Blogi

16.8.2023

Cloud & Data

Voiko mikä tahansa organisaatio mennä pilveen?

Kysymys siitä voiko organisaatio mennä pilveen tulee tänä päivänä esiin harvemmin, mutta silti yllättävän usein. Lyhyt vastaus kysymykseen on, että erittäin varmasti voi. Jos haluat kuitenkin ymmärtää tarkemmin kysymyksen taustoja ja sitä, miksi sitä vielä tänä päivänä pohditaan, jatka lukemista.

Tämä artikkeli on julkaistu alunperin 26.4.2022 ja pienen päivityksen jälkeen julkaisemme sen nyt uudestaan!!

Olemme käsitelleet aihetta useamman asiakkaamme kanssa viime aikoina ja ajattelimme tuoda mietinnät tämän kysymyksen takana laajemmin esille.

Mitä Suomen laki ja muut määräykset sanovat asiasta?

Mikään laki Suomessa ei suoranaisesti pilven käyttöä kiellä. Lisäksi muun muassa Valtiovarainministeriö on jo vuonna 2019 antanut julkisen hallinnon pilvipalveluista lausunnon, jossa linjataan seuraavat kohdat:

  1.  Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICT-palvelun hankintaa tai muutosta
  1.  Pilvipalveluissa on kiinnitettävä erityistä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen 
  1.  Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja -takuuvaatimukset 
  1.  Mikäli pilvipalvelu tai pilvipalveluteknologia tarjoavat parhaan palveluhyödyn ja -takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita 
  1.  Pilvipalveluiden palveluhyötyä ja -takuuta tulee arvioida säännöllisesti sekä oleellisten sopimusehtojen muuttuessa
  1.  Julkisen tiedon käsittelyä ei rajoiteta 
  1.  Ei-julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva ja -suoja on asianmukaisesti toteutettu ja todennettu

Lausunto toki koskee vain julkista hallintoa, mutta sitä voidaan pitää hyvänä linjauksena kaikkia organisaatioita varten. Linjaus itsessään ei ollut kovin yllättävä, sillä jos on seurannut asioita pidempään, on ollut nähtävissä, että Suomen valtio ja sen organisaatiot ovat olleet hyvin myönteisiä moderneille teknologioille. Näistä hyvänä esimerkkinä esim. Suomi.fi palveluarkkitehtuuri, jonka tehtävänä oli helpottaa kansalaisten digiasiointia.

Merkittävää näissä linjauksissa on se, että muiden esteiden puuttuessa, pilvipalvelut tulisi ensisijaisesti valita, jos ne tarjoavat parhaan palveluhyödyn ja -takuun. Tämä kohta tuppaa monelta julkiselta hallinnolta unohtumaan ja nykypäivänä julkisen pilven edut ovat kaikkien tiedossa, joten niitä pitäisi todellakin ensisijaisesti suosia. Toki niin että kaikessa on otettu huomioon muut mahdolliset säädökset ja huolehdittu kunnollisesta tietoturvasta.

Määräys, johon yleensä viitataan, kun epäillään sitä, että voidaanko sinne pilveen siirtyä, on tietenkin GDPR eli General Data Protection Regulation. GDPR asettaa vaatimuksia henkilötietojen keräämiseen, säilytykseen ja hallinnointiin, nämä vaatimukset itsessään eivät sano saako vai ei pilveä käyttää, vain määrittelevät miten tietoja käsitellään ja siirretään. Jos näitä määrityksiä seurataan, pilvi on samanvertainen muiden ratkaisujen kanssa.

Rajoittavatko toimialakohtaiset suositukset tai sopimukset siirtymää pilveen?

Tietyillä toimialoilla on olemassa tahoja, jotka antavat suosituksia alan toimijoille. Tästä hyvänä esimerkkinä toimii pankkisektori, joka seuraa Fiva:n antamia suosituksia. Nämäkään suositukset eivät nimensä mukaisesti määrää, vaan suosittelevat asioita. Tutussa ja turvallisessa pitäytyminen voi riskien hallitsemisen näkökulmasta tuntua helpommalta ja varmemmalta vaihtoehdolta, ainakin lyhyellä tähtäimellä. Pilven käyttöönotto vaatii myös teknisiä valmiuksia ja osaamista, jota ei luonnollisestikaan kaikissa organisaatioissa ole aikaisemmin tarvittu ja näin ollen se voi puuttua.

Tämä ei kuitenkaan tarkoita, etteikö pilveä voisi käyttää ja etteikö se useimmissa tapauksissa olisi kannattava vaihtoehto. Vastaavia suosituksi ovat mm. jatkuvuudenhallinta tai palveluvelvoitteet. Nämäkään suositukset eivät kiellä pilveä, mutta suositukset saatetaan tulkita siten, mikäli niiden vaikutuksia omalle toiminnalle ei täysimääräisesti ymmärretä.

Tietyissä tapauksissa myös organisaatioiden väliset sopimukset voivat olla rajoittavia tekijöitä. Olemme törmänneet tällaiseen esimerkiksi terveydenhuollon alalla, jossa sopimuksessa on kirjattu tietty lakia tiukempi määräys siitä, missä tieto sijaitsee. Vaikka laki ei tässä olisikaan velvoittava tekijä, tulee tehdyt sopimukset huomioida. 

Microsoftin viesti pilven käytöstä

Microsoftilla on toki itsellään myös oma lehmä ojassa pilven käytön suhteen, mutta he joutuvat seuraamaan lakeja ja asetuksia aivan samalla tavalla kuin me muut. Heiltä löytyy paljon julkista materiaalia siitä, miten pilvi toimii eri organisaatioiden tarpeiden suhteen ja suurin osa Microsoftin pilvipalveluista täyttää tiukimmatkin tietoturvan kriteerit ja datan käsittelyyn liittyvät määräykset EU alueella.

Tietyissä palveluissa, esimerkiksi Customer Lockboxissa on mahdollisuus, että data siirtyisi EU alueen ulkopuolelle mutta suurin osa näistä ei ole siltikään este pilveen menemiseksi. Microsoftilla on tällä hetkellä käynnissä EU Data Boundary projekti, jonka kahden ensimmäisen vaiheen pitäisi valmistua vuoden 2023 loppuun mennessä. Sen puitteissa he lupaavat, että jatkossa nämäkin poikkeukset poistuvat EU alueelta. Lisätietoa tästä löydät täältä.

Olemme kokenut kumppanisi pilven tietoturva-asioissa

Asiantuntijoillamme on kokemusta pilvisiirtymistä niin teollisuuden, pankin, kaupan kuin soten alalta. Mikäli kaipaat sparrausapua tietoturva-asioissa, ole yhteydessä ja suunnitellaan tietoturvallinen siirtymä pilveen yhdessä.

author image

Antti Arnell

Cloud & Data Lead

Olen toiminut IT-alalla yli 20 vuotta ja toimin Meltlakella Cloud & Data Leadinä. Suurimman osan viimeisestä vuosikymmenestä fokuksenani on ollut Azure ja mahdollisuudet. Mitä julkipilvi, ja sen sallima modernisaatio kykenevät tuomaan pienille ja isoille organisaatioille. Olen erikoistunut auttamaan yrityksiä omaksumaan pilven käytön auttaen luomaan pilvistrategioita, hallintomalleja, käynnistämään migraatioita ja auttamaan hallitsemaan pilviympäristöjä ja niiden tietoturvaa. Osallistun aktiivisesti myös Suomen Azure yhteisöön ja olen aina innokas jakamaan pilven ilosanomaa muiden kanssa. Jatkan juttua näistä aiheista mielelläni ja minut tavoittaa osoitteesta antti.arnell@meltlake.com.

Jatka blogimme parissa

17.4.2024

|

Tommi Marjomaa

Pilven kustannustehokkuus - käännä lupaukset säästöistä todellisuudeksi FinOpsin avulla

Pilvipalveluita käytetään lähes jokaisessa organisaatiossa. Niitä on myyty joustavuuden ja skaalautuvuuden lisäksi myös kustannustehokkaana ratkaisuna, jossa palvelusta maksetaan käytön mukaan. Miksi kustannukset ovat kuitenkin usein karanneet käsistä? Kustannustehokkuuden voi saavuttaa myös pilvipalveluissa, mutta se vaatii erilaista ajattelutapaa kuin mihin on ehkä totuttu. Tunnista suurimmat sudenkuopat ja tutustu FinOpsiin, jonka avulla integroit taloudellisen vastuullisuuden toimintaan.

Lue KOKO ARTIKKELI
10.4.2024

|

Petri Sohlberg

Älä osta Power Platform -hallintomallidokumenttia vaan toimintatapa

Power Platformilla luot astetta parempaa työpäiväkokemusta sovellusten, automaatioiden ja bottien toimiessa saumattomasti työn tukena. Hallintomallin tavoite on edistää ja hallita näiden työkalujen käyttöä; se luo selkeyttä arkeen. Hallintomalli ei ole one size fits all -ratkaisu, ja toimiakseen se vaati panostusta ja sitoutumista, jotta rahoilleen saa aitoa vastinetta.

Lue KOKO ARTIKKELI
5.3.2024

|

Joni Sarpo

Sisäisen viestinnän positiointi tuo vaikuttavuutta ja tehoa työyhteisöviestintään

Viestintätyökaluja ja -kanavia on useita käytössä, mutta niiden roolit ovat usein epäselviä työntekijöille. Yhtenä ratkaisuna on sisäisen viestinnän positiointi, joka tarkoittaa viestintätyökalujen ja -kanavien roolien määrittelyä. Sisäisen viestinnän positiointi avaa työyhteisöviestinnän monikanavaisuuden ja -tasoisuuden ymmärrettäväksi kokonaisuudeksi.

Lue KOKO ARTIKKELI