Kuinka turvallisia tietosi ovat?

Keskustelemme siitä, miksi vanhanaikainen sanonta "jos se ei ole rikki, älä korjaa sitä" ei ole enää hyvä lähestymistapa IT-järjestelmiin ja tietoturvaan.
työkaverit puhuvat sovelluksesta

Sisältö

Tämä blogikirjoitus perustuu Carsten Lillelund Pedersenin, Thinking as a Service, haastatteluun podcast Regnskabets Time, kausi 2 jakso 3.

Keskustelimme yhden tanskalaisen pilvipalveluinfrastruktuurin ja tietoturvan edelläkävijän, Thinking as a Service -yrityksen Carsten Lillelund Pedersenin kanssa saadaksemme lisätietoja siitä, mitä aloitteita yritysten tulisi tehdä ja mitä niiden tulisi odottaa SaaS-toimittajilta. Keskustelimme myös siitä, miksi vanhanaikainen sanonta "jos se ei ole rikki, älä korjaa sitä" ei ole enää hyvä lähestymistapa IT-järjestelmiin ja tietoturvaan.

Haastattelija: Carsten. Voitko kertoa meille Thinking as a Servicestä? 

Carsten: Siitä lähtien, kun ihmiset alkoivat työskennellä ammattimaisesti tietotekniikan parissa noin 30-40 vuotta sitten, on ollut erilaisia suuntauksia sen suhteen, miten tietotekniikkaan pitäisi suhtautua ja miten sitä pitäisi käyttää. Aluksi IT:n katsottiin tuottavan teknisiä palveluja. Se saattoi olla esimerkiksi support tai lähiverkkojen tai palvelimien perustamista. Nykyään IT:n katsotaan olevan palvelu, joka toimitetaan. Siksi pilvipalvelut, kuten Software as a Service, Platform as a Service, Infrastructure as a Service ja Back up as a Service, ovat nykyään standardi ja normi siinä, mitä IT:stä puhuttaessa toimitetaan. Kyse on näiden käsitteiden taustalla olevasta arkkitehtuurista ja neuvonnasta, jota käsittelemme Thinking as a Service -hankkeessa. 

Haastattelija: Carsten, olet työskennellyt viimeiset 25 vuotta tietoturvan parissa. Voisitko kertoa meille jotain tietoturvan ja tietoverkkorikollisuuden kehityksestä?  

Carsten: Carsten: Kyllä. Kehitys on seurannut samaa aaltoa, jonka mainitsin aiemmin: IT:stä on tullut palvelukeskeisempää. 25 vuotta sitten tietoverkkorikollisuutta pidettiin muutamana kellarissa istuvana kaverina, jotka yrittivät murtautua kaikenlaisiin paikkoihin, joita ei ollut suojattu. Tästä on tietenkin kehittynyt jotain kehittyneempää. Kyberrikollisuuden uusin suuntaus on itse asiassa se, että siitä on nyt tullut myös palvelu. Tämä tarkoittaa sitä, että aivan kuten on olemassa työkaluja yrityksen tietojen suojaamiseksi, rikolliset käyttävät nyt tietotekniikkatyökaluja vedättääkseen rahaa yrityksiltä, jotka eivät hallitse turvallisuuttaan 100-prosenttisesti. Tällaisen palvelun tarjoaminen on tullut mahdolliseksi jäljittämättömien kryptovaluuttojen yleistymisen ansiosta.

Haastattelija: Kun valmistauduimme tähän haastatteluun, mainitsit erään asian, joka yllätti minut. Sanoit, että ei ole aina hyvä idea tallentaa tietoja pilviratkaisuun. Voisitko selittää sitä tarkemmin? 

Carsten: Pilviratkaisu ei aina ole paras ratkaisu tietojen tallentamiseen. On kuitenkin tärkeää ymmärtää asiayhteys. Alussa yrityksillä oli tietoja ja verkkoja kellarissa sijaitsevissa palvelinhuoneissa. Ja melko vähillä ihmisillä ja resursseilla yrityksen oli silloin yritettävä tarjota kaikki tarvittavat tietotekniset työkalut. Tämä tarkoittaa sitä, että IT-osaston olisi tarjottava verkkopalvelimia, sähköpostijärjestelmiä, talousjärjestelmiä, tiedostojärjestelmiä, hallintajärjestelmiä jne. Kun tarjottavia palveluita on niin paljon, ja samalla se ei ole yrityksen ydinpalvelu, mikään palveluista ei tule olemaan yhtä hyvä.
Se ei ole enää vaihtoehto. Siksi suosittelen yrityksiä etsimään pilviratkaisun, joka toimitetaan SaaS:nä. Mutta jos kyseessä on toisaalta yrityksen ydinpalvelu - se voi olla esimerkiksi Expense Management -palvelun tarjoaja - silloin sen on oltava on-premise. Silloin yritys vastaa itse toiminnasta, kehittämisestä ja ylläpidosta. Kyseisen palvelun tarjoajalla on kuitenkin oltava myös 100-prosenttinen määräysvalta ydinpalveluunsa, minkä vuoksi on hyvä idea isännöidä ratkaisu on-premise. Kaikki muu kuin ydinpalvelu on ulkoistettava.

Haastattelija: solutions tanskalaiset yritykset ostavat monia palveluita pilvipalveluna. Mietin, eikö ole joitain asioita, joista pitäisi olla tietoinen suhteessa siihen, kuka on vastuussa turvallisuudesta?

Ensimmäisten 20 vuoden aikana, jotka työskentelin IT-alalla, oli eräs sanonta: Jos se ei ole rikki, älä korjaa sitä". Tämä johtui siitä, että aina kun jotain päivitettiin, seurasi virheitä. Oli helpompaa jättää asiat rauhaan, kunnes ne eivät enää toimineet. Se on tietenkin vaarallista. Rikolliset eivät pidättäyty päivittämästä menetelmiään. Juuri siksi on ulkoistettava kaikki, mikä ei ole yrityksen ydinpalvelu. Kyseisten SaaS-toimittajien on nimittäin ylläpidettävä itse käyttämiäsi sovelluksia ja työkaluja. Tämä siirtää vastuun SaaS-toimittajallesi. On olemassa useita tekijöitä, joiden avulla voidaan arvioida, kuinka hyvin SaaS-toimittaja suojaa tietojasi. Hyvä tapa arvioida tätä on käydä App Storessa tai Google Playssa ja katsoa, kuinka usein sovellusta päivitetään. Mitä enemmän, sitä parempi. Se ei välttämättä kerro kaikkea tietoturvasta, mutta se antaa mukavan vihjeen.
Siksi on hyvä varmistaa, että joku pitää silmällä SaaS-toimittajiasi. Ei välttämättä ole totta, että solutions ja palveluiden hallinta on paljon helpompaa, jos ne ulkoistetaan. Tiedot ovat kuitenkin turvallisempia. Kaikkia ongelmia ei voi ratkaista itse. Se on tehtävä selväksi.

Aiheeseen liittyvät artikkelit

Tapaa Visma Acubiz: Rebecca lakiasiaintoimistosta

Tässä postauksessa tapaamme Rebeccan, Legal & Compliance Specialist Visma Acubizissa. Hänellä on hiljattain CBS:stä hankittu cand.merc.(jur.) -tutkinto, ja hän on nopeasti saavuttanut mainetta yrityksessä, jossa hänen yksityiskohtainen lähestymistapansa ja kykynsä tehdä yhteistyötä eri osastojen välillä luovat arvoa. Tutustumme hänen tyypilliseen työpäiväänsä, mieleenpainuviin kokemuksiinsa ja siihen, mikä motivoi häntä tekemään parhaansa joka päivä.

Acubiz ja efacto solmivat strategisen kumppanuuden tehokkaaseen velkojien kirjanpitoon automatisoidun digitaalisen laskujenkäsittelyn avulla.

Visma Acubiz ja efacto ovat yhdistäneet voimansa tehdäkseen laskujen hallinnoinnista helpompaa ja älykkäämpää yrityksille. Tämä uusi kumppanuus yhdistää automatisoidun kulujenkäsittelyn ja laskuteknologian parhaat puolet.

Uusi kirjanpitolaki: Digitaalisen kirjanpito-ohjelman edut: Tutustu hyväksytyn digitaalisen kirjanpito-ohjelman etuihin

Uusi kirjanpitolaki edellyttää digitaalista kirjanpitoa, mikä asettaa erityisiä vaatimuksia käyttämällesi ohjelmistolle. Hyväksytyn digitaalisen kirjanpito-ohjelman valitseminen varmistaa vaatimustenmukaisuuden, säästää aikaa ja rahaa, takaa varmuuskopion kirjanpidostasi ja parantaa taloustietojesi turvallisuutta.

Kirjanpidon on oltava digitaalista: Uusi kirjanpitolaki

Kirjanpitolaki tarvitsi nykyaikaistamista pysyäkseen ajan tasalla, mikä johti uuden kirjanpitolain käyttöönottoon 1. heinäkuuta 2022. Uuden kirjanpitolain mukaan kirjanpitosi on oltava digitaalista, mikä asettaa erityisiä vaatimuksia käyttämällesi kirjanpito-ohjelmistolle. Jos hoidat kirjanpitosi Excelillä, on hyvin todennäköistä, että et täytä uuden lain digitalisointivaatimuksia.

"Hvederistä" pitäisi silti nauttia vapaapäivänä.

Tämän vuoden helmikuun viimeisenä päivänä Store Bededag (Suuri rukouspäivä) lakkautettiin Tanskan parlamentin enemmistön päätöksellä yleiseksi vapaapäiväksi vuonna 2024. Me Visma Acubizissa uskomme kuitenkin edelleen, että "Hvederiä" pitäisi nauttia vapaapäivänä.