Monet asiakkaat uskovat, että pilvipalvelujen tietoturva on jotain, joka on sisäänrakennettu ja vain toimii. Jossain määrin näin on, mutta palvelun tyypistä riippuen asiakkaalla on myös tärkeä rooli ja vastuu varmistaa, että tietoturva on kunnossa sekä omissa tiloissa että pilvessä. Kumppanit voivat vähentää sekä asiakkaan että omia riskejään auttamalla asiakasta tässä – ja samalla kehittää ja parantaa liiketoimintaansa.
Selkeä esimerkki, jossa asiakkaalla on oma vastuunsa tärkeästä tietoturvasta, koskee pilvipalveluiden konfigurointia ja kuka saa niihin pääsyn. Samaan aikaan kyberturvallisuus on tärkeämpää kuin koskaan digitalisoituneessa maailmassa, jossa yritysten olemassaolo voi olla vaakalaudalla, jos se joutuu hyökkäyksen kohteeksi.
Jos asiakas menee konkurssiin tunkeutumiseen liittyvien kustannusten vuoksi, IT-kumppani voi joutua maksuvastuuseen loppuasiakkaan aiemmasta pilvikulutuksesta. Tämä johtuu siitä, että nämä kustannukset laskutetaan yleensä jälkikäteen. Sekä loppuasiakkaalla että hänen IT-kumppanillaan on vahva kannustin luoda ehdottomana vähimmäistasona kyberturvallisuustaso, perushygienia, joka eliminoi pahimmat riskit. Lisäksi asiakkaiden kasvavat tietoturvatarpeet luovat uusia liiketoimintamahdollisuuksia monille IT-kumppaneille. Microsoftin tietoturvaan keskittyneen kumppanitiimin ratkaisuarkkitehti Oscar Kjellberg kertoo lisää.
Miksi tietoturva on niin vaikeaa?
"Kyse on paljon turvatarkastuksista ja monista erilaisista, muuttuvista osista. Yrityksillä on usein monia erilaisia pilvipalveluntarjoajia ja pilvipalveluja, uusia käyttäjiä lisätään ja vanhoja katoaa. Mahdollisesti on henkilöitä, joilla pitäisi väliaikaisesti olla pääsy palveluihin ja järjestelmiin. Usein määritetään myös testiympäristöjä, joita ei välttämättä seurata kuten tuotantoympäristöissä.
Tämä voi olla haasteellista sekä suurille että pienemmille yrityksille. Suuremmissa yrityksissä on usein monimutkaisempi ympäristö hallita. Pienemmissä vähemmän resursseja ja asiantuntemusta talon sisällä.
Mitkä ovat seuraukset?
"Me Microsoftilla olemme ymmärtäneet, että asiakkaiden ympäristöjä ei useinkaan ole suojattu riittävästi, mikä voi vaikuttaa heihin tietoturvaloukkausten ja esimerkiksi kiristysohjelmien tai niin sanotun kryptokaappauksen kautta, jossa yritysten pilviresurssit kaapataan kryptovaluutan louhimiseksi jonkun toisen puolesta. Tässä on riskejä myös kumppanille, jos asiat menevät niin huonosti, että asiakas menee konkurssiin eikä pysty maksamaan. Tässä tapauksessa kumppani joutuu ottamaan vastuun käytetyistä resursseista, mikä voi tulla kalliiksi.
Miten saada tietoturva hallintaan?
"Paremman hallinnan saavuttamiseksi Microsoft tarjoaa erilaisia tietoturvapisteytyksiä pilviympäristöihimme. Tämä on työkalu, joka kerää tietoja palveluista ja tarkistaa, onko ne määritetty oikein parhaiden turvallisuuskäytäntöjen mukaisesti. Siihen kuuluu esimerkiksi monivaiheisen todennuksen (MFA) käyttö palvelujen ja järjestelmien käyttämiseen, varmistus että käyttöjärjestelmät ovat ajan tasalla ja että portteja ei ole avoinna. Palvelu arvioi sitten tilauksen turvallisuuden pisteillä 0-100 jaantaa suosituksia ja ohjeita, joiden perusteella voidaan sitten ryhtyä tarvittaviin toimenpiteisiin.
TD SYNNEX järjestää nyt seminaareja Mission 65:n ympärillä.
– Autamme asiakkaitamme parantamaan kyberturvallisuushygieniaa. Tätä voidaan kuvata vähintään 65 prosentin saavutetulla pistemäärällä. Tietenkin tavoitteen tulisi olla 100 prosentin pistemäärä, mutta käytössä voi olla joitain pilviympäristöjä, joihin et ole valmis käyttämään aikaa ja resursseja, joita 100 prosentin saavuttaminen vaatii. Mutta jos et ole saavuttanut 65 prosenttia, et ole edes vähimmäistasolla. Tässä kumppaneilla on tärkeä rooli auttaa etenkin pienempiä asiakkaitaan. Lisäksi kumppanilla on tässä liiketoimintariski, ei vain konkurssin sattuessa, vaan myös toimittajan maineen kannalta. Asiakkaat luottavat siihen, että kumppani toimittaa tietoturvaominaisuudet.
Maksaako tämä rahaa loppuasiakkaalle?
– Jos puhumme Azuresta, Defender for Cloudissa on ilmainen osa palvelusta, jota kutsumme Cloud Security Posture Managementiksi, CSPM:ksi. Tämä antaa pisteytyksen Azure-tilausta kohden. On myös mahdollista saada koottu kuva koko yritysympäristöstä. Lisäksi voit saada vastaavia analyysejä pilvipalveluista myös muista palveluntarjoajista, tai palveluista joita sinulla on omassa konesalissa. Saat tietoa mitä on korjattava ja mikä on tärkein prioriteetti.
- Jos haluat saavuttaa korkeimman suojaustason, on saatavilla myös maksullisia lisäpalveluja, mutta Defender for Cloudin ilmaisten määrityssuositusten avulla on mahdollista saavuttaa tämä 65 prosenttia. Lisäpalvelut tekevät tästä kuitenkin helpompaa ja tehokkaampaa.
" Kumppaneilla on potentiaalia jalostaa ja kasvattaa liiketoimintaansa tekemällä sekä tietoturva-analyysi että korjaamalla asiakkaan puutteet. Kyberturvallisuus ei ole koskaan ollut ajankohtaisempaa. Kun taidoista on pulaa, tämä voi olla kasvualue kumppaneille. On myös mahdollista automatisoida ja skaalata erilaisia toiminteita. Tämä ei ole jotain, jonka teet vain kerran ja lopetat siihen. Kyberturvallisuus vaatii jatkuvaa työtä ja , joten siitä voi tulla toistuva palvelu kumppanille. Defender for Cloud antaa kumppanille fantastisen työkalun, josta aloittaa tässä.
Joten mitä tarvitsen päästäkseni eteenpäin?
– Ensinnäkin, hanki käsitys asiakkaiden tietoturvan tasosta, ei vähiten siksi, että sinä jälleenmyyjänä, otat oman riskin, jos asiakkaan ympäristö ei ole turvallinen. Kumppanin tulisi jatkuvasti käydä läpi asiakkaitaan ja valita, keneen olla seuraavaksi yhteydessä. Kumppanin toimitussisällön tulee sisältää perussuojausominaisuuksia, kuten MFA:n ja pilviresurssien suojatun määrityksen, mikä antaa asiakkaille 65 prosenttia Secure Scoressa. Tämä voi avata myös uusia liiketoimintamahdollisuuksia ja palveluita asiakkuuteen. Tästä TD SYNNEX Mission 65 -aloitteessa on kyse.
Tutustu Tech Break -osioomme, jossa kerromme lisää...