Pilveteenuste kasutamine

Esmalt on oluline valida teenusepakkuja. Pakkuja valik on strateegiline otsus, mis mõjutab ettevõtte andmete turvalisust – hoolikas planeerimine ja teadlik valik aitavad tagada, et ettevõte saab pilveteenustest maksimaalset kasu, minimeerides samal ajal võimalikke riske. Peamised kaalutlused pilveteenuse pakkuja valimisel:

1. Veenduda, et teenusepakkuja järgib asjakohaseid turvastandardeid ja regulatsioone.
2. Oluline on teada, kus andmeid hoitakse ja kuidas neid hallatakse. See on tähtis nii andmekaitse kui ka regulatiivsete nõuete täitmise seisukohalt.​
3. Milline on teenusepakkuja töökindlus ja teenuse kättesaadavus – abiks võib olla info varasemate intsidentide ja selle kohta, kuidas teenusepakkuja on probleemid lahendanud.
4. Hea klienditugi on kriitilise tähtsusega. Tasub veenduda, et pilveplatvorm pakub õigeaegset ja asjatundlikku tuge.
5. Mis on teenuse maksumus ja lepingutingimused. Oluline on pöörata tähelepanud sellele, et teenusega ei kaasneks varjatud tasusid või lepingulisi kohustusi, seda ka andmete väljastamisel teenuse lõpetamisel.

Enne otsuse tegemist tasub uurida mitmeid teenusepakkujaid, võrrelda nende pakkumisi ja lugeda klientide tagasisidet.​

Kui sobiv teenusepakkuja on leitud, tuleb pöörata tähelepanud pilveplatvormi turvalisele kasutamisele. Juba teenuse seadistamisel tasub läbi mõelda kõik turvaseaded, näiteks juurdepääsukontroll, võrgu turvaseaded ja logimise seadistamine. Paljud pilveteenuste pakkujad pakuvad sisseehitatud turvafunktsioone, mis aitavad kaitsta küberohtude eest – näiteks rämpsposti või kahjuliku sisu filtreerimine. Kontrolli neid kaitsevõimalusi regulaarselt ning vajadusel lülita haldusliideses sisse lisakaitsed ja tee need kohustuslikuks kõigile kasutajatele. Õigesti seadistatud platvorm on pool võitu, ent turvalisus ei ole ühekordne tegevus. Pilvesüsteeme tuleb regulaarselt hooldada ja ajakohastada, et kaitsta süsteeme ja vältida teadaolevate turvanõrkuste ärakasutamist. Selle kõrval on äärmiselt oluline ka tegevuste logimine ja pidev jälgimine – nii saab kiiresti märgata, kui toimub midagi ebatavalist. Selleks tuleb seadistada süsteemilogid ja jälgida regulaarselt pilveteenuses toimuvat, et tuvastada potentsiaalseid intsidente ning neile kiiresti reageerida.

Viimaks ei tohi unustada andmete varundamist. Pilv ei välista vajadust regulaarselt andmeid varundada – pigem vastupidi. Andmetest tuleb regulaarselt teha varukoopiaid ja veenduda, et need on turvaliselt salvestatud. Mõne teenuse puhul pakub varundamist ka pilvteenus ise, kuid üks varukoopia tuleb alati hoida keskkonnast eraldi ning salvestatuna organisatsiooni kontrolli all olevale andmekandjale või teise pilvteenusesse. See tagab andmete taastamise võimaluse ootamatute probleemide korral.​

Ettevõtte sees tuleb hoolega läbi mõelda, kellel millele ligipääs on. Iga töötaja peaks saama just sellise juurdepääsu, mis on tema töö tegemiseks vajalik – mitte rohkem.

Ka pilveteenustes luuakse igale kasutajale isiklik konto, mida haldab organisatsioon. Iga kontot tuleb aga kaitsta tugeva ja kordumatu parooliga ning mitmeastmelise autentimisega. Pilvteenuste kasutamisel ei tohi unustada sulgeda töölt lahkuvate töötajate kontod hiljemalt töötaja viimasel tööpäeval, et endisele töötajale ei jääks ligipääsu organisatsiooni andmetele. Nii saab vältida olukordi, kus volitamata isikud pääsevad ligi tundlikele andmetele.

Administraatori kontol on rohkem õigusi kui tavakasutajal. Seetõttu tuleb neil, kes haldavad pilveteenuseid, kasutada eraldi administraatori kontot, mida ei kasutata igapäevaseks tööks. Pilvkeskkondade kasutamisel on väga oluline, et organisatsioonil oleks alati olemas administraatoriõigustega ligipääs oma kasutajakeskkonnale (ehk pilves eraldatud ja isoleeritud keskkonnale, mis on mõeldud just sellele organisatsioonile). Selleks tuleb kasutajakeskkonna loomisel uurida, kuidas saab antud pilveteenuse pakkuja juures administraatori ligipääsu vajadusel taastada, ning teha vajalikud seadistused. Näiteks võib vaja minna sisestada administraatori kontaktandmed (nt lisameiliaadress) ja salvestada taastamiskoodid turvalises kohas väljaspool pilvkeskkonda, näiteks seifis. Ka administraatorikontod peavad olema kaitstud tugeva parooli ja mitmeastmelise autentimisega. Mõne pilveteenuse puhul saab piirata ligipääsu organisatsiooni kasutajakeskkonnale või haldusliidesele kindlate IP-aadresside või seadmete alusel. Lisaks tasub kaaluda tingimuslike ligipääsureeglite (Conditional Access Policies) kasutamist – need võimaldavad määrata, kes ja kuidas võib teenustele ligi pääseda, näiteks sõltuvalt asukohast, seadme turvatasemest, kellaajast või kasutatavast rakendusest. Nii saab luua paindlikumaid ja tugevamaid kaitsemeetmeid kui ainult tavaliste staatiliste reeglitega

Oluline on anda töötajatele selged juhised pilveteenuste kasutamiseks ning viia ka nemad kurssi platvormiga seotud riskidega. Informeeritud ja ettevalmistatud personal suudab vältida paljusid levinud turvariske, mis tulenevad just hooletusest või teadmatusest.