Pilvipalveluiden käyttöönotto ja hyödyntäminen yhteiskunnan eri puolilla on edennyt viime vuodet vauhdikkaasti. Myös perinteiset ja erittäin säädellyt toimialat ovat siirtämässä toimintojaan pilveen. Finanssialalla, kuten pankeissa, rahoitus- tai vakuutusyhtiöissä tietoturva ja säätelyihin vastaaminen ovat keskimääräistä kriittisemmässä roolissa. Sulava on auttanut useita eri toimijoita matkalla tietoturvalliseen, auditointeja ja pankkisäätelyjä vaativaan pilviympäristöön hyödyntämällä Microsoftin monipuolisia pilvipalveluita.
Finanssialan toimijoille tietoturva ja regulaatioihin liittyvät asiat ovat pilveen siirryttäessä hyvin merkityksellisessä asemassa, koska käsiteltävä data kuuluu usein pankki- ja finanssialan lainsäädännön alaisuuteen. Muun muassa se, missä ja miten dataa säilötään ja liikutetaan, on erittäin tarkkaan määritelty. Microsoftin pilvipalveluita hyödynnetään laajalti esim. valtiotasolla Yhdysvalloissa, joten tuotteiden sisäänrakennetut tietoturvaominaisuudet ovat korkealla tasolla ja ne soveltuvat hyvin myös Suomen finanssialan toimijoille.
Tietoturva ja regulaatio ovat äärimmäisen keskeisessä roolissa toimialalla. Tässä artikkelissa esimerkkinä toimii yhden Sulavan pitkäaikaisen, finanssialalla toimivan asiakkaan matka kohti Microsoftin pilvipalveluita. Toivomme, että muut säännellyllä alalla toimivat organisaatiot saavat artikkelista vinkkejä omaan pilvisiirtymäänsä.
kertoo asiantuntija Oliver Lahti Sulavalta.
”Täysin on-premises -ympäristössä toimineen asiakkaan kanssa lähdettiin liikkeelle vuonna 2018 Microsoft 365 -esiselvityksellä ja pilviteknologioiden tietoturvakartoituksilla. Monien vaiheiden jälkeen järjestelmät saatiin käyttöön vuonna 2020, myös koronapandemia pisti vauhtia pilvipalveluiden käyttöönottoon”, Lahti jatkaa.
Mittavalla esiselvityksellä liikkeelle
Tietoturva edellä -mallisessa toiminnassa kaikki alkaa tyypillisesti mittavalla esiselvityksellä. Asiakkaan esiselvitystä lähdettiin purkamaan erittäin laajan raportointimateriaalin kautta. Aluksi tehtiin fundamentaalinen päätös teknologiakokonaisuudesta, jonka jälkeen pieniä osasia arvioitiin erikseen, jotta hahmotettiin eri asioiden vaikutukset esimerkiksi säätelyiden vaatimuksiin. Kaikki toiminta perustui lähtökohtaiseen ”mitään ei saa tehdä ulkopuolelta” -ajatukseen, jonka pohjalta suunniteltiin miten asioita voisi toteuttaa identiteettejä suojaamalla. Asiakkaan ympäristö on kokonaisuutena hyvin suljettu, joten oikeuksien hallinta oli pilvisiirtymässä keskeisessä roolissa.
Jo projektin alkuvaiheessa on olennaista, että pystytään luomaan tulevaisuuteen sopiva näkymä, jossa pystytään reagoimaan nopeasti ja tehokkaasti erilaisiin tilanteisiin. Kaikki päätökset projektissa tehtiin tietoturvan ja riskien hallinnan näkökulmasta ja tämän kautta saatiin luotua mm. toimiva Microsoft 365 -ympäristö sekä tulevan Azure-ympäristön hallintamalli.
Hallintamallin merkitys tietoturvan osalta on suuri muun muassa niin ympäristön hallinnan, ympäristön kanssa työskentelevien kuten kumppaneiden ohjeistamisen ja uusien palveluiden käyttöönoton kannalta. Alkuvaiheesta lähtien tehtiin paljon koulutusta kokonaisuuden toimivuuteen liittyen, sillä asiakkaan tavoitteena oli lopulta päästä omavaraiseen toimintamalliin.
Azure-ympäristön käyttöönotto luo uusia mahdollisuuksia liiketoiminnoille. Käyttöönottoprojektissa hyödynnettiin Microsoftin CAF-mallia (Cloud Adoption Framework), josta saatiin hyvä pohja parhaille käytännöille ja jonka kautta arvioitiin, kuinka palaset saatiin sovitettua kokonaisuuteen. Tavoitteena oli rakentaa monikäyttöinen ja tietoturvallinen Azure-ympäristö liiketoimintojen tarpeisiin ja siinä onnistuttiin.
asiantuntija Petri Hooli Sulavalta kertoo
Mukautuminen ”uuteen normaaliin”
Projektin alkuvaiheessa asiakas toimi täysin on-premises -ympäristössä, töitä tehtiin vain konttorilta. Liiketoiminnan kannalta projektin keskeisiin tavoitteisiin kuuluivat mm. uusien palveluiden nopeampi käyttöönotto ja ajan tasalla pysyminen, modernien työskentelytapojen ja työvälineiden omaksuminen, etäyhteysmahdollisuuksien mahdollistaminen konttorin ulkopuolelta sekä omien teknisten resurssien järkevämpi allokointi pilvipalveluiden myötä vähentyvien ylläpitotarpeiden kautta. Tietoturvallisuus ja sääntelyihin vastaaminen toimivat luonnollisesti kaikkien tavoitteiden lähtökohtana.
”Koronapandemian alkaessa vuoden 2020 alkupuolella modernien työtapojen ja turvallisten etäyhteyksien tarve kasvoi myös tällä asiakkaalla vauhdilla ja yllättäen. Projektin toinen vaihe, jossa keskityttiin identiteettien ja pääsyn hallintaan, päätelaitteiden suojaukseen sekä ympäristön jatkuvaan valvontaan sai reippaasti vauhtia näistä ulkopuolisista tekijöistä. Teknologiaan liittyvät päätökset ja hallintamallit oli jo tehty ja hyväksytty aikaisemmin, joten projektissa pystyttiin etenemään tehokkaasti ja kotikonttoriyhteydet saatiin toimintaan nopeasti. Myös kaikki tietoturvakäytännöt ja -valvonta tehtiin tässä vaiheessa valmiiksi”, Oliver Lahti kertoo.
Uudet työvälineet, uudet työskentelytavat
Modernien työvälineiden käyttöönotto ei koskaan ole vain tekninen prosessi, vaan työtapojen muutos vaatii monilta osin muutoksia työskentelykulttuuriin. Artikkelin esimerkkiasiakas finanssialalta on päässyt hyvin vauhtiin työkulttuurin muutoksessa, mutta ymmärrys siitä, että kulttuurin muutokset kestävät aikaa, on kirkkaana mielessä. Uusia tapoja saadaan juurrutettua pitkäkestoisella viestinnällä, koulutuksilla ja esimerkiksi uutuuksista tiedottamalla.
Työskentelytapojen muutoksiin liittyviä asioita oli mukana projektissa koko ajan. Sulava toteutti asiakkaalle mm. koulutuksia Teamsin käyttöönottoon sekä monia työvälineisiin, -menetelmiin ja tietoturva-asioihin liittyviä koulutuksia ja harjoituksia. Lisää mm. työskentelytapoihin liittyviä koulutuksia on suunniteltu lähitulevaisuuteen.
Sulava pilvipalveluiden asiantuntijana
Asiakkaan haluna alusti asti oli, että heidän oma IT-osastonsa on kykeneväinen hoitamaan mahdollisimman paljon asioita itsenäisesti pilvisiirtymän jälkeen. Tätä varten asiakas sai runsaasti tietoa Sulavalta, joka toimi projektissa pilvipalveluiden arkkitehtina ja asiantuntijana.
Asiakkaan puolelta projektissa oli mukana monia eri yksiköiden johtajia ja päälliköitä – johdon sitoutumisella varmistettiin, että tieto kokonaisuudesta leviää organisaatiossa mahdollisimman laajalle. Sulavalta projektissa oli mukana useita asiantuntijoita muun muassa pilvipalveluiden arkkitehtuurista, tietoturvasta ja työkulttuurin muutoksesta.
Tulevaisuudessa asiakkaan tavoitteena on edelleen ketteröittää omaa tekemistään uusien modernien työvälineiden ja työskentelymenetelmien avulla. Hybridityömallin kehittäminen vaatii lisää kouluttautumista ja uusien tapojen omaksumista. Hyvän pohjatyön ansiosta liiketoiminta ja työntekijät voivat nyt ottaa kaiken hyödyn irti modernista ympäristöstä.
Tutustu työpajoihin!
Onko sinulla tarve parantaa yrityksesi tietoturvaa, haluatko ottaa käyttöösi uusia tietoturvatyövälineitä? Varaa työpaja asiantuntijamme kanssa! Työpajassa käydään läpi organisaationne nykytilanne sekä vaihtoehdot kehitystyön käynnistämiseksi.
Tutustu palveluihimme
Tarvitsetko apua? Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa mm. Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.
Me Sulavalla olemme toteuttaneet runsaasti esimerkiksi työvälineiden käyttöönottoja, tiedon suojauksen ja luokittelun projekteja, tietoturvakatselmuksia ja valvontaa. Autamme mielellämme sinua mahdollisten kysymystesi kanssa ja ympäristön pystytyksessä. Tutustu tietoturvapalveluihimme, ota rohkeasti yhteyttä, kutsu meidät käymään ja ala hyödyntämään pilven tuomaa turvaa omassa ympäristössäsi!
Azure-projektit voivat olla mitä tahansa satojen virtuaalikoneiden siirroista skaalautuvien arkkitehtuureiden suunnitteluun nykyaikaisia sovelluksia varten. Tarjoamme mm. useita valmiita paketteja IaaS- ja PaaS-palveluiden hyödyntämiseen sekä Azure-koulutukset kattavasti.
Tai haluatko tietää, millaista Sulavan kanssa on oikeasti tehdä töitä? Lue katsaus asiakkaidemme kokemuksista!
Kirjoittaja: Juhani Lassila
Julkaistu kesäkuussa 2022