Vaadi konesalin toimittajaltasi tietoturvaselvitys

Konesalitoimittajan valinnassa tärkeää on palveluntarjoajan kyky varmistaa tekninen, hallinnollinen ja fyysinen tietoturva.

Tietoturvan eri osa-alueet ovat olleet erityistarkastelussa EU:n tietosuoja-asetuksen (GDPR eli general data protection regulation) tultua voimaan vuoden 2018 toukokuussa.

Uuden tietosuoja-asetuksen mahdollistamat sanktiot eivät koske vain kahdenvälisten sopimusten rikkomista, vaan viranomainen eli Tietosuojavaltuutettu voi määrätä havaitsemastaan rikkeestä tuntuvat sakot ilmoitusasiana.

Esimerkiksi konesalipalvelujen sopijapuolilla on mahdollisuus sopia korvausvastuun jakamisesta keskinäisessä suhteessaan, eli sopimusehdot kannattaa laatia – ja lukea – huolellisesti.

Palvelusopimuksen lisäksi palveluntarjoajan koko ja palvelun jatkuvuuden varmistaminen ovat tärkeitä kriteerejä, kun konesalin palveluntarjoajaa valitaan.

Fyysinen tietoturva ihan yhtä tärkeää kuin tietotekninen tietoturva

Tietoturvan kaikkien osien tulee olla konesalin palveluntarjoajalla kunnossa. Tietoturvasta puhuminen vie useimpien ihmisten ajatukset tietotekniseen turvaan ja hakkerointiin. Mutta fyysinen tietoturva on ihan yhtä tärkeää.

Entä jos betonisen turvahuoneen seinät päästävätkin vettä läpi ja kostean ilman tuoma korroosio on syönyt palveluntarjoajasi serverit vaivihkaa? Yhtenä kauniina päivänä – kaikki mennyttä. Tulipalo naapuritontin rengasliikkeessä voi tuottaa niin paksun savun, että palvelimet tuhoutuvat huonosti suunnitellun ilmanvaihdon takia. Nämä ovat esimerkkejä fyysisen tietoturvan puutteista.

Fyysiseen turvaan liittyvät muun muassa seuraavat tekijät: konesalin rakenne ja kestävyys sekä valaistukseen, oviin, lukituksiin, varkauksiin, kulunvalvontaan, tunkeutumisen estämiseen, tulipaloihin ja vesivahinkoihin liittyvät uhkat sekä niiden torjunta.

Hallinnollinen turva on täsmällisiä työrutiineja

Hallinnollinen tietoturva määrittää sen, miten konesaleissa toimitaan eri tilanteissa. Nykytilan kartoittaminen tarkoittaa nykyisen turvatason selvitystä ja kehityskohteiden hakemista. Lainsäädännön tuottamat vaatimukset eivät varsinkaan saa unohtua.

Riskienhallinnalla aidataan sisäiset ja ulkoiset riskit ymmärrettäviin kokonaisuuksiin. Yritysjohdon on sitouduttava riskienhallintaan ja osoitettava siihen riittävät resurssit.

Dokumentoidusta tietoturvapolitiikasta selviävät turvan vastuualueet, organisointi ja etenkin tietoturvasta vastaavat henkilöt. Koska kaikki säilyy tai kaatuu viestinnän mukana, kommunikaatio- ja raportointikäytäntöjenkin täytyy löytyä tietoturvapolitiikasta.

Tietoturvaohjelma on ennen muuta jatkuvaa koulutusta, jotta turvallisuusasiat eivät katoa mielestä päivittäisen tekemisen arjessa.

Tietoturva liimataan mukaan myös kaikkiin sopimuksiin, olivatpa nämä ulkoisia tai sisäisiä sitoumuksia.

Tekninen järjestelmätason tietoturva tunnistaa uhat

Tekninen järjestelmätason tietoturva lähtee arkkitehtuurista: miten se on ajateltu ja toteutettu. Tietoturva on prosessi eikä tuote. Sen taustalla pitää olla käsitys suojattavasta omaisuudesta ja siitä, miten suojaus tehdään.

Tämän lisäksi täytyy kyetä tunnistamaan todennäköisimmät uhkat: kuka murtautuu ja minkä tähden?

On syytä lähteä siitä, että jonakin päivänä murto myös onnistuu. Mitä silloin tehdään? Jos joku onnistuu tietomurrossa, paljonko seurausten minimointi ja korjaaminen maksavat?

Oleellinen tekijä tässä on datan varmuuskopiointi ja suojaus. Konesali- ja kapasiteettipalvelun valinnassa kannattaa varmistua siitä, että data varmuuskopioidaan päivittäin ja varmuuskopiointi on helposti palautettavissa halutulta päivältä.

Hyvät hallinnolliset mallit varmistavat muun muassa sen, että varmuuskopiointi testataan säännöllisin väliajoin, jolloin varmuuskopio on aina palautettavissa, ja että varmuuskopiot säilytetään fyysisesti eri lokaatiossa kuin varsinainen data.

Elisa eSali ja GDPR

Elisa eSali on IaaS- eli infrastruktuuripalvelu, joka sijaitsee Suomessa. Sen suunnittelussa on huomioitu tietoturvan kaikki edellä kuvatut osa-alueet.

IaaS tarkoittaa palvelimien ja palvelinsalien hankkimista palveluna.. Salikokonaisuuteen kuuluvat tyypillisesti verkkoyhteydet, tallennustila, palvelimet ja niiden ylläpito.

eSali on luonnollisesti aina kahdennettu. Se mahdollistaa kustannusten vakioinnin, taatun käytettävyyden, skaalautuvuuden, ict-infran tehokkaan hyötykäytön, kuormituspiikkien välttämisen, skaalautuvuuden ja nopean tiedonpalauttamisen.

“Datan prosessointi Suomessa on asiakkaillemme ja heidän asiakkailleen erittäin oleellista. Elisan palvelut ja toimintamallit ovat täysin GDPR:n mukaisia ja data säilytetään Suomessa”, kertoo Juho Huopaniemi, joka vastaa Elisan eSali- ja konesaliliiketoiminnasta.

Elisa eSali voi olla liiketoiminnan alusta, varmistusten sijaintipaikka, laaja kehitysympäristö tai vaikka asiantuntijoiden tietotekninen leikkikenttä. eSali tarjoaa nopean käyttöönoton ja hyvän liitettävyyden muihin ympäristöihin ja palveluihin.

Lisää Elisa eSalista:

https://yrityksille.elisa.fi/esali-virtuaalinen-konesali