Ohjeita pilvipalvelujen turvallisuudesta yksityishenkilöille, pienyhteisöille ja -yrityksille

Viime vuosikymmen vakautti pilvipalvelut osaksi yksityishenkilöiden, pienyhteisöjen ja -yritysten tavallista tietojenkäsittelyä. Kehitys on herättänyt perustellusti kysymyksiä myös siitä, millaista tietoa pilvipalveluissa voi ja kannattaa käsitellä, sekä millaisia riskejä erilaisiin käyttötapauksiin liittyy. Tämä ohje pureutuu yleisimpiin tietoturvanäkökulmiin, jotka pilvipalvelujen käytössä kannattaa huomioida.

Suojattavien tietojen ja niiden merkityksen tunnistaminen on tärkeää, jotta suojaukset voidaan mitoittaa suojaustarpeiden mukaisesti. Näihin kysymyksiin vastaamalla pystyt todennäköisesti haarukoimaan jo joitain suojaustarpeita tietojenkäsittely-ympäristölle, jossa näitä tietoja käsitellään:

  • Mitä tietoa käsittelet?
  • Sisältävätkö käsittelemäsi tiedot henkilötietoja?
  • Sisältävätkö ne esimerkiksi valokuvia, ihmisten nimiä tai vaikkapa sähköpostiosoitteita?
  • Sisältävätkö käsittelemäsi tiedot pienyhteisösi tai -yrityksesi toiminnan kannalta kriittistä tietoa?
  • Ovatko tiedot luottamuksellisia, tai onko niihin tarve päästä myös tilanteissa, joissa Internet-yhteys ei toimi?

Tässä ohjeessa käsiteltyjä aiheita on kuvattu yksityiskohtaisemmin Pilvipalveluiden turvallisuuden arviointikriteeristössä (PiTuKri) (Ulkoinen linkki)