SaaS = lyhenne sanoista Software as a Service. Se on nykyaikainen tapa tarjota ohjelmistoja asiakkaiden käyttöön. Näissä pilvipohjaisissa ohjelmistotuotteissa ja SaaS-ratkaisuissa on monta etua. Asiakas saa käyttöönsä nopean, vakaan, innovatiivisen ja kustannustehokkaan teknologian ja sovellusinfrastruktuurin. SaaS-ratkaisu on päivitystensä osalta tavallisesti aina ajan tasalla ja usein vieläpä käytettävissä useilla eri päätelaitteilla.
Monet organisaatiot ovat sisäistäneet näistä seuraavat hyödyt. Siksi SaaS-malli on tullut jäädäkseen. Mutta kuten me kaikki tiedämme, kolikossa on yleensä myös kääntöpuoli, joka on otettava huomioon. Kun kyseessä on SaaS-pohjainen ohjelmistopalvelu ja paljon asioita tapahtuu internetyhteyden yli, tietoturvaan liittyvät asiat huolettavat monia.
Kysymys kuuluu: ”Oletko tehnyt perusteellisen valmistelutyön arvioidessasi SaaS-palveluntarjoajasi lähestymistapaa tietoturvaan?”
Pilvipalvelu vai on-premise?
Useimmat lukijoistamme varmaankin tietävät, mitä pilvipalvelut ja paikallisesti asiakkaan omalle palvelimelle asennetut ohjelmistot edustavat. Siinä missä pilvipohjainen SaaS-ohjelmisto toimii kokonaisuudessaan jossakin internetin tuolla puolen ja toimii usein suoraan selaimesta käsin, toimii asiakkaan omalle palvelimelle asennettu SaaS-ohjelmisto yleensä asiakkaan omissa tiloissa. Termistä “on-premise“ suora käännös olisikin “paikan päällä” ja sen harvoin käytetty suomenkielinen nimitys on “paikallisohjelmisto”. Pilvipohjaisen lähestymistavan keskeisimpiä etuja on sen joustavuus ja kustannustehokkuus. Pilvipohjaista SaaS-ratkaisua käyttävän yrityksen ei tarvitse investoida kalliisiin palvelimiin. Samalla ohjelmistotuotteiden erillinen ylläpitotyö ja päivityksistä huolehtiminen jää pois. Samalla yritys kuitenkin uhraa myös mahdollisuuden pitää tietoturva-asiat omissa käsissään.
SaaS-ratkaisun kohdalla sekä palvelua käyttävä yritys, että SaaS-ratkaisun toimittaja ovat viimekädessä vastuussa tietoturvasta. Toimittaja huolehtii kaikesta mikä liittyy taustalla pyörivän ohjelmiston infrastruktuuriin, mutta ohjelmistotuotetta hallinnoiva yritys vastaa sen turvallisesta ja asianmukaisesta käytöstä.
Kysymys kuuluu: ”Voitko luottaa siihen, että SaaS-palveluntarjoajasi suhtautuu rooliinsa tarvittavalla vakavuudella?”
Mitä pitäisi ottaa huomioon?
Minulla on sinulle kolme vinkkiä SaaS-ratkaisujen tietoturvan takaamiseksi. Ne ovat merkityksellisiä silloin, kun etsit uutta ohjelmistoa ja analysoit markkinoita, mutta myös silloin kun haluat arvioida nykyisen palveluntarjoajasi toimintaa. Jonkinlainen tsekkaus onkin nimittäin järkevää toteuttaa silloin tällöin.
Selvä, tässä mennään:
1. Valitse SaaS-toimittajasi huolella
Tämä on mielestäni tärkein vinkki. Kyse on luottamuksesta.
SaaS-pohjaisten ratkaisujen tarjonta on valtava. Sinulla on paljon vaihtoehtoja. Esimerkiksi meidän asiantemusalueellamme, kuluhallinnan parissa, on nykyään useita eri vaihtoehtoja. Tosiasia on, että suurin osa tietoturvavastuusta on ohjelmiston toimittajalla, joten ostajapuolella oltava varovainen, kun päätetään kenen kanssa aiotaan työskennellä.
Etsi toimittajia, jotka tarjoavat vankan hallinnan käyttöoikeuksiin ja siihen mihin tietoihin kukakin pääsee käsiksi. Se on myös suuri plussa jos tietoja käsitellään salatussa muodossa. Kannattaa myös kysyä missä ja miten tietoja säilytetään. Ovatko palvelimet kotimaassa, EU-alueella, EU: n ulkopuolella vai veljenpojan kellarissa? Millaiset suojaukset ovat käytössä ja onko myös sen maan, jossa dataa säilytetään, lainsäädäntö tietosuojan puolella?
Lisäksi kannattaa tarkistaa, miten varmuuskopiointiin ja tietojen hakuun liittyvä prosessi toimii.
Muista myös, että vahvojen suojausten ylläpitäminen hyvin dokumentoiduilla prosesseilla ei ole ilmaista. Siksi kehotan miettimään kahdesti ennen kuin valitset halvimman ratkaisun. Se voi nimittäin olla pitkällä aikavälillä elämäsi kallein päätös.
2. Luo säännöt pilvipohjaisen SaaS-palvelun käyttöön
Tämä vinkki liittyy siihen osaa, joka kuuluu ostajalle, eli sinulle. Toisin sanoen: tämä on osa SaaS-tuotteiden turvallista ja asianmukaista käyttöä. Sinun kannattaa luoda selkeät säännöt ja käytännöt ohjelmiston käyttöön.
Ihannetapauksessa tämä ohjeistus kattaa kaikki henkilöt, jotka ovat tavalla tai toisella tekemisissä SaaS-ohjelmiston kanssa. Tähän joukkoon pitäisi sisällyttää siis myös esimiehet ja päätöksentekijät. Ohjeistuksen ja säännöstön tulisi kertoa myös se, minkä tasoiset käyttöoikeudet kullekin työntekijälle myönnetään ja keillä on ylipäätään pääsy ja minkä laitteiden kautta ohjelmistoa käytetään.
Näiden käytäntöjen tulisi liittyä myös tapaan jolla työntekijöitä koulutetaan SaaS-palvelun käyttöön. Säännöt ja ohjeistukset tietenkin pitäisi sisällyttää perehdytykseen. Työntekijöiden ei tule joutua arvailemaan, kuinka heidän tulisi suojata itseään, henkilöllisyyttään, käyttäjätunnuksiaan ja salasanojaan – aiakkaiden yksityisyydestä puhumattakaan. Sen pitäisi olla selvää, ja yritys on vastuussa siitä, että käyttäjät tietävät miten SaaS-ohjelmistoa käytetään turvallisesti.
3. Mieti myös erillisen työkalun hankkimista SaaS-datan suojaamiseksi
Ehkäpä käytätkin jo useiden arvostettujen toimittajien SaaS-tuotteita, joista useimmilla on valmiiksi vahvat turvatoimet. Samalla sovelluskentästä on kuitenkin voinut tulla niin monimutkainen, että nyt olisi järkevää sijoittaa omaan turvakerrokseesi. Tämä vinkki on siinä mielessä lähellä vinkkiä numero 2, että markkinoilla on ratkaisuja, jotka auttavat sinua hallitsemaan sinulle kuuluvaa osaa tietoturvasta.
On hyvä, että sinulla dokumentoituna säännöt ja käytännöt jo ennen kuin aloitat työkalun etsimisen. Tietoturvaloukkaus voi tapahtua monella eri tavalla. Esimerkiksi sopimattoman tietojen jakamisen, varkauden (kuten työntekijöiden varastamien tietojen), huonojen salasanavahvuuksien takia. Tietoturvariskin voi aiheuttaa myös se, että väärille käyttäjille on myönnetty liian suuret käyttöoikeudet. Kun otat organisaatiosi käyttöön pilvipohjaisten työkalujen käyttöhjeistuksia, sinun on varmistettava, että työntekijät myös noudattavat sääntöjä. Se voi olla haaste, jos ohjelmistoja on pitkin ja poikin ja niitä käytetään ristiin ja rinnakkain.
Tarjolla on kuitenkin monia ratkaisuja, jotka auttavat sinua tässä. Kannattaa aluksi tarkistaa, mitä suurimmilla tietoturvapelureilla, kuten F-secure, McAfee ja RSI, on tarjolla.
Jaettu vastuu
Kuten sanottua, sinulla ja myyjälläsi on yhteinen vastuu käyttämänne SaaS-ratkaisun tietoturvasta. Mielestäni se on tärkeää muistaa. Silti, riippumatta siitä kuinka varovainen oma organisaatiosi on tietoturvan suhteen, voi välinpitämätön SaaS-palveluntarjoaja pilata kaiken.
Yrityksemme Acubiz on vakiintunut SaaS-toimittaja työntekijöiden kulu- ja matkalaskuhallintaan. Otamme tietoturva-asiat erittäin vakavasti. Tietoturva on itseasiassa tärkeä osa tuotestrategiaamme, koska uskomme että se suojelee myös asiakkaidemme tekemiä investointeja palvelumme.
Muista, että sinulla on oikeus asettaa vaatimuksia SaaS-toimittajallesi. Se ei kerro luottamuspulasta, vaan halusta syventää luottamusta.
Kysymys kuuluu: ”Luotatko nykyiseen SaaS-toimittajaasi?”
