Tämä blogikirjoitus perustuu Carsten Lillelund Pedersenin, Thinking as a Service, haastatteluun podcast Regnskabets Time, kausi 2 jakso 3.
Keskustelimme yhden tanskalaisen pilvipalveluinfrastruktuurin ja tietoturvan edelläkävijän, Thinking as a Service -yrityksen Carsten Lillelund Pedersenin kanssa saadaksemme lisätietoja siitä, mitä aloitteita yritysten tulisi tehdä ja mitä niiden tulisi odottaa SaaS-toimittajilta. Keskustelimme myös siitä, miksi vanhanaikainen sanonta "jos se ei ole rikki, älä korjaa sitä" ei ole enää hyvä lähestymistapa IT-järjestelmiin ja tietoturvaan.
Haastattelija: Carsten. Voitko kertoa meille Thinking as a Servicestä?
Carsten: Siitä lähtien, kun ihmiset alkoivat työskennellä ammattimaisesti tietotekniikan parissa noin 30-40 vuotta sitten, on ollut erilaisia suuntauksia sen suhteen, miten tietotekniikkaan pitäisi suhtautua ja miten sitä pitäisi käyttää. Aluksi IT:n katsottiin tuottavan teknisiä palveluja. Se saattoi olla esimerkiksi support tai lähiverkkojen tai palvelimien perustamista. Nykyään IT:n katsotaan olevan palvelu, joka toimitetaan. Siksi pilvipalvelut, kuten Software as a Service, Platform as a Service, Infrastructure as a Service ja Back up as a Service, ovat nykyään standardi ja normi siinä, mitä IT:stä puhuttaessa toimitetaan. Kyse on näiden käsitteiden taustalla olevasta arkkitehtuurista ja neuvonnasta, jota käsittelemme Thinking as a Service -hankkeessa.
Haastattelija: Carsten, olet työskennellyt viimeiset 25 vuotta tietoturvan parissa. Voisitko kertoa meille jotain tietoturvan ja tietoverkkorikollisuuden kehityksestä?
Carsten: Carsten: Kyllä. Kehitys on seurannut samaa aaltoa, jonka mainitsin aiemmin: IT:stä on tullut palvelukeskeisempää. 25 vuotta sitten tietoverkkorikollisuutta pidettiin muutamana kellarissa istuvana kaverina, jotka yrittivät murtautua kaikenlaisiin paikkoihin, joita ei ollut suojattu. Tästä on tietenkin kehittynyt jotain kehittyneempää. Kyberrikollisuuden uusin suuntaus on itse asiassa se, että siitä on nyt tullut myös palvelu. Tämä tarkoittaa sitä, että aivan kuten on olemassa työkaluja yrityksen tietojen suojaamiseksi, rikolliset käyttävät nyt tietotekniikkatyökaluja vedättääkseen rahaa yrityksiltä, jotka eivät hallitse turvallisuuttaan 100-prosenttisesti. Tällaisen palvelun tarjoaminen on tullut mahdolliseksi jäljittämättömien kryptovaluuttojen yleistymisen ansiosta.
Haastattelija: Kun valmistauduimme tähän haastatteluun, mainitsit erään asian, joka yllätti minut. Sanoit, että ei ole aina hyvä idea tallentaa tietoja pilviratkaisuun. Voisitko selittää sitä tarkemmin?
Carsten: Pilviratkaisu ei aina ole paras ratkaisu tietojen tallentamiseen. On kuitenkin tärkeää ymmärtää asiayhteys. Alussa yrityksillä oli tietoja ja verkkoja kellarissa sijaitsevissa palvelinhuoneissa. Ja melko vähillä ihmisillä ja resursseilla yrityksen oli silloin yritettävä tarjota kaikki tarvittavat tietotekniset työkalut. Tämä tarkoittaa sitä, että IT-osaston olisi tarjottava verkkopalvelimia, sähköpostijärjestelmiä, talousjärjestelmiä, tiedostojärjestelmiä, hallintajärjestelmiä jne. Kun tarjottavia palveluita on niin paljon, ja samalla se ei ole yrityksen ydinpalvelu, mikään palveluista ei tule olemaan yhtä hyvä.
Se ei ole enää vaihtoehto. Siksi suosittelen yrityksiä etsimään pilviratkaisun, joka toimitetaan SaaS:nä. Mutta jos kyseessä on toisaalta yrityksen ydinpalvelu - se voi olla esimerkiksi Expense Management -palvelun tarjoaja - silloin sen on oltava on-premise. Silloin yritys vastaa itse toiminnasta, kehittämisestä ja ylläpidosta. Kyseisen palvelun tarjoajalla on kuitenkin oltava myös 100-prosenttinen määräysvalta ydinpalveluunsa, minkä vuoksi on hyvä idea isännöidä ratkaisu on-premise. Kaikki muu kuin ydinpalvelu on ulkoistettava.
Haastattelija: solutions tanskalaiset yritykset ostavat monia palveluita pilvipalveluna. Mietin, eikö ole joitain asioita, joista pitäisi olla tietoinen suhteessa siihen, kuka on vastuussa turvallisuudesta?
Ensimmäisten 20 vuoden aikana, jotka työskentelin IT-alalla, oli eräs sanonta: Jos se ei ole rikki, älä korjaa sitä". Tämä johtui siitä, että aina kun jotain päivitettiin, seurasi virheitä. Oli helpompaa jättää asiat rauhaan, kunnes ne eivät enää toimineet. Se on tietenkin vaarallista. Rikolliset eivät pidättäyty päivittämästä menetelmiään. Juuri siksi on ulkoistettava kaikki, mikä ei ole yrityksen ydinpalvelu. Kyseisten SaaS-toimittajien on nimittäin ylläpidettävä itse käyttämiäsi sovelluksia ja työkaluja. Tämä siirtää vastuun SaaS-toimittajallesi. On olemassa useita tekijöitä, joiden avulla voidaan arvioida, kuinka hyvin SaaS-toimittaja suojaa tietojasi. Hyvä tapa arvioida tätä on käydä App Storessa tai Google Playssa ja katsoa, kuinka usein sovellusta päivitetään. Mitä enemmän, sitä parempi. Se ei välttämättä kerro kaikkea tietoturvasta, mutta se antaa mukavan vihjeen.
Siksi on hyvä varmistaa, että joku pitää silmällä SaaS-toimittajiasi. Ei välttämättä ole totta, että solutions ja palveluiden hallinta on paljon helpompaa, jos ne ulkoistetaan. Tiedot ovat kuitenkin turvallisempia. Kaikkia ongelmia ei voi ratkaista itse. Se on tehtävä selväksi.
