#26 – Kyberturvallisuus pilvipalveluissa

OP Tech Podcastin 26. jaksossa Kristian Luoman kanssa keskustelevat OP:n asiantuntijat Aleksi Luhtamäki ja Jyrki Puttonen. Jyrki työskentelee OP:n Cloud Platforms -toimen Product Ownerina vastaten yhdessä tiiminsä kanssa muun muassa OP:n AWS-alustan tuotteistamisesta, hallinnasta ja OP:n tiimien tukemisesta pilvipalveluiden käytössä. Aleksi puolestaan toimii Lead Information Security Specialistina OP:n Kyberturvallisuus -organisaatiossa tarkastellen pilvipalveluita erityisesti tietoturvan näkökulmasta.

Tässä jaksossa Aleksi, Jyrki ja Kristian keskustelevat muun muassa siitä,

  • miten kyberturvallisuus pilvessä eroaa normaalista kyberturvallisuudesta,
  • onko tietoturva este pilvipalveluiden käyttämiselle ja
  • kuinka tietoturvavastuu jakautuu OP:n kehittäjätiimeille.

Katso tästä, mitä edellinen jakso käsitteli >> 

Miten kyberturvallisuus pilvessä eroaa normaalista kyberturvallisuudesta?

”Ei kovinkaan paljon. Kyberturva on monella tapaa pilvessä sama asia kuin On-Premise -ympäristöissä eli perinteisissä paikallisissa konesaleissa” Aleksi aloittaa ja jatkaa:

”Olennaisin ero on se, että pilvessä muun muassa tekijöillä itsellään on suurempi vastuu tietoturvasta. Eli käyttöpalvelutoimittajien puolelta saadaan vähemmän tietoturvaa, ja palveluita kuluttavien tiimien tai kehittäjien on itse huomioitava kyberturvallisuutta enemmän.”

Aleksin mukaan siirtyminen pilvipalveluiden hyödyntämiseen on tietoturvan puolesta lähes yhtä turvallista kuin aiemmin.

”Pilvipalveluiden hyödyntäminen voi olla ajoittain jopa turvallisempaa, sillä pilvipalveluiden toimittajat satsaavat todella paljon ympäristönsä tietoturvaan. Peruskyvykkyyksiä löytyy ihan hyllytavarana tiimeille ja kehittäjille kulutettaviksi. Siinä mielessä pilven tietoturva voi olla paikka paikoin helpommin lähestyttävämpää kuin perinteinen tietoturva”, Aleksi kertoo.

Vastuuta turvallisesta kehittämisestä jalkautetaan tiimeille

”Tietoturvavastuun jalkauttaminen kehittäjätiimeille parantaa kyberturvallisuuttamme. Siirrämme siis vastuuta tiimeille, jotka ymmärtävät, mitkä heidän tietoturvatarpeensa oikeastaan ovat. Tiimeissä on paras tietämys siitä, minkälaisia asioita työstetään, minkälaista dataa käsitellään ja miten siihen tulisi reagoida”, Jyrki kertoo.

”Toki OP Ryhmästä löytyy paljon riskienhallinnan osaamista, tiedonlajittelua ja muuta, joiden asiantuntijat pystyvät tukemaan tiimien työtä tietoturvaan liittyvissä asioissa”, hän jatkaa.

”Mitä aikaisemmin tietoturvariski havaitaan, sitä halvempaa ja tehokkaampaa siihen on puuttua. Kehittäjä pystyy korjaamaan pieniä poikkeuksia välittömästi, mutta jos jotain on ollut tuotannossa jo vuoden parin verran, on tilanteen korjaaminen ihan eri homma”, Jyrki sanoo.

Myös Aleksi näkee vastuunjaon vaikutukset omassa työssään.

”18-vuotisen tietoturvaurani aikana tietoturva on aina ollut kehittäjän sijaan jonkun toisen huolehdittavan. Nyt kun siirrymme tietoturvalliseen sovelluskehittämiseen, vastuu tietoturvasta on myös tekijällä eli he kysyvät apua ja tekevät itse” Aleksi sanoo.

”Nyt pääsen haastamaan itseäni ihan eri lailla kuin aiemmin. Minulla ei ole taustaa sovelluskehittäjänä, mutta muutoksen myötä keskustelen devaajien kanssa päivittäin. Tällainen infrastruktuuri-ihminenkin pääsee opettelemaan uusia asioita jatkuvasti”, hän summaa.

Onko OP kiinnostava työpaikka kyberturvallisuudesta kiinnostuneelle kehittäjälle?

”Kyberturvan näkökulmasta OP vertautuu muihin kilpaileviin organisaatioihin todella hyvänä työpaikkana. Meillä on hyvä meininki ja vahva johdon tuki pilven tekemiseen. Myös tietoturvapuoleen on satsattu viime aikoina”, Aleksi kertoo.

”Olemme saaneet kerättyä OP Ryhmän sisäisen virtuaalitiimin pilven tietoturvasta kiinnostuneille osaajille. Toivotamme tiimiin tervetulleeksi kaikki devaajat, jos on kiinnostusta kuulla, keskustella ja kontribuoida pilvipalveluiden kyberturvallisuusasioihin”, hän jatkaa.

Eri taustoista olevat osaajat oppivat tiimissä toisiltaan tietoturvan lisäksi myös pilvipalveluiden käytöstä ja kehittämisestä.

”En itse ole koodari, joten opin devaajien kanssa keskustellessa heidän arjen työstään ja samalla voin itse kertoa, miten he voisivat omassa tekemisessään huomioida tietoturvaa paremmin”, Aleksi sanoo.

”Yhteistyö on meillä siis hyvää. Siinä mielessä kannustan kaikkia tietoturvasta kiinnostuneita osallistumaan tiimiin. Harvassa paikassa on näin upea ympäristö, jossa pääsee kehittämään, osallistumaan ja haastamaan itseään”, hän summaa.

Kuuntele Aleksin, Jyrkin ja Kristianin keskustelu kokonaisuudessaan Spotifysta >>

Jakson sisältö

  • Miten kyberturvallisuus pilvessä eroaa normaalista kyberturvallisuudesta?
  • Miksi OP:lla siirrytään pilveen ja kuinka turvallista pilvipalveluiden hyödyntäminen on?
  • Onko tietoturva este pilvipalveluiden hyödyntämiselle?
  • DevSecOps – tietoturvavastuun jakautuminen OP:n kehittäjätiimeille
  • Pilvipalveluiden rakenteen vaikutukset tietoturvaan ja kehittämiseen
  • Kuinka tietoturvan poikkeustilanteita hallitaan?
  • Onko OP kiinnostava työpaikka kyberturvallisuudesta kiinnostuneelle kehittäjälle?

Jakson kesto: 21:38 min

Jatketaan keskustelua sosiaalisessa mediassa! Verkostoidu Aleksin, Jyrkin ja Kristianin kanssa