Pilvipalveluiden arvioinnin kehittäminen Kesko-konsernissa

Abstract

Pilvipalvelu on voimakkaasti kasvava malli, jossa tietojenkäsittelyresursseja tarjotaan joustavasti Internetin välityksellä. Pilvipalveluista ja niiden tietoturvallisuudesta on viimeaikoina ollut paljon uutisointia ja keskustelua. Usein ongelmalliseksi koetaan hallinnollisen vastuun siirtyminen pilvipalveluntarjoajalle. Tämä tarkoittaa sitä, että palveluntarjoajalla on merkittävä vastuu tietoturvallisuudesta. Palvelun asiakkaan on voitava luottaa siihen, että palveluntarjoaja toimii turvallisuusasioissa asiakkaan edun mukaisesti.

Työni tarkoitus oli kehittää pilvipalveluiden arviointiprosessia Kesko-konsernissa. Pilvipalvelut koettiin toimeksiantajaorganisaatiossa tietoturvallisuuden kannalta haasteelliseksi. Julkisen pilven toteutusmalli ja Software as a Service palvelumalli olivat toimeksiantajan näkökulmasta kiinnostavimmat selvityskohteet. Keskossa ei ollut aiemmin tehty selvityksiä pilvipalveluiden turvallisuudesta.

Selvitin mitä riskejä julkisen pilven Software as a Service -palveluihin liittyy ja tein selvitykseen perustuvan pilvipalvelun arviointityökalun. Riskien merkittävyydet arvioitiin Keskossa. Työkalua käyttämällä palveluntarjoajalle esitetään kysymyksiä haastattelutilanteessa. Vastaukset arvioidaan ja työkalu mahdollistaa palveluntarjoajien vertailun.

Lähestymistapana työssäni oli konstruktiivinen tutkimus. Menetelmänä riskiselvityksessä käytin kirjallisuuskatsausta. Keskeisiä lähteitä olivat Euroopan verkko- ja tietoturvavirasto ENISA:n ja Yhdysvaltalaisen National Institute of Standards and Technologyn julkaisut. Pilvipalvelun arviointityökalun toteutin Microsoftin Excel-taulukkolaskentaohjelmalla.

Työtäni hyödyntämällä Keskon liiketoimintayhtiöt voivat itsenäisesti arvioida pilvipalvelun toimittajien soveltuvuutta ja palveluiden tietoturvallisuutta. Arviointityökalua käyttämällä palveluntarjoajien järjestelmällinen arviointi on mahdollista. Työni perusteella toimeksiantaja voi yhtenäistää omia toimintatapojaan pilvipalveluiden arvioinnissa.

Cloud service is a rapidly growing model where computing resources are elastically provided over the Internet. Information security in cloud computing has been a popular topic recently in the news and discussions. A commonly experienced problem concerns governing the service, which is typically a responsibility of the cloud service provider. The cloud service provider has a remarkable responsibility for the information security. A cloud customer must rely on the service provider acting according to the customer’s best interest when security is concerned.

The purpose of this thesis was to develop the evaluation process of cloud services in Kesko Corporation. Cloud services were considered challenging from an information security perspective. The deployment model of public cloud and the Software as a Service model were regarded as the most interesting targets for research. Investigations about the security of cloud services were not previously made at Kesko.

Research was conducted on the risks that are involved in the public cloud deployment model and the Software as a Service model and an evaluation tool for cloud services was created. Risk assessment was performed in Kesko. When using the evaluation tool, questions about the risks are presented to the cloud service provider in an interview. The replies are evaluated and the tool provides the possibility of comparing the service providers.

Constructive research was the approach in this thesis project. Literature review was used as a method. Important sources of information were publications of the European Network and Information Security Agency and the National Institute of Standards and Technology. The cloud service evaluation tool was created by using Microsoft Excel.

By using the results of this thesis, Kesko’s business units are capable of independently evaluating the cloud service providers and information security of the services. With the evaluation tool, it is possible to evaluate cloud services in a more systematic way. Based on this thesis, Kesko Corporation can unify their procedures in the evaluation of cloud services.