Lue uutinen mobiilisivustolla

Tietoturvan ulkoistus tehtävä harkiten

Risto Siilasmaa

16.9.2005 10:30 Yrityksen it-ratkaisujen ulkoistuksen luonteva jatke on tietoturvan ulkoistus. Näin ajattelevat tietoturvapalveluja tarjoavat yritykset. Yrityksen kannattaa miettiä tarkkaan, mitä tietoturvan osa-alueita kannattaa ulkoistaa, sillä ylilyöntejä tapahtuu liian usein.

– Tietoturvan ostaminen valmiina palveluna säästää yrityksen resursseja, korostaa F-Securen toimitusjohtaja Risto Siilasmaa. Hän puhui aiheesta keskiviikkona Helsinki ICT Week 2005 -tapahtumassa.

Samassa tapahtumassa puhunut senior-konsultti Heikki Bergius puolestaan varoittaa ulkoistuksen vaaroista.

– Tietoturvan ulkoistus on ollut usein hallitsematonta. Siinä on tapahtunut ylilyöntejä, ja usein yritykseen ei ole jäänyt tietoturvan tieto-taitoa ollenkaan, asiantuntijayritys FCS Partnersin konsuttina toimiva Bergius harmittelee.

Yrityksellä ei yleensä ole selvää kuvaa siitä, mitä tietoturvapalveluja pitäisi ostaa yrityksen ulkopuolelta. Vielä harvemmin yrityksellä on valmius valvoa, onko ulkoistukseen käytetyille rahoille saatu myös vastinetta.

Ongelmia on kaiken kokoisissa yrityksissä, vaikkakin Bergiuksen mukaan isoissa yrityksissä asia on yleensä hoidettu jonkin verran paremmin kuin pienissä.

Tietoturvan ulkoistus vaatii valvontaa

Yrityksen pitää olla varovainen erityisesti yrityksen ydinliiketoimintaan sidoksissa olevien toimintojen ulkoistamisessa.

– Yritysten tietoturvan isot aukot ovat paljastuneet, kun jotain katastrofaalista on tapahtunut. Tilaaja on jälkeen päin ollut sitä mieltä, että tietoturvan olisi pitänyt olla kunnossa, koska se oli ulkoistettu. Palvelun toimittaja voi kuitenkin kiertää vastuunsa, jos sopimuksessa ei ole määritelty tarkasti, millaista tietoturvaa asiakas on halunnut, Bergius havainnollistaa ongelmaa.

Bergius painottaa, että tietoturvan ulkoistaminen ei vapauta yritystä vastuusta, vaan jonkun yrityksessä on tiedettävä, mitä kaikkea tietoturvaan liittyy.

– Massatyö ja homman vetäminen voidaan ulkoistaa, mutta kokonaisnäkemys on säilytettävä omassa yrityksessä.

Jos oman yrityksen resurssit eivät riitä, Bergius ehdottaa, että kokonaisuuden valvonta kannattaa ostaa toisesta firmasta. Ulkopuolinen taho voi todeta, onko tietoturva kunnossa ja hoitaako palvelun tarjoaja tietoturvan siten kuin se on sovittu.

– Pahimmat sudenkuopat ulkoistamisen tiellä ovat, että ulkoistetaan liikaa ja luotetaan siihen, että kaikki asiat ovat ulkoistamisen jälkeen kunnossa, Bergius kiteyttää.

Tietoturvan tarve laajenee jatkuvasti

Toimitusjohtaja Risto Siilasmaa painottaa ulkoistettujen tietoturvapalvelujen tärkeyttä.

– Uhkien jatkuva lisääntyminen aiheuttaa sen, että yritysten tietoturvaosaaminen käy jatkossa yhä puutteellisemmaksi, Siilasmaa sanoo.

Tietoturvayhtiö F-Secure tarjoaa tietoturvan ulkoistuspalveluja yhteistyökumppanien kautta. Palveluntarjoaja muotoilee F-Securen tietoturvatuotteista ja -palveluista kokonaisuuden, jonka se myy edelleen asiakasyritykselle.

– Tietoturvan loppukäyttäjän ja meidän välissä on partneri, joka myy teknologiaamme ja palvelujamme käyttäjäyritykselle. Palvelu voidaan tarjota pelkästään tietoturvapalveluna tai osana laajempaa ulkoistusratkaisua, kertoo F-Securen Business Development Manager Jimmy Ruokolainen.

Esimerkkeinä F-Securen partnereista voi mainita Lappeenrannassa toimivan Data-Saimaan, joka hallinnoi pienille yrityksille räätälöityjä tietoturvapalveluja. Suuria ja keskisuuria yrityksiä varten F-Secure tekee yhteistyötä muun muassa Fujitsu Servicesin ja Tietoenatorin kanssa.

– Kehityksen alkuvaiheessa tietoturvan ulkoistamisella tarkoitettiin palomuureja eli ulkotason tietoturvaa. Nyt ulkoistaminen on kehittynyt monitorointiin saakka. Ulkoistaminen lähtee pöytätietokoneista ja kannettavista ja kulkee it-infrastruktuurin läpi verkkotason virusskannaukseen asti. Ulkoistus on aika usein kokonaisratkaisu, jossa pyritään kattamaan tietoturvan kaikki alueet. Nyt enenevässä määrin myös mobiili-laitteet, Ruokolainen kuvailee alan kehitystä.

Ratkaisut ovat asiakaskohtaisia

Ulkoistuksen laajuus riippuu myös asiakasyrityksen resursseista. Joissain tapauksissa käyttäjäyritys haluaa hoitaa päivittäisen monitoroinnin omin voimin ja käyttää palvelun tarjoajaa vain hätätapauksissa ja isoissa projekteissa.

– Yleensä yritys ulkoistaa tietoturvan ihan avaimet käteen -periaatteella. Asiakasyritys sanelee minkälaista tietoturvaa he haluavat pidettävän yllä ja minkälaista raportointia he haluavat siinä käytettävän. Palvelun tarjoaja sitten toteuttaa sen päivittäistason toimituksesta suuren tason suunnitteluun asti, ja tässä tapauksessa myös päivittäisen kontrolloinnin hoitaa palveluntarjoaja, havainnollistaa Ruokolainen.

Yrityksen ip-verkkoon kytkeytyvien älypuhelimien ja kämmentietokoneiden yleistyminen on uusi haaste tietoturvalle, sillä virukset leviävät niiden kautta.

Kari Kemppainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Ampuja keskeytti opinnot ja armeijan

• Poliisi: Ajatus ampumisesta tuli vain hieman ennen veritekoa
• Pohjois-Korean Kim kävi huvipuistossa ja herkistyi
• Asiantuntija: Punkkipaniikki on jo ylimitoitettua
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa