Pilvipalveluiden käyttöönottopäätöksen keskeisiä teemoja : näkökulmia tietohallintoon ja -turvallisuuteen valtionhallinnossa

Abstract

Pilvipalvelut (engl. cloud computing) on luonteeltaan kehittyvä viitekehys kattamaan laajan kirjon monipuolisia internet-välitteisiä tietoteknisiä palveluita erilaisten toimijoiden käyttötarpeisiin. Pilvipalveluiden käytöllä tavoitellaan kustannustehokkuutta, skaalautuvuutta sekä joustavaa käyttöä. Käytön tietoturvallisuuskysymykset, vastuiden jakautuminen sekä läpinäkyvyys läpi koko palveluketjun askarruttavat toimijoita heidän harkitessaan liiketoimintansa kannalta keskeisimpien tietojärjestelmiensä siirtämistä pilveen. Pro gradu -tutkielmassa käytetään menetelmänä käsiteanalyyttista tutkimusotetta, joka sisältää myös kirjallisuuskatsauksen. Tarkastelun kohteena ovat valtionhallinnon organisaatioiden kannalta keskeiset näkökulmat otettaessa käyttöön pilvipalveluita osaksi tietoteknistä palvelutuotantoarkkitehtuuria. Kirjallisuuskatsauksessa selvitetään käyttöönottopäätökseen valmistelun taustalla vaikuttavia osa-alueita. Tutkielman keskiössä ovat tietoturvallisuuden osa-alueet arvioitaessa liiketoimintaan vaikuttavia riskejä pilviteknologioiden tunnistettujen vahvuuksien, heikkouksien ja uhkien kautta. Keskeisimpänä taustateoriana tutkielmassa on innovaatioiden diffuusio (engl. Diffusion of Innovation) ja TOE-kehysmalli, jonka kehys sisältää teknologisten, organisaatioon liittyvien ja toimintaympäristön vaikutusten tarkastelun (engl. Technology, Organization and Enviroment). Pilvipalveluiden käyttöönotto ja käyttö vaativat organisaation ylimmän johdon tuen, johdonmukaisen hallintamallin, organisaatiotasoisen arkkitehtuurikehyksen sekä hyväksytyn toteutusprosessin toimintaohjeineen. Hallittua käyttöönottoa varten nähdään välttämättömäksi kehittää organisaatioiden omaa osaamista pilvipalveluiden sisältämien teknologioiden ja palveluratkaisujen osalta. Organisaation tarpeisiin nähden sovelletun monialaisen osaamiskeskittymän perustaminen tukisi ja varmistaisi käyttöönottojen onnistumisen. Tietojärjestelmien sijoittaminen erilaisiin palveluympäristöihin perustuu käsiteltävän tietoaineiston luokitteluun, sekä järjestelmäkohtaisiin riskiarviointeihin. Pilvipalveluiden auditointi sellaiselle tasolle, jossa pilveen voidaan sijoittaa myös käyttö rajoitettu -tasoista tietoaineistoa, vaikuttaa tarkoituksenmukaiselle tavoitteelle. Tällöin pilven hyödyt saataisiin optimoitua ja saavutettaisiin riittävän laajat käyttömahdollisuudet pilviarkkitehtuurille. Valmistelutyö vaatii merkittäviä ponnisteluja eri toimijoiden tuottamien tietojärjestelmäratkaisuiden yhteensovittamisessa.