Information Security and Risk Management of Cloud Services: Guidelines and Recommendations for Organizations

Abstract

Cloud solutions have been the standard IT platform for over a decade and are increasingly adopted by organizations and consumers. Despite the strong trend of users and organizations moving to cloud solutions, cloud security remains a significant issue and a longstanding debate among both academics and practitioners, and many organizations are still hesitant to adopt cloud solutions due to security concerns. The objective for this thesis was to improve awareness among organizations regarding the security risks associated with cloud computing and the methods and tools available to mitigate these risks. The study aimed to answer one main research question: “What should organizations take into account regarding information security when deploying and managing cloud services?”, and one sub-research question: “What information security risks can the use of cloud services cause for organizations?”. The structure of the thesis encompasses a thorough literature review, followed by an empirical case study. The numerous challenges associated with cloud security highlight the critical need for organizations to implement robust security controls, conduct comprehensive risk assessments, and ensure continuous monitoring and development of their cloud environments. It is essential for organizations to remain adaptive and commit to continuous improvement to ensure that cloud security evolves alongside the cloud environment and the surrounding threat landscape. Organizations should adopt a comprehensive and multilayered approach to cloud security, adhering to the defense-in-depth principles. This includes ensuring that security is integrated into every layer of the cloud architecture by design.

Pilviratkaisut ovat olleet standardi IT-alusta yli vuosikymmenen ajan, ja organisaatiot sekä kuluttajat ottavat niitä käyttöön yhä enenevissä määrin. Huolimatta kuluttajien ja organisaatioiden vahvasta suuntauksesta siirtyä pilviratkaisuihin, pilven tietoturva on edelleen merkittävä ongelma ja pitkäaikainen keskustelunaihe sekä tutkijoiden että ammattilaisten keskuudessa. Monet organisaatiot epäröivät edelleen ottaa pilviratkaisuja käyttöön tietoturvaongelmien vuoksi. Tämän pro gradu -tutkielman tavoitteena oli lisätä organisaatioiden tietoisuutta pilvipalveluihin liittyvistä tietoturvariskeistä sekä käytettävissä olevista menetelmistä ja työkaluista näiden riskien hallitsemiseksi. Tutkimuksen tavoitteena oli vastata yhteen päätutkimuskysymykseen: "Mitä organisaatioiden tulisi ottaa huomioon tietoturvan osalta pilvipalveluiden käyttöönotossa ja hallinnassa?”, sekä yhteen apututkimuskysymykseen: "Mitä tietoturvariskejä pilvipalveluiden käyttö voi aiheuttaa organisaatioille?". Opinnäytetyön rakenne käsittää perusteellisen kirjallisuuskatsauksen, jota seuraa empiirinen tapaustutkimus. Pilven tietoturvaan liittyvät lukuisat haasteet korostavat organisaatioiden kriittistä tarvetta toteuttaa vaikuttavia tietoturvakontrolleja, suorittaa kattavia riskinarviointeja, ja varmistaa pilviympäristöjensä jatkuva valvonta sekä kehitystyö. Organisaatioiden on tärkeää pysyä mukautuvina ja sitoutua jatkuvaan parantamiseen varmistaakseen, että pilven tietoturva kehittyy pilviympäristön ja ympäröivän uhkaympäristön mukana. Organisaatioiden tulisi omaksua kattava ja monitasoinen lähestymistapa pilven tietoturvaan noudattaen syvyyssuuntaisen suojauksen periaatteita. Tähän sisältyy sen varmistaminen, että tietoturva on integroitu pilviarkkitehtuurin jokaiseen kerrokseen suunnitellusti.