perjantai 25. toukokuuta 2012

Pilvipalveluiden hankintaan helpotusta!

Tulossa on muutama vaikea sana, mutta lupaan, että tämän luettuasi tiedät, mistä apu löytyy. Pilvipalvelut, Saas, Iaas, tietoturva, riskit… kaikki nämä aiheuttavat yrittäjille, yrityksen johdolle ja tietohallinnolle harmaita hiuksia. Pilvipalveluista ei oikein kukaan ole vielä perillä, eikä riskienhallintakaan pitkästä historiasta ja hyvistä kehyksistä huolimatta ole aina se helpoin asia. Sitten kun nuo asiat vielä yhdistetään – pilvipalvelut, tietoturvallisuus ja riskienarviointi -  ollaan alueella, joka ei ole ammattilaisellekaan aina mukavaa. Ei siksi, että nuo asiat olisivat ongelmallisia, vaan siksi, että ne ovat usein hyvin epäselviä ja niistä tehdään vaikeita.

Ilahduin suuresti ollessani seuraamassa muutama viikko sitten Laurean turvallisuusalalta valmistuvien opinnäytetyöseminaaria ja saadessani tutustua Anssi Kaipion opinnäytetyöhön Kesko –konsernille. Opinnäytetyössä on tartuttu kumpaankin vaikeista aiheista ja tuotettu juuri sitä, mitä etenkin yrittäjät ja hankinnoista vastuullinen johto tarvitsee. Anssi on tutkinut pilvipalveluihin liittyviä riskejä ja laatinut arviointityökalun, jolla voidaan arvioida sekä palveluihin liittyviä riskejä, että myös hankintavaiheessa vertailla eri palveluntarjoajia. Samalla myös palveluiden hankinnan yhdenmukaistaminen mahdollistuu.

”Vaikka työkalua ei ohjeiden mukaan rakentaisikaan, saa työstä paljon irti jo tulostamalla tietoperustaosuuden - käsitteet ja riskit - ja kysymyslistan. Näiden avulla voi tarkistuslista –tyyppisesti käydä kysymyksiä keskustellen läpi palveluntarjoajien kanssa.” kertoo Anssi Kaipio. Työn hyvä puoli on myös se, että se ei ole insinöörikieltä ja käy ymmärrettävästi ja selkeästi läpi, mitä pilvipalveluilla tarkoitetaan. Tämä alue, jos mikä tarvitsee käytännönläheistä ja selkeää lähestymistapaa. Työ on erinomainen esimerkki siitä, millaista todellista hyötyä ammattikorkeakoulujen ja työelämän yhteistyö tuottaa kaikille osapuolille.

Työ on ladattavissa pdf -muodossa Theseuksesta (ammattikorkeakoulujen julkaisuarkisto).

perjantai 11. toukokuuta 2012

Testaa, testaa, testaa...

Tekemään oppii vain tekemällä. Riippumatta siitä, missä ympäristössä ja millä lainalaisuuksilla toimitaan. Mallit, ohjeet ja kehykset ovat hyviä olemassa, mutta ne jäävät vajaaksi, kun mukana on inhimillisiä tekijöitä ja elävä tilanne. Ihannetilanteessa - mallien maailmassa - kaikki tapahtuu paperilla, hitaasti ja aikaa on rajattomasti. Todellisuudessa näin ei ole. Siksi Opsec tekee toistoja toistojen perään, kunnes ollaan tasolla, jossa jokainen tuntee ja tietää roolinsa. Siksi testaus on meille tärkeää.

Viime viikonloppuna Opsecin henkilöstöä oli kouluttamassa kohteen suojausta hiukan erilaisessa tilanteessa, normaalista poikkeavalla uhkakuvalla. Mutta tässäkin painottuu harjoittelun ja tilanteeseen eläytymisen tärkeys. Oppaiden, standardien, mallien ja ohjeiden maailmassa kaikki on aina niin selvää, mutta inhimillinen tekijä, tilanteen kulku ja ympäristötekijät vaihtelevat. Tälläkin "haittaohjelmalla" oli hetkensä, mutta asiaa oli jo harjoiteltu ja testattu. Roolit pitivät, toiminta tunnettiin ja uhka torjuttiin - harhautuksesta huolimatta.

Haittaohjelma pyrkii harhauttamaan suojaavia kontrolleja.
Harjoittelun ansiosta huomio pysyy siellä, missä pitääkin.
(kuva: Jari Latvala)

Lue lisää Opsecin turvallisuustestauksesta.