Blogi: Liiketoimintatiedot turvaan Microsoftin pilvipalveluiden avulla

Kirjoittaja: Jukka Niiranen

Yksi ensimmäisiä yritysten tietojärjestelmiä, joka siirtyi laajassa mittakaavassa pilveen SaaS-aikakauden alkupuolella, oli asiakkuudenhallinta eli CRM. Mitä enemmän asiakastiedon hyödyntämistavat alkoivat linkittyä yrityksestä ulospäin näkyviin palveluihin, joilla asiakaskokemusta pyrittiin parantamaan, sitä loogisemmaksi arkkitehtuuriksi pilvipohjainen asiakkuudenhallinta muodostui. Esimerkiksi Microsoft on tarjonnut SaaS-muotoista CRM-tuotetta jo yli vuosikymmenen ajan, ja nykypäivänä käytännössä kaikki heidän tuotekehityspanostuksensa on Azure-pilven päälle rakentuvassa Dynamics 365 -alustassa palvelintuotteiden sijaan.

Vaikka asiakastieto onkin tänä päivänä merkittäviltä osin ulkoisista järjestelmistä integraatioiden kautta kertyvää dataa eikä perinteisiä myyjän käsin CRM:ään tekemiä kirjauksia, se ei toki ole muuttunut missään määrin julkiseksi tiedoksi. Päinvastoin, näiden tietojen turvallisen käsittelyn vaatimukset tiedostetaan organisaatioissa nykyään entistä laajemmin, kiitos niin julkisuuteen nousseiden tietovuotojen saaman näkyvyyden kuin henkilötietojen käsittelyä koskevien EU:n tietosuoja-asetusten (GDPR) voimaan astumisen.

Kuinka liiketoimintakriittisen tiedon joustava hyödyntäminen voitaisiin parhaiten yhdistää sen suojaamiseen alati muuttuvilta tietoturvariskeiltä? Vaikka se saattaakin kuulostaa hassulta, usein tehokkain keino tähän on tiedon vienti globaalin palveluntarjoajan pilveen. Käyn tässä artikkelissa läpi Microsoftin kehittämiä ratkaisuja tietoturvalliseen ja moderniin liiketoimintatietojen hallintaan.

Tietoturvan perustukset pystyyn Dynamics 365 -alustalla

Siirtyminen paikallisilta palvelimilta perinteisen Dynamics CRM -ympäristön käytöstä Microsoftin globaalissa pilvessä tuotettuun Dynamics 365 palveluun tuo mukanaan monia tietoturvaa parantavia ominaisuuksia. Asiakkailla on käytössään esimerkiksi päivittäin automaattisesti otettavat varmuuskopiot tietokannoista, joita he pystyvät itsepalveluna hallintaportaalista palauttamaan. Microsoft taas huolehtii siitä, että tiedot on replikoitu eri maissa sijaitsevien palvelinkeskusten välillä (EU-alueen sisällä), eivätkä yksittäiset laiterikot tämän mittakaavan pilvipalveluissa aiheuta asiakkaille päin näkyvää palvelukatkoa. Fyysinen tietoturva näissä jättimäisissä datatehtaissa on luonnollisesti viritetty huippuunsa, koska näille palveluntarjoajille on ensiluokkaisen kriittistä heidän yritysasiakkaidensa luottamuksen ansaitseminen ja säilyttäminen.

Pilvipalvelun käytön helppous ja päätelaiteriippumaton pääsy tietoon ovat omiaan nostamaan asiakastiedon hyödyntämisastetta, kun CRM-järjestelmään ei tarvitse erikseen “mennä” vaan se on aina myyjien saatavilla sijainnista ja ajankohdasta riippumatta. Kääntöpuoli asiassa on se, että tietojen saatavuuden parantuminen tuo ne myös helpommin ei-toivottujen tahojen saataville, mikäli organisaation järjestelmien tietoturvasta ei ole huolehdittu asianmukaisella tavalla.

Pilvipalveluihin siirtyminen itsessään on luonut aivan uudenlaisia mahdollisuuksia kehittää datapohjaisia tietoturvapalveluita. Microsoftista onkin tulossa kovaa vauhtia maailman suurin tietoturvayritys, koska sen globaalit palvelut niin pilvessä kuin pilven kanssa keskustelevissa päätelaitteissa tarjoavat sille ainutlaatuisen aitiopaikan seurata uusien tietoturvauhkien syntymistä ja leviämistä, telemetriatietoja analysoimalla. Yhä useammin siis on mahdollista hankkia samalta luukulta niin tietotyöläisten tarvitsemia tiedonkäsittelyn välineitä (kuten Office 365, Dynamics 365) ja tämän tiedon suojaamiseen suunniteltuja palveluita. Microsoftin laajenevan pilvipalvelusalkun myötä on kuitenkin syytä kiinnittää huomiota siihen, pystyvätkö näitä palveluita tukevat paikalliset kumppaniyritykset tarjoamaan asiakasorganisaatioilleen IT-asiantuntijoita, joilta löytyy ymmärrystä pilvipalveluiden optimaalisesta yhteispelistä.

Microsoft 365:stä ja Azuresta välineet liiketoimintatiedon suojaamiseen

Otettaessa käyttöön Dynamics 365:een tai PowerAppseihin pohjautuvia liiketoimintasovelluksia on syytä perehtyä myös tietoturvanäkökulmaan. Pelkkä sovellusten sisäinen käyttöoikeusroolien hallinta kun ei takaa sitä, etteikö pahantahtoinen toimija voisi saada kaapatuksi esim. sovelluksen pääkäyttäjän identiteetin ja siten saada rajattomat oikeudet yrityksen salassa pidettäviin liiketoimintatietoihin. Ehdollinen pääsynhallinta (Conditional Access) ja vahva tunnistautuminen (MFA, Multi-Factor Authentication) ovat esimerkkejä niistä keinoista, joilla Microsoftin pilvipalveluita käyttävät yritykset voivat suojautua tätä riskiä vastaan.

Yhtä lailla huomionarvoinen tekijä pilvipalveluita hyödynnettäessä on se, että data siirtyy eri sovellusten välillä parhaimmillaan erittäin sujuvasti, kun organisaation tietotyöläiset sitä käsittelevät. Pelkkään Dynamics-tietokantaan kirjattavien merkintöjen sijaan nykypäivän asiakkuudenhallinta on tiimityöskentelyä, jossa välineinä toimivat Dynamicsiin automaattisesti integroituvat Teams-keskustelut, SharePoint ja OneDrive -dokumenttikirjastot sekä tietenkin Outlookista seurattavat asiakassähköpostit ja tapaamiset. Silloin on syytä ymmärtää, miten näissä Office 365 -puolen välineissä saatavilla olevilla tietoturva- ja hallintavälineillä voidaan suojata asiakastietojen päätymistä väärään paikkaan.

Rakenteellinen asiakastietokannan sisältö on yksi yrityksen liiketoimintatiedon ilmentymistapa, kun tarkastellaan toistuvia prosesseja esim. myyntimahdollisuuksien ja tilausten käsittelyssä. Syvällisempää ja usein myös ulkopuolisille tahoille arvokkaampaa tietoa liikkuu kuitenkin dokumenttimuotoisessa sisällössä, joita näissä prosesseissa tuotetaan. Tämän datan luokitteluun ja suojaamiseen Microsoftilta löytyy mm. Azure Information Protection -välineitä. Jos asiakkuusprosessien kehittämisen myötä syntyy entistä paremmin keskitettyjä varastoja esim. tarjousprosessissa syntyvälle dokumentaatiolle, olisiko syytä CRM-järjestelmän kehityksen yhteydessä selvittää myös näiden tietomuotojen moderneja suojauskeinoja Microsoftin pilvessä?

Työntekijöiden tarpeisiin vastaavien modernien työvälineiden käyttöönotto on tehokas keino edistää yhteisten toimintatapojen leviämistä yrityksessä ja siten minimoida todennäköisyyttä liiketoiminnalle kriittisten tietojen päätymistä varjo-IT:n kautta ei-toivottuihin järjestelmiin. Pilvisovellusten matala aktivointikynnys kuitenkin tekee vaikeaksi varmistua siitä, etteivät työntekijät joko tietoisesti tai vailla parempaa ymmärrystä rikkoisi tiedonkäsittelyn pelisääntöjä ja esim. siirtäisi asiakastietoja palveluun, joka ei esimerkiksi täytä GDPR-vaatimuksia. Onneksi tähänkin ongelmaan löytyy tuotteistettuja palveluita kuten Microsoft Cloud App Security, joilla yrityksen verkkoliikenteestä pystytään raportoimaan kiellettyjen pilvisovellusten käyttöä.

Pilvipalveluihin siirtyminen mahdollistaa päätelaite- ja paikkariippumattomuuden lisäksi myös organisaatioriippumattoman tietojen käsittelyn. Erilaiset sidosryhmät organisaation ulkopuolelta tulevat luontevaksi osaksi yrityksen tiedonhallintaa ja prosesseja. Tämä asettaa omat haasteensa tietoturvaan ja tietosuojaan, jos jokaiseen sovellukseen liittyviä tunnuksia ja oikeuksia tulisi hallinnoida erikseen kaikkiin kumppaniorganisaatioihin päin. Azure Active Directory B2B -vierailijatunnusten avulla saadaan

Asiantuntijat neuvomaan tietoturvapalveluiden käyttöönotossa

Microsoft-pilvessä eivät tietoturvaan liittyvät ominaisuudet heti lopu kesken, mutta tämän kääntöpuolena erilaisten palveluiden ja asetusten viidakko saattaa tuntua perin vaikeakulkuiselta maastolta. Vaikka SaaS-sovellukset tarjoavatkin valmiita perustason tietoturvatoimintoja kaikille käyttäjäryhmille yhteisiin tarpeisiin (kuten datan varmistukset), vaatii kattavamman suojauksen saavuttaminen perehtymistä omalle organisaatiolle soveltuviin käytäntöihin ja palveluasetuksiin.

Elisan asiantuntijapalveluiden avulla pääset nopeasti käyntiin tietoturvatoimintojen hyödyntämisessä Microsoftin pilvessä. Tarjoamme valmiiksi mietittyjä Tietoturvatyöpaja-kokonaisuuksia, niin identiteetin ja informaation suojaamisen perusteisiin kuin edistyneempään uhkilta suojautumiseen ja monitorointiin. Jos olet kiinnostunut kuulemaan aiheesta lisää, kannattaa rekisteröityä maksuttomaan webinaariimme 23.10., jossa Matti Väliniemi  ja minä käymme tarkemmin lävitse tässä kirjoituksessa mainittuja liiketoimintatiedon turvaamisen välineitä Microsoftin pilvipalveluiden avulla.

Lue Jukan aiempia blogikirjoituksia:
https://hub.elisa.fi/ovatko-fyysiset-laitteet-kohta-myos-crm-kayttajia/ 
https://hub.elisa.fi/dynamics-365-asiantuntijoiden-3-pointtia-tietohallinnolle/

Elisan Business Applications Product Lead Jukka Niiranen on työskennellyt Microsoftin CRM-ratkaisujen parissa vuodesta 2005 alkaen ja nähnyt kuinka Dynamicsin myötä tehokkaat prosessiautomaation välineet ovat siirtyneet ohjelmistoprojekteista liiketoiminnan asiantuntijoiden pöydälle, tehden samalla sovellusten kehityksestä merkittävästi käyttäjälähtöisempää. Jukka on jakanut aktiivisesti kokemuksiaan ja ajatuksiaan blogeissa ja sosiaalisessa mediassa, minkä ansiosta hän on saanut Microsoft Most Valuable Professional (MVP) palkinnon jo seitsemänä peräkkäisenä vuotena.