Organisaation pilvipalveluiden hallinta tietoturvan näkökulmasta

Abstract

Pilvipalveluiden rooli organisaatioiden työvälineinä kasvaa jatkuvasti. Pilvipalveluita hyödyntäessä organisaation tulee panostaa entistä enemmän tietoturvaan. Paras tapa varmistua työntekijöiden tietoturvallisesta työskentelystä, on määritellä ja jalkauttaa tehokkaat tietoturvakäytänteet. Tietoturvakäytänteillä, tietoturvakoulutuksilla ja erilaisilla tietoturvakampanjoilla mahdollistetaan organisaatioiden työntekijöiden paras mahdollinen tietoturvatietoisuus. Tässä pro gradu - tutkielmassa tutkitaan organisaation keinoja tietoturvalliseen pilvipalveluiden hallintaan, ja työntekijöiden tietoturvallisen työskentelyn varmistamiseen. Tutkielmassa pyritään vastaamaan kahteen tutkimuskysymykseen, jotka ovat ”Mitä organisaation tulee ottaa huomioon pilvipalveluiden hallinnassa tietoturvan näkökulmasta?” sekä ”Mitä riskejä pilvipalveluissa ja organisaation pilvipalveluiden hallinnassa on tietoturvan näkökulmasta?”. Tutkielma sisältää kirjallisuuskatsauksen sekä empiirisen osuuden, joka toteutettiin laadullisena tapaustutkimuksena. Oleellisimpia tietoturvariskejä organisaatioille ovat eteenkin asiakkaita palvelevissa organisaatioissa arkaluonteisen tiedon vuotaminen niille, joilla ei siihen pääsyä tulisi olla. Pilvipalveluiden, joissa organisaation tietoja käsitellään, tietoturvasta ja työntekijöiden tietoturvallisesta työskentelystä voidaan varmistua asianmukaisilla tietoturvakäytänteillä, jotka sisältävät työntekijöille suunnattuja ohjeistuksia sekä vaatimuksia laitteiden ja pilvipalveluiden käytöstä. Järjestelmien ja pilvipalveluiden kokonaisturvallisuutta tarkastellessa on syytä huomioida aina ihmisen tuoma riski. Ihmisriskiä, sisältäen käyttäjän tahalliset tai tahattomat toimet, voidaan minimoida tietoturvakäytänteillä, kouluttamisella sekä tietoturvakäytänteiden noudattamisen seurannalla.

The role of Cloud based services as working tools for organizations is rapidly growing. When using Cloud Services, organizations face many kinds of Information Security requirements. The best way to ensure secure working and awareness of employees is to define and implement effective Information Security Policies. The purpose of this Master’s Thesis is to propose tools for organizations to manage their Cloud environment, as well as ensure the Information Security Awareness of their employees. This thesis aims to find answers to two re-search questions, which are: “What an organization needs to consider when managing cloud environment from the information security perspective?” and “Which are the risks in the cloud services and organizations cloud environment management from the information security perspective?”. This thesis contains a literature review and a case study. Leakage of information can be considered as the most significant risk for organizations. The information security of the cloud services processing sensitive information should be covered by effective information security policies, as well as the employees using the cloud services. When obtaining the overall security of the system or cloud service, the risk brought by human should always be considered. Human risk, including the intentional and unintentional acts, can be minimized with information security policies, information security training and monitoring the employee’s adherence of information security policies.