisten ohjeistukset yrityksille tarvitsevat päivitystä, jotta ne kattaisivat myös tarvittavat toimet, joita organisaatioiden tulee tehdä, jotta varmistutaan siitä ettei lainsäädännön noudattamisesta

tule liian monimutkaista. Pilvi on avoinna internetiin, joten sen tietoturva vaatii uudenlaista ajattelua. Varotoimena organisaatioiden tulee panostaa yleiseen tietoisuuteen pilviympäristöistä kaikille työntekijöille, joka voi yksinkertaistaa

pilvessä hyödynnettävien tietoturvamekanismien suunnittelua. Tietoisuus organisaation sisällä voi myös pienentää tietoturvan ja yksityisyyden riskiä, jossa

arkaluonteista dataa tallennetaan ja käsitellään pilvipalvelussa tai pilvijärjestelmässä, jonka tietoturva ei ole riittävällä tasolla.

Cloud based services are extremely popular among organization today. Cloud

brings many benefits and opportunities for companies, but it also brings uncertainty and challenges of data security and privacy. The privacy of personal data

has become more precise and regulations and legislations like EU General Data Protection Regulation (GDPR) has intervened how companies must process

customers personal data so that the privacy remains. This Master’s Thesis explores what changes moving to a cloud computing environment causes compared to a traditional information system. The research focuses on the change of

control cloud causes and how organizations can preserve the control in the cloud. This research also aims to clarify the goals of the GDPR and what it

means to a companies that are using or intending to adopt a cloud. Cloud differs from a traditional on-premise information systems (IS) in many ways, but

the existing practical security mechanisms can be utilized to ensure security and privacy in the cloud if organizations know what they are doing. The amount of

control over the system decreases when moving to a cloud but this can be mitigated by contracts and agreements and proper security mechanisms. The official guidelines organizations get need to be updated to cover the tangible actions organizations need to take to ensure that following the regulations does not

become too complex. Cloud is open to the internet and it requires a new kind of

thinking when it comes to security. As a precaution, organizations need to invest in improving the general awareness of cloud computing among the employees that will simplify the designing of the security mechanisms that are utilized with the cloud. The awareness among organization can mitigate the security and privacy risk of sensitive data being stored and processed in cloud service or systems with insufficient security level.