Tietosuoja pilvipalveluissa : case: LAMK

Abstract

Opinnäytetyössä selvitettiin organisaation tietojen tietosuojan varmistamista siirryttäessä käyttämään pilvipalvelupohjaisia ratkaisuja. Opinnäytetyö toteutettiin Lahden ammattikorkeakoululle keväällä 2016. Tavoitteena oli kartoittaa LAMKin käyttämät keinot ja toimintaperiaatteet, joilla se pyrkii varmistamaan tietojen tietosuojan, kun käyttöön otetaan pilvipalveluita.

Tutkimus oli laadullinen ja siinä käytettiin deduktiivista lähestymistapaa. Aineistoa tutkimukseen kerättiin sellaisten henkilöiden haastatteluilla, ketkä toimivat keskeisessä asemassa LAMKin siirtyessä pilvipalveluihin. Haastattelut toteutettiin puolistrukturoituina ja ne tallennettiin.

Tutkimustulosten mukaan organisaation tietojen tietosuojaa voidaan varmistaa monilla eri seikoilla. Tutkimuksessa selvisi, että henkilökunnan ohjeistaminen henkilötietojen käsittelyssä sekä esimerkiksi siinä, mitä tietoa pilvipalveluihin voi tallentaa, on yksi varmistuskeino suojata tietoa. Pääsyoikeuksia eri järjestelmiin ja palveluihin nähtiin hyväksi hallita henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Luottamuksellisen tiedon lähettämistä sähköpostilla varmistetaan sähköpostin salauksella. Tutkimustulokset kertovat, että turvallista pilvipalveluiden käyttöä mobiililaitteilla toteutetaan laitteen tietoturva-asetuksilla ja että laitteet ovat etähallittavia.

Tutkimuksessa selvisi, että pilvipalveluiden tietosuojariskeihin varaudutaan tarpeen tullen riskikartoituksen tekemisellä ennen palvelun käyttöönottoa. Palveluntarjoajan kanssa koetaan myös tarpeelliseksi sopia, että tiedot säilytetään vain Euroopan alueella. Tämä sovitaan palveluntarjoajan ja asiakkaan välisessä palvelutasosopimuksessa (SLA). Lisäksi siinä sovitaan tärkeitä tietojen tietosuojaan liittyviä asioita, kuten mm. palveluntarjoajan ja asiakkaan vastuiden jakaminen, saatavuus ja vasteajat. Ulkopuolisen konsultointiavun käyttäminen eri osa-alueilla koettiin vahvistavan pilvipalveluiden sujuvaa käyttöönottoa, etenkin lainsäädäntöön liittyvissä asioissa.

This thesis discusses how an organization can ensure data protection when starting to use cloud-based services. This thesis was conducted for Lahti University of Applied Sciences in spring 2016. The aim was to map the means and principles the University applies in order to ensure data protection when it transfers to cloud-based services.

This thesis is a qualitative study and applies a deductive research approach. Data was collected by interviewing the people who have been working in key positions when the University started using cloud-based services. The interviews were carried out as semi-structured interviews, and they were recorded.

According to the results, there are many ways to ensure data protection in an organization. One way to protect data is to instruct the staff how to handle personal details and give instructions on what kind of data is allowed to be saved in the organization’s cloud. It was seen beneficial to control access rights into different systems and services with personal user identifications and passwords. Sending confidential data via email is secured with encryption. Finally, based on the results, when using cloud services on mobile devices, security is ensured according to the devices’ security settings and by making sure the devices can be managed remotely.

The study found that, if necessary, an organization can prepare for security risks in cloud services by making a risk assessment prior to implementation. It is desirable to agree with the service provider that all data will be stored only in the European area. This will be agreed in Service Level Agreement between the provider and the client. In addition, the agreement includes topics related to data protection such as the division of responsibilities between the service provider and the client, and availability and response times. The use of external consultants was considered to strengthen an easy implementation of cloud services, especially regarding legal matters.