04 helmikuuta 2020
Arvioimme hiljattain yhdessä tutkimusyhtiö Radarin kanssa pohjoismaisten organisaatioiden kypsyyttä hyödyntää pilvipalveluita. Tulokset osoittivat varsin selkeästi, millaista kilpailuetua saavat ne organisaatiot, jotka suhtautuvat pilvipalveluihin positiivisesti ja joiden pilvipalvelustrategia perustuu objektiiviseen analyysiin niiden mahdollisuuksista ja rajoitteista. Pohjoismainen Cloud Maturity Index -tutkimus (CMI) nosti esiin kuitenkin myös useita seikkoja, joiden takia pilvipalvelujen laajempaa käyttöä vielä emmitään.
Cloud Maturity Index 2019 tutkimuksen paljastamat pilvipalveluiden käytön esteet noudattavat pääosin aikaisemmilta vuosilta tuttua kaavaa. Siinä missä vaatimustenmukaisuus, toimittajasidonnaisuus ja siirtymiskustannukset haittaavat kaikkia organisaatioita, ilmeni myös kaksi muuta estettä, jotka olivat erityisen relevantteja kypsyysasteikon ääripäiden organisaatiolle.
Pilvikypsyydeltään matalille organisaatioille suurin este pilvipalvelujen laajemmalle hyödyntämiselle on CMI:n mukaan pilvipalvelujen ja olemassa olevan IT-ympäristön integroinnin monimutkaisuus. Myös niissä organisaatioissa, joissa pilvipalvelut ovat jo arkipäivää, integrointi nähdään kohtalaisena, merkitykseltään suurin piirtein vaatimustenmukaisuuteen verrattavana esteenä.
Tämä on varsin ymmärrettävää, sillä olemassa olevat järjestelmät ovat haastavia integroitavia – etenkin, kun samalla siirrytään ikivanhoista järjestelmistä pilvipalveluihin. Usein näitä perinteiseen tapaan rakennettuja järjestelmiä ei ole suunniteltu tietoturvan osalta pilvipalvelujen päälle. Tällöin integrointiin tuo merkittävää lisähaastetta varmistaa järjestelmän tietoturva pilvipalveluympäristössä.
Usein organisaatiot myös siirtyvät pilviympäristöihin ”lift and shift” -siirtoprojektien kautta välttääkseen lyhyellä tähtäimellä sovellusten modernisoinnin ja siitä syntyvät kustannukset. Tällä lähestymistavalla otetaan kuitenkin iso riski menettää pilvipalvelumallin mahdollistama joustavuus ja kustannussäästöt.
Vanhojen sovellusten modernisointi on kuitenkin usein kannattava ennakkoinvestointi. Kun sovellukset organisoidaan liiketoiminnan kannalta selkeästi määritellyiksi kokonaisuuksiksi, voidaan helpommin priorisoida pilviympäristöön sopivia sovelluksia ja yksinkertaistaa kokonaisuuden hallintaa, jopa ilman uraauurtavien mikropalveluiden käyttöönottoa.
Ehkä yllättävin löydös viimeisimmässä CMI-tutkimuksessa oli se, että pilvikypsät organisaatiot pitävät tietoturvaa suurimpana esteenään laajemmalle pilvipalvelujen käyttöönotolle. Epäkypsät organisaatiot puolestaan tunnistavat kyllä tietoturvan aiheuttamat haasteet, mutta näkevät ne yhtenä monista ongelmista toimittajasidonnaisuuden ja siirtymiskustannusten rinnalla.
Pilvikypsyys, siten kuin sitä mitattiin CMI-tutkimuksessa, ei välttämättä suoraan kuvasta organisaatioiden pilvipalvelujen käyttöä. Yksi selitys voi hyvinkin olla pilvipalvelujen tietoturvan suhteellinen epäkypsyys jopa tietoturva-ammattilaisten keskuudessa. Samankaltaiset monimutkaisuuskysymykset, jotka nousevat pintaan IT-integraatiokeskusteluissa, saattavat vaikuttaa tässäkin.
Nopeasti kehittyvät pilviympäristöt ja niille ominaiset tietoturvakonseptit vaativat uudenlaista ajattelua tietoturvaa suunniteltaessa. Sama koskee luottamuksen rakentamista ja siten myös turvallisuusriskien tunnistamista jaetun tietoturvavastuun ympäristössä.
Tässä valossa kannatan jälleen ongelman jakamista pienempiin paloihin. Ei ole – eikä rehellisesti sanottuna koskaan ole ollutkaan – yhtä yhdenmukaista, kaikkiin tilanteisiin sopivaa tietoturvaratkaisua. Huolellinen turvallisuusriskien analyysi paljastaa, missä yhteydessä pilvipalvelut tarjoavat uusia etuja ja missä taas eivät. Parhaimmillaan tietoturvatyökalujen laaja saatavuus pilviympäristöissä antaa organisaatioille mahdollisuuden parantaa tietoturvansa tasoa huomattavasti. Kypsät organisaatiot kuitenkin tietävät, milloin ja miten pilvipalveluja voidaan hyödyntää.
Kuten aiemmassa blogissani totesin, yhtenä avaintekijänä pilvipalvelujen hyödyntämisessä vaikuttaa organisaatiossa luotu pilvistrategia. Sen tulee olla johdettu koko organisaation liiketoimintastrategiasta. Liiketoiminnan tavoitteiden ymmärtäminen auttaa näkemään pilvipalvelujen mahdollisuudet ja haasteet oikeasta näkökulmasta.
Integroinnin monimutkaisuus ja tietoturva ovat kaksi esimerkkiä näennäisesti teknisistä haasteista, joita ei kuitenkaan voida ratkaista ilman yhteyttä liiketoimintastrategiaan. Kuten aina monimutkaisten järjestelmien hallinnan kanssa, haasteet ratkaistaan parhaiten ketterästi edeten. Syödään elefantti pala kerrallaan!