Jani Räty

Tietoturva kuin sipuli

Palkkahallinnon siirtäminen pilvipalveluun on megatrendi, mutta pilvipalveluihin liittyvät tietoturvakysymykset saattavat yhä mietityttää. Totuus on kuitenkin useimmiten täysin päinvastainen: samalla kun siirrät palkanlaskennan pilvipalveluun, ulkoistat myös valtavan määrän dataa, maksullista säilytystilaa, ongelmia ja riskejä kumppanille, jonka ydinliiketoimintaa niistä huolehtiminen on. Väitänkin, että siirtymällä pilvipalveluun vältyt monelta murheelta. Katsotaanpa:

Kun jokin asia on ydinliiketoimintaa, siitä huolehtiminen on ykkösprioriteetti. Tietoturva on Aditron – ja Aditron kaltaisten toimijoiden – liiketoiminnan ytimessä, ja niinpä rakennamme tietoturvakyvykkyyttämme väsymättä. Teemme jatkuvaa yhteistyötä johtavien tietoturvatalojen kanssa, ja saamme siten myös tietoomme asioita, jotka ovat yksittäisen toimijan ulottumattomissa. Moni asiakkaistamme arvostaa myös sitä, että konesalimme sijaitsevat Suomessa, joten dataa säilytetään kotimaan rajojen sisäpuolella. Tietoturvamme on sertifioitu kolmannen osapuolen toimesta ISO 27001-sertifikaatilla. Ja koska tietoturva on juuri niin vahva kuin sen heikoin lenkki, edellytämme myös kumppaneiltamme samanlaiseen arvomaailmaan sitoutumista.

Kun tietoturva on kunnossa, se on rakenteeltaan kuin sipuli. Tavallisessa yrityksessä tietoturva rakentuu pitkälti oman sisäverkon suojauksen ympärille. Aditron tietoturva on sen sijaan rakennettu kerroksittain. Järjestelmään kirjautuva henkilö ohittaa ensimmäiseksi palomuurin ja kuormantasaajat. Samalla järjestelmä alkaa seurata, mistä yhteydenotto tulee, minkälaisesta liikenteestä on kysymys ja onko havaittavissa jotain poikkeavaa. Autentikointivaiheessa kirjautujalle myönnetään keskitetty pääsy rajattuun tietoon. Tietokannasta haettu data kulkee käyttäjälleen julkisen verkon yli salatussa muodossa, ja sisältö on salattu myös Aditron omalta henkilökunnalta.

Lopuksi vielä viiden kysymyksen check list avustamaan SaaS-palvelun toimittajan valinnassa:  

  1. Arvioi palveluntarjoajan tietoturvan lujuutta: onko se uskottavalla pohjalla?
  2. Onko palveluntarjoajan tietoturva sertifioitu kolmannen osapuolen toimesta?
  3. Ovatko tiedon saatavuuskysymykset kunnossa – myös silloin, jos jotain odottamatonta tapahtuu?
  4. Onko tietosuojaan kiinnitetty riittävästi huomiota?
  5. Onko toimijalla vakaa asema markkinalla ja vakaat tulevaisuudennäkymät?

Jani Räty

Director, Information Security and Quality

Lue myös:
Tietoturvan terveystarkastus
Aditrolle myönnetty ISO 27001 -tietoturvasertifikaatti
Hakkerin kertomaa tietoturvasta