Pilvipalveluiden arvioinnin kehittäminen Kesko-konsernissa
Kaipio, Anssi (2012)
Kaipio, Anssi
Laurea-ammattikorkeakoulu
2012
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201205066516
https://urn.fi/URN:NBN:fi:amk-201205066516
Tiivistelmä
Pilvipalvelu on voimakkaasti kasvava malli, jossa tietojenkäsittelyresursseja tarjotaan joustavasti Internetin välityksellä. Pilvipalveluista ja niiden tietoturvallisuudesta on viimeaikoina ollut paljon uutisointia ja keskustelua. Usein ongelmalliseksi koetaan hallinnollisen vastuun siirtyminen pilvipalveluntarjoajalle. Tämä tarkoittaa sitä, että palveluntarjoajalla on merkittävä vastuu tietoturvallisuudesta. Palvelun asiakkaan on voitava luottaa siihen, että palveluntarjoaja toimii turvallisuusasioissa asiakkaan edun mukaisesti.
Työni tarkoitus oli kehittää pilvipalveluiden arviointiprosessia Kesko-konsernissa. Pilvipalvelut koettiin toimeksiantajaorganisaatiossa tietoturvallisuuden kannalta haasteelliseksi. Julkisen pilven toteutusmalli ja Software as a Service palvelumalli olivat toimeksiantajan näkökulmasta kiinnostavimmat selvityskohteet. Keskossa ei ollut aiemmin tehty selvityksiä pilvipalveluiden turvallisuudesta.
Selvitin mitä riskejä julkisen pilven Software as a Service -palveluihin liittyy ja tein selvitykseen perustuvan pilvipalvelun arviointityökalun. Riskien merkittävyydet arvioitiin Keskossa. Työkalua käyttämällä palveluntarjoajalle esitetään kysymyksiä haastattelutilanteessa. Vastaukset arvioidaan ja työkalu mahdollistaa palveluntarjoajien vertailun.
Lähestymistapana työssäni oli konstruktiivinen tutkimus. Menetelmänä riskiselvityksessä käytin kirjallisuuskatsausta. Keskeisiä lähteitä olivat Euroopan verkko- ja tietoturvavirasto ENISA:n ja Yhdysvaltalaisen National Institute of Standards and Technologyn julkaisut. Pilvipalvelun arviointityökalun toteutin Microsoftin Excel-taulukkolaskentaohjelmalla.
Työtäni hyödyntämällä Keskon liiketoimintayhtiöt voivat itsenäisesti arvioida pilvipalvelun toimittajien soveltuvuutta ja palveluiden tietoturvallisuutta. Arviointityökalua käyttämällä palveluntarjoajien järjestelmällinen arviointi on mahdollista. Työni perusteella toimeksiantaja voi yhtenäistää omia toimintatapojaan pilvipalveluiden arvioinnissa.
Työni tarkoitus oli kehittää pilvipalveluiden arviointiprosessia Kesko-konsernissa. Pilvipalvelut koettiin toimeksiantajaorganisaatiossa tietoturvallisuuden kannalta haasteelliseksi. Julkisen pilven toteutusmalli ja Software as a Service palvelumalli olivat toimeksiantajan näkökulmasta kiinnostavimmat selvityskohteet. Keskossa ei ollut aiemmin tehty selvityksiä pilvipalveluiden turvallisuudesta.
Selvitin mitä riskejä julkisen pilven Software as a Service -palveluihin liittyy ja tein selvitykseen perustuvan pilvipalvelun arviointityökalun. Riskien merkittävyydet arvioitiin Keskossa. Työkalua käyttämällä palveluntarjoajalle esitetään kysymyksiä haastattelutilanteessa. Vastaukset arvioidaan ja työkalu mahdollistaa palveluntarjoajien vertailun.
Lähestymistapana työssäni oli konstruktiivinen tutkimus. Menetelmänä riskiselvityksessä käytin kirjallisuuskatsausta. Keskeisiä lähteitä olivat Euroopan verkko- ja tietoturvavirasto ENISA:n ja Yhdysvaltalaisen National Institute of Standards and Technologyn julkaisut. Pilvipalvelun arviointityökalun toteutin Microsoftin Excel-taulukkolaskentaohjelmalla.
Työtäni hyödyntämällä Keskon liiketoimintayhtiöt voivat itsenäisesti arvioida pilvipalvelun toimittajien soveltuvuutta ja palveluiden tietoturvallisuutta. Arviointityökalua käyttämällä palveluntarjoajien järjestelmällinen arviointi on mahdollista. Työni perusteella toimeksiantaja voi yhtenäistää omia toimintatapojaan pilvipalveluiden arvioinnissa.