Pilvipalveluiden käyttöpolitiikka – pk-yrityksille

P27S Pilvipalveluiden käyttöpolitiikka määrittää kattavat mutta käytännölliset vaatimukset pilvipalveluiden hallintaan pk-yritysympäristöissä. Koska pk-yrityksiltä usein puuttuvat täysimittaiset IT-osastot, politiikka on suunniteltu selkeillä ja virtaviivaistetuilla vastuilla: keskeiset päätökset osoitetaan toimitusjohtajalle (GM) sekä IT-palveluntarjoajalle tai tekniselle tuelle erikoistuneiden tietoturvajohtajan (CISO) tai tietoturvaoperaatiokeskuksen (SOC) roolien sijaan, samalla säilyttäen vahvan yhdenmukaisuuden ISO/IEC 27001:2022:n, GDPR:n, NIS2:n ja DORA:n kanssa. Politiikka koskee kaikkia pilvipohjaisia palveluita, maksuttomia tai maksullisia, ja kattaa yleiset liiketoimintasovellukset, kuten asiakirjojen jakamisalustat, SaaS-työkalut, videoneuvottelut, sähköpostin, varmuuskopioinnin ja asiakasalustat. Jokaisen, joka käyttää yrityksen dataa – myös mobiililaitteella tai tabletilla – on noudatettava näitä sääntöjä. Säännöt edellyttävät ennakkohyväksyntää kaikille pilvipalveluille ja kieltävät kokonaan henkilökohtaisten pilvitilien käytön liiketoimintadatalle, mikä ehkäisee varjo-IT:n riskejä. Selkeästi määritelty pilvipalvelurekisteri on ylläpidettävä, jotta jokainen valtuutettu alusta, vastuuhenkilö, datan sijainti, käyttöoikeudet ja tukitiedot voidaan jäljittää. Tietoturvakontrollit ovat pakollisia: kaikkien pilvialustojen on edellytettävä monivaiheista todennusta käyttäjille ja ylläpitäjille, käytettävä vahvoja ja monimutkaisia salasanoja, tarjottava tarkastuslokitus ja pääsyn rajoittaminen (kuten sallittujen luettelo IP-osoitteille, jos saatavilla) sekä toteutettava säännölliset jaetun sisällön katselmoinnit. Mikä tahansa rikkomus, kuten unohtunut käyttäjätilin käytöstäpoisto tai arkaluonteisen datan julkinen jakaminen, luokitellaan tietoturvapoikkeamaksi ja siihen sovelletaan korjaavia toimenpiteitä, mukaan lukien käyttöoikeuksien peruminen, kohdennettu uudelleenkoulutus tai tarvittaessa oikeudellinen reagointi. Politiikka asettaa tiukat vaatimukset tietojen säilytykselle ja varmuuskopioinnille: liiketoimintakriittinen tai sääntelyn alaiset tiedot on varmuuskopioitava säännöllisesti, säilytettävä lakisääteiset velvoitteet tai asiakasvelvoitteet täyttävällä tavalla, ja pilvialustoilta tehtävän viennin mahdollisuus on varmistettava toimittajalukon välttämiseksi. Maksullisten pilvipalveluiden sopimusvaatimuksissa on määriteltävä tietosuoja, ilmoitusmääräajat tietoturvaloukkauksista, datan omistajuus sekä määritelty eskalointi. Vaatimustenmukaisuutta seurataan vähintään kaksi kertaa vuodessa tehtävillä tarkistuksilla käyttöoikeuksista, salasanoista ja ylläpitäjätilasta, ja kaikki politiikkapoikkeukset on perusteltava ja hyväksytettävä muodollisesti toimitusjohtajalla (GM), mukaan lukien kompensoivat hallintakeinot ja määräpäivät korjaamiselle. Katselmointi ja jatkuva parantaminen on sisäänrakennettu: politiikka edellyttää vuosittaista katselmointia sekä päivityksiä poikkeamien jälkeen, uusien alustojen käyttöönoton yhteydessä tai sääntelymuutosten seurauksena. Arkistoidut tallenteet säilytetään turvallisesti tietojen säilytyspolitiikan mukaisesti, jotta kaikki pilvitoiminta on auditoitavissa sisäisiä ja ulkoisia (mukaan lukien ISO) vaatimuksia varten. Rajatulla mutta kohdennetulla soveltamisalalla tämä politiikka tarjoaa pk-yrityksille vahvan mutta hallittavan rakenteen pilvipalveluiden hallintotapaan, mahdollistaen sääntelyvaatimusten noudattamisen, riskienhallinnan ja toiminnan jatkuvuuden.