Ohjeita pilvipalvelujen turvallisuudesta yksityishenkilöille, pienyhteisöille ja -yrityksille

Viime vuosikymmen vakautti pilvipalvelut osaksi yksityishenkilöiden, pienyhteisöjen ja -yritysten tavallista tietojenkäsittelyä. Kehitys on herättänyt perustellusti kysymyksiä myös siitä, millaista tietoa pilvipalveluissa voi ja kannattaa käsitellä, sekä millaisia riskejä erilaisiin käyttötapauksiin liittyy. Tämä ohje pureutuu yleisimpiin tietoturvanäkökulmiin, jotka pilvipalvelujen käytössä kannattaa huomioida.

""

Suojattavien tietojen ja niiden merkityksen tunnistaminen on tärkeää, jotta suojaukset voidaan mitoittaa suojaustarpeiden mukaisesti. Näihin kysymyksiin vastaamalla pystyt todennäköisesti haarukoimaan jo joitain suojaustarpeita tietojenkäsittely-ympäristölle, jossa näitä tietoja käsitellään:

  • Mitä tietoa käsittelet?
  • Sisältävätkö käsittelemäsi tiedot henkilötietoja?
  • Sisältävätkö ne esimerkiksi valokuvia, ihmisten nimiä tai vaikkapa sähköpostiosoitteita?
  • Sisältävätkö käsittelemäsi tiedot pienyhteisösi tai -yrityksesi toiminnan kannalta kriittistä tietoa?
  • Ovatko tiedot luottamuksellisia, tai onko niihin tarve päästä myös tilanteissa, joissa Internet-yhteys ei toimi?

Tässä ohjeessa käsiteltyjä aiheita on kuvattu yksityiskohtaisemmin PiTuKri (Ulkoinen linkki)ssa, Pilvipalveluiden turvallisuuden arviointikriteeristössä. PiTuKri on suunnattu ensisijaisesti viranomaisten salassa pidettävän tiedon suojaamistarpeisiin, mutta siihen kootut pilvipalvelujen turvallisuuteen ja sen arviointiin liittyvät hyvät käytännöt ovat myös yksityishenkilöiden, pienyhteisöjen ja -yritysten hyödynnettävissä.