Vaadi konesalin toimittajaltasi tietoturvaselvitys

Konesalitoimittajan valinnassa tärkeää on palveluntarjoajan kyky varmistaa tekninen, hallinnollinen ja fyysinen tietoturva.

Tietoturvan eri osa-alueet ovat olleet erityistarkastelussa EU:n tietosuoja-asetuksen (GDPR eli general data protection regulation) tultua voimaan vuoden 2018 toukokuussa.

Uuden tietosuoja-asetuksen mahdollistamat sanktiot eivät koske vain kahdenvälisten sopimusten rikkomista, vaan viranomainen eli Tietosuojavaltuutettu voi määrätä havaitsemastaan rikkeestä tuntuvat sakot ilmoitusasiana.

Esimerkiksi konesalipalvelujen sopijapuolilla on mahdollisuus sopia korvausvastuun jakamisesta keskinäisessä suhteessaan, eli sopimusehdot kannattaa laatia – ja lukea – huolellisesti.

Palvelusopimuksen lisäksi palveluntarjoajan koko ja palvelun jatkuvuuden varmistaminen ovat tärkeitä kriteerejä, kun konesalin palveluntarjoajaa valitaan.

Fyysinen tietoturva ihan yhtä tärkeää kuin tietotekninen tietoturva

Tietoturvan kaikkien osien tulee olla konesalin palveluntarjoajalla kunnossa. Tietoturvasta puhuminen vie useimpien ihmisten ajatukset tietotekniseen turvaan ja hakkerointiin. Mutta fyysinen tietoturva on ihan yhtä tärkeää.

Entä jos betonisen turvahuoneen seinät päästävätkin vettä läpi ja kostean ilman tuoma korroosio on syönyt palveluntarjoajasi serverit vaivihkaa? Yhtenä kauniina päivänä – kaikki mennyttä. Tulipalo naapuritontin rengasliikkeessä voi tuottaa niin paksun savun, että palvelimet tuhoutuvat huonosti suunnitellun ilmanvaihdon takia. Nämä ovat esimerkkejä fyysisen tietoturvan puutteista.

Fyysiseen turvaan liittyvät muun muassa seuraavat tekijät: konesalin rakenne ja kestävyys sekä valaistukseen, oviin, lukituksiin, varkauksiin, kulunvalvontaan, tunkeutumisen estämiseen,tulipaloihin ja vesivahinkoihin liittyvät uhkat sekä niiden torjunta.

Hallinnollinen turva on täsmällisiä työrutiineja

Hallinnollinen tietoturva määrittää sen, miten konesaleissa toimitaan eri tilanteissa. Nykytilan kartoittaminen tarkoittaa nykyisen turvatason selvitystä ja kehityskohteiden hakemista. Lainsäädännön tuottamat vaatimukset eivät varsinkaan saa unohtua.

Riskienhallinnalla aidataan sisäiset ja ulkoiset riskit ymmärrettäviin kokonaisuuksiin. Yritysjohdon on sitouduttava riskienhallintaan ja osoitettava siihen riittävät resurssit.

Dokumentoidusta tietoturvapolitiikasta selviävät turvan vastuualueet, organisointi ja etenkin tietoturvasta vastaavat henkilöt. Koska kaikki säilyy tai kaatuu viestinnän mukana, kommunikaatio- ja raportointikäytäntöjenkin täytyy löytyä tietoturvapolitiikasta.

Tietoturvaohjelma on ennen muuta jatkuvaa koulutusta, jotta turvallisuusasiat eivät katoa mielestä päivittäisen tekemisen arjessa.

Tietoturva liimataan mukaan myös kaikkiin sopimuksiin, olivatpa nämä ulkoisia tai sisäisiä sitoumuksia.

Järjestelmätason tietoturva tunnistaa uhat

Järjestelmätason tietoturva lähtee arkkitehtuurista: miten se on ajateltu ja toteutettu. Tietoturva on prosessi eikä tuote. Sen taustalla pitää olla käsitys suojattavasta omaisuudesta ja siitä, miten suojaus tehdään.

Tämän lisäksi täytyy kyetä tunnistamaan todennäköisimmät uhkat: kuka murtautuu ja minkä tähden?

On syytä lähteä siitä, että jonakin päivänä murto myös onnistuu. Mitä silloin tehdään? Jos joku onnistuu tietomurrossa, paljonko seurausten minimointi ja korjaaminen maksavat?

Elisa eSali ja GDPR

Elisa eSali on IaaS- eli infrastruktuuripalvelu, joka sijaitsee Suomessa. Sen suunnittelussa on huomioitu tietoturvan kaikki edellä kuvatut osa-alueet.

IaaS tarkoittaa palvelimien ja palvelinsalien ulkoistamista. Salikokonaisuuteen kuuluvat tyypillisesti verkkoyhteydet, tallennustila, palvelimet ja niiden ylläpito.

eSali on luonnollisesti aina kahdennettu. Se mahdollistaa kustannusten vakioinnin, taatun käytettävyyden, skaalautuvuuden, ict-infran tehokkaan hyötykäytön, kuormituspiikkien välttämisen, skaalautuvuuden ja nopean tiedonpalauttamisen.

Iikka Manninen on Elisa eSalin Business manager. Hän on tiimeineen analysoinut jo pitkään, mitä EU:n tietosuoja-asetus Elisalle ja asiakkaille saa aikaan.

”Vielä se ei ole isommin näkynyt. Yleisesti ottaen me olemme asiakkaan datalle käsittelijä, emme rekisterinpitäjä. Sen tähden me emme ota kantaa siihen, mitä dataa asiakas konesaliin tuo. Meillä ei myöskään ole pääsyä asiakkaan dataan”, Manninen kertoo.

Jos Iikka Manninen itse valitsisi konesalia, olisi yksi kriteeri yli muiden: ”Pidän siitä, että fyysinen sali on paitsi turvallinen, niin sali ja sen sisältämä data ovat Suomessa.”

Elisa eSali voi olla liiketoiminnan alusta, varmistusten sijaintipaikka, laaja kehitysympäristö tai vaikka asiantuntijoiden tietotekninen leikkikenttä. eSali tarjoaa nopean käyttöönoton ja hyvän liitettävyyden muihin ympäristöihin ja palveluihin.

Lisää Elisa eSalista:

https://yrityksille.elisa.fi/esali-virtuaalinen-konesali