Blogi

Miksi Office 365:n palvelun tiedot tulisi varmuuskopioida?

Kirjoittanut Panu Palmu 20.9.2019 11:17

varmuuskopiointiMiljoonat suomalaiset yrityskäyttäjät käyttävät Microsoftin 365 pilvipalvelua. Tärkeimmät sovellukset ovat sähköpostipalvelu sekä tiedostojen yhteiskäyttö. Office 365 (sekä Microsoft 365) on Microsoftin palvelukokonaisuus, joka tuotetaan sen omista konesaleista. Pilvipalvelupaketti mahdollistaa kustannustehokkaasti työkalujen käytön ja tilaamisen.

Suurin osa asiakkaista ei valitettavasti tiedä kaikkia faktoja palvelun tuottamiseen, vaan tyytyvät mieltämään, että Microsoft (tai heidän lisenssin jälleenmyyjä) hoitaa kaiken ja itse voi nostaa jalat pöydälle. Tässä muutama fakta:

Microsoft sanoo palveluehdoissaan mm. seuraavaa:

  • Asiakas vastaa oman tiedon säilyvyydestä
    • Microsoftia ei kiinnosta kenenkään sähköpostit tai tiedostot
  • Microsoft ei varmuuskopioi tiedostoja, vaan ainoastaan arkistoi niitä
  • Microsoft ei ota kantaa asiakkaan compliance puoleen

Sekä vielä seuraavat yleiset faktat

  • Arkistointi ei ole varmuuskopiointia
    • Arkistointi tarkoittaa (varsinkin 365 ympäristössä) tiedon siirtämistä halvemmalle levytilalle, kun varmuuskopiointi tarkoittaa kopion luomista
  • Vastoin yleistä kansanuskomusta, julkisen pilven palvelut ja palvelimet eivät ole 100-prosenttisen luotettavia

Vaikka tiedot ja palvelut olisivat Microsoftin tai Amazonin pilvessä, pitää palveluita silti valvoa oma-aloitteisesti (toki esim. kumppanin avulla). Kannattaa myös muistaa, että esim. raudan ja sen päällä olevan ohjelmiston valvonta ja ylläpito ovat kaksi eri asiaa.

 

Pilvivarmistamisen laajuus

Kyselyn mukaan suurin osa organisaatioista ei varmista pilvidataa. Erittäin suositeltavaa olisi varmistaa ne joko a) omille laitteille b) paikallisen palveluntarjoajan konesaliin (Etevä) tai c) toisen valmistajan pilvipalveluun.

pilvivarmistamisen_laajuus

Kuvaajan lähde: Source: 451 Research’s Voice of the Enterprise: Storage, Budgets and Outlook 2017

 

Microsoftin arkistoimisen toimintamallit ja riskit

Seuraavat kuvat näyttävät kuinka kauan mitäkin dataa säilytetään, jos esim. tietoja poistetaan vahingossa tai tarkoituksella (esim. lähtevä työntekijä). On tärkeä huomioida, että tiedon häviäminen, vuotaminen tai vahingoittuminen huomataan yleensä vasta pidemmän ajan kuluttua. Jos tässä kohtaa tieto on jo poistettu, niin on lähes mahdoton tutkia mitä on tapahtunut tai palauttaa tietoa. Office 365:n lokipalveluiden historiatiedollakin on rajansa.

 

 

Oikeilla varmuuskopiointiratkaisuilla voit suojautua eri tilanteita varten

 

Mitä organisaation tulee sitten tehdä?

Organisaation tulisi ottaa oma data omaan hallintaan. Tällä tarkoitan sitä, että ”ainut kopio” ei olisi vain yhdessä järjestelmässä. Office 365 tilit tulee varmistaa vaikkapa suomalaiseen konesaliin. Täältä voit arkistoida dataa tai palauttaa haluttuja viestejä tai tiedostoja jopa vuosien päästä.

  • Varmuuskopioi, älä arkistoi!
    • Kaikki eniten käytetyt Office 365 tiedot on mahdollista varmuuskopioida (mm. Exchange, Sharepoint, OneDrive)
  • Varmista toiseen paikkaan / eri järjestelmään
  • Mahdollista ongelmatilanteista palautuminen
  • Mahdollista esim. GDPR ja/tai Finanssivalvonnan määräysten noudattaminen
  • Ota tietosi omaan hallintaan!

 

Vastaako ympäristösi määräyksiä?

GDRP määrittää kaikille yrityksille toimintatapoja joita tulee noudattaa. Ne eivät ole vain tylsiä byrokraattisia lakipykäliä, vaan oikeasti järkeviä toimintatapoja. Finanssivalvonta pakottaa GDPR:n lisäksi rahoitusalan yrityksille lisäksi vielä tiukemmat määräykset. Niin sanotun ”Policy compliancyn” merkitys on varmistua, että organisaation toiminta vastaa viranomaisten (tai joskus jopa omien asiakkaiden) määräyksiä ja vaatimuksia. Tarkoitus on varmistua oikeista prosesseista ja käytännöistä eikä jättää asioita herran haltuun.

Tietojen pitäminen Office 365:ssä ilman varmuuskopiointia rikkoo sekä GDPR että Fivan määräyksiä. Fivan kohdalla yksi rike on mm. tiedon arkistointi viideksi vuodeksi. Molemmissa tiedon varmuuskopiointi ja palautuminen ongelmatilanteesta on merkittävät vaatimus. Tämä on myös maalaisjärkeä kaikille ketkä pyörittävät minkään kokoista tietotekniikkaan nojaavaa toimintaa.

 

Mitkä olivat tärkeimmät yleisen tietoturvan pelot ja huolet viimeiseltä 90 päivältä?

tietoturvan_haasteet

Lähde: 451 Research’s Voice of the Enterprise: Information Security, Organizational Dynamics 2018

Iso osa näistä peloista voi realisoitua Office 365:n jaetun pilvipalvelun toimintamallien takia. Näitä riskejä voidaan vähentää merkittävästi klassisella off-site varmuuskopioinnilla. Office 365:ssä datan pitäminen tarjoaa helppoa käytettävyyttä ja korkea toimintavarmuutta, mutta parhaiden käytäntöjen mukaisesti tiedot tulisi silti varmistaa vähintään toiseen pilveen (kuten Amazon AWS) tai Suomen rajojen sisälle omille laitteille tai paikallisen palveluntarjoajan konesaliin.

 

Topics: tietoturva, Office365, varmuuskopiointi

New call-to-action