ABOVEIT

Miksi päivittää Business Premiumiin?

Juha kertoo miksi päivittää Business Premiumiin?

Usein minulta kysytään, että miksi päivittää Business Premiumiin? Yksinkertainen ”spoiler” vastaus: Koska se on ensimmäinen lisenssitaso Microsoft 365 palveluiden Business-lisensoinnissa, joka tuo tietoturvaan ja tietosuojaan liittyviä palveluita mukanaan, kokonaisvaltaiseen lisenssipakettiin niputettuna. Voit päästä sen avulla myös vaikka toimistopalvelimesta tai kolmannen osapuolen tietoturvaratkaisuista eroon ja saavuttaa selviä säästöjä.

Kohti tiukentuvia vaatimuksia

Oletteko muuten huomanneet, että tietoturvan vaateet organisaatioille kiristyvät tänä vuonna? Syksyllä siirtymäajaltaan voimaan tulee päivitettyä NIS2 EU-direktiiviä, ja finanssisektorilla vuoden vaihteessa vielä sitäkin tiukempaa DORA EU-direktiiviä ja sen velvoitteita. Osa PK-yrityksistä ja organisaatioista tuntuu ajattelevan, että ”vaatimukset eivät koske meitä”, ja sinällään hyvä jos tällainen vaatimusten tulkinta on päästy tekemään. Samaan aikaan kuitenkin suuren hypen kohteena olevat erilaiset tekoälyn ratkaisut kehittyvät kovaa vauhtia ja tuntuvat enenevissä määrin kiinnostavat organisaatioita. Tietosuoja tuntuu tukiälyjen osalta kiinnostavan isostikin eri organisaatioita.

Mutta onko asiakkaananne tai yhteistyökumppaninanne isompia organisaatioita, joihin nämä tulevat NIS2 tai DORA velvoitteet purevat? Suosittelen tällöin tekemään pikaisesti pienen uudelleenarvioinnin, sillä myös pienemmille organisaatioille näitä vaatimuksia saatetaan periyttää toimitusketjujen osana. Ja esimerkiksi meitä IT-alan yrityksiä NIS2-direktiivi velvoittaa suoraan. Olisiko nyt hyvä hetki ajatella tietosuojaa hieman laajemmin, vaikka se hieman möröltä tuntuukin? Voidaan joka tapauksessa olettaa, että nykyinen kehitys tuskin tulee jäämään tähän: Tulevaisuudessa seuraavat direktiivipäivitykset voivat tuoda suoria vaatimuksia jo meille kaikille.

Tietoturvaa Microsoft 365 palveluille?

Siinä missä Office365 palvelut olivat alun perin pelkkiä palveluita ja Office-sovelluksia mahdollistamassa tietotyötä, kuten sähköpostia – havahduttiin pian siihen, että palvelut tarvitsevat rinnalleen tietoturvaa ja tietosuojaa mahdollistavia teknisiä ratkaisuja. Syntyi ensimmäisiä tietoturvalla paketoituja Microsoft 365 palvelupaketteja, kuten Microsoft 365 Business Premium. Microsoft 365 Business Premium on alle 300 hengen organisaatioille suunnattu hyvin kokonaisvaltainen pilvipalvelulisenssi.

Iso osa PK-yrityksistä ja organisaatioista on kuitenkin jatkanut suppeampien lisenssimallien käyttöä, kustannussyistä. Käytössä saattaa olla edelleen pelkkiä Business Basic tasoisia palveluita. Jos on haluttu hankkia myös Office-sovellukset, käytössä saattaa olla Business Standard tasoista peruslisensointia. Mutta tietoturva ja keskitetty hallinta näistä molemmista puuttuvat edelleen. Ja tämä on myös syy, miksi suosittelen lämpimästi harkitsemaan tietoturvalla ja tietosuojalla varustettuja laajempia Microsoft 365 palvelupaketteja näiden peruslisensointien tilalle. Avaan kohta tarkemmin miksi.

Miten varmistaa tietoturva?

No mitä EU-direktiivit nyt sitten tuovat tullessaan? Valtaosa vaateistahan on puhtaasti hallinnollisia. Edellytetään, että yritykset ovat käyneet läpi vähintäänkin jonkinlaisen tietoturvaan liittyvän Excel-jumpan, dokumentoineet omia käytänteitään. Mutta osa vaateista tuo meille organisaatioille myös velvoitteita. Velvoitteita pystyä validoidusti seuraamaan tietoturvan tilaa ja tarvittaessa raportoimaan valvoville viranomaisille poikkeuksista määräaikojen sisällä, uhkasakkojen uhalla.

Mitä tämä tarkoittaa käytännössä? Jotta organisaatio pystyy varmistamaan ja valvomaan oman IT-ympäristönsä tietoturvan ja tietosuojan tilaa, käytänteiden on oltava ylhäältäpäin keskitetysti määritettyjä ja validoituja. Haastankin hieman ajatusleikkiin: Siinä missä monissa yrityksissä on totuttu tekemään asioita kevyemmällä Business -lisenssimallilla, joissa ei ole keskitettyä hallintaa ja vastuuta määrityksistä on hieman myös loppukäyttäjillä itsellään, riittääkö tämä enää?

Otetaan ihan perusesimerkki: Työaseman tietoturvaan liittyvät määritykset ovat olleet loppukäyttäjän omalla vastuulla toteuttaa tai IT-vastuullisen henkilön kiireessä käsin määrittämät, mutta meillä ei ole työasemaan mitään keskitettyä näkyvyyttä – voiko organisaatio varmasti sanoa, että tietoturvan määritykset on toteutettu organisaation määrittämien vaatimusten mukaisesti?

Tärkeimmät pointit parempaan tietosuojaan

Keskitetty hallinta pienelle yritykselle – onko se hieman yliampuvaa? Toki NIS2 ja DORA direktiivejä sovelletaan pienemmille yrityksille hieman kevennetysti. Mutta jos organisaation koko alkaa lähennellä kymmentä henkeä, keskitetyssä hallinnassa ja paremmin hallinnassa olevalla tietoturvalla alkaa olla jo merkitystä, etenkin mikäli organisaatioosi kohdentuu näitä velvoitteita.

Tärkeimpänä pistemäisenä asiana ja parannuksena Business Premiumiin mentäessä koen itse kuitenkin olevan viestinnän parannetun tietoturvan kehittyneitä uhkia vastaan. Valtaosa uhkista nykypäivänä on tietojen kalastelua ja muita kehittyneitä uhkia, joita vastaan työkaluja ei juurikaan ole kevyemmissä lisenssimalleissa. Nämä ovat muuten suojausominaisuuksia, mitkä itseasiassa myös isompien yritysten vastaavasta Microsoft365 E3 -lisensoinnista puuttuvat! Kun nämä suojaukset kehittyneitä uhkia vastaan yhdistetään keskitetyn hallinnan ja ehdollisen pääsyn hallinnan tuomiin mahdollisuuksiin, pystytään valtaosa organisaatioita uhkaavista nykyaikaisista vaaroista ehkäisemään. Ja mikä tärkeintä, tietoturvan osalta saadaan mahdollistettua näkyvyyttä ja tietoa, mikä on EU-direktiivien velvoitteiden täyttämisessä tärkeää.

Mutta entä sitten se Copilot ja muut kivat tukiälyn ratkaisut? Pienenä vinkkinä tietosuojan varmistamiseen on, että tiedon luokittelulla ja suojauksella, sekä säilytyskäytänteillä tulee olemaan Copilotin osalta tiedon saatavuuteen ja tuoreuteen suuri merkitys. Nämä kaikki ovat asioita, joita saadaan perusmuodossaan käyttöön ja mahdollistettua vasta Business Premium tasolla. Vaikka Copilot onkin saatavilla jo Business Standard -lisensoinnilla, en voi tietosuojan takia lämpimästi suositella Copilottia käyttöön otettavaksi, ennen kuin vasta alkaen Business Premium lisensoinnin kaverina.

Kun siis seuraavan kerran ihmettelette lisenssien osalta säästöjä, kannattaa miettiä myös hieman tulevaa, ja kuinka pieni osa se säästetty kymmenen euroa kuukaudessa lopulta on verrattuna ihmisen palkkakustannuksiin ja mahdollisiin työvoiman tuomiin tulovirtoihin. Microsoft365 palvelut ovat hyvin keskeinen osa ihmisten päivittäistä työtä ja arkea. Potentiaalinen tietoturvauhan aiheuttama katkos ja mahdolliset vahingot voivat olla näihin kuluihin nähden moninkertaiset. Voisiko ne samaiset tyypilliset parin tonnin vuosisäästöt saada vaikka muuten, esimerkiksi tehostamalla töiden tekoa?

Above IT on tietohallintosi kumppani ja voimavara. Asiakkaanamme saat aidon asiantuntemuksen tietoturvan ja tietosuojan kehitykseen liittyen, mutta myös tarvittavat lisenssit. Ja mikäli tulevat tietoturvan velvoitteet ja vaatimukset tuntuvat hähmäisiltä käsitellä, meiltä saattaa löytyä siihenkin tukea ja ratkaisuja.