Kustannusoptimoinnilla ja tietoturvalla on selvä yhteys. Suunnitelmallisesti tehty kustannussäästö parantaa myös tietoturvaa, vaikka äkkiseltään voisi ajatella säästöjen vaikuttavan nimenomaan päinvastoin. Miten tämä yhtälö oikeastaan toimii?
Tietoturvassa ja kustannusoptimoinnissa on oleellista selvittää, mitkä tietoturvatyökalut tuottavat parhaan vasteen rahalle sekä mitä ja miten järjestelmiä käytetään. Aina kannattaa myös tarkistaa, onko nykylisensseissä jotain tärkeää käyttöönottamatta tai tekemättä. Kenties joitain ominaisuuksia ei ole hyödynnetty täysin tai ei ollenkaan, mutta joista kuitenkin jo maksetaan. Pureudutaanpa aiheeseen hieman lisää.
Turvallisin pilviresurssi on poistettu pilviresurssi
Ei ehkä ihan näin. Syvällisesti ajateltuna tässä on totuutta siinä, että tarpeettomat ja käyttämättömät pilviresurssit kannattaa poistaa. IT-infrastruktuurilla ja julkipilvellä on taipumus lähteä laajentumaan ja kasvamaan ajan myötä ja samalla helposti joukkoon jää resursseja, joita ei enää tarvita eikä hyötykäyttö enää ole samanlaista kuin alkuvaiheessa. Tarpeettomaksi jääneellä resurssilla ei välttämättä enää ole edes omistajaa eikä se ole tuotantokäytössä. Nämä samat kohteet nostavat paitsi kustannuksia myös lisäävät tietoturvariskiä täysin tarpeettomasti.
On nimittäin niin, että jos pilviresurssilla ei ole omistajaa, sillä ei todennäköisesti myöskään ole toimintamallia sen ajantasaistamiseksi tai turvaamiseksi. Toisin sanoen käyttämätön resurssi on sekä tarpeeton kustannus että ainakin jonkinlainen tietoturvariski. Oleellista on siis tunnistaa nykytilanne ja tarpeet. Tämän jälkeen päästään parantamaan tilannetta sekä kustannusten että tietoturvan kannalta. Kustannussäästöjen ja tietoturvan vahvistamisen ei siis tarvitse olla toisiaan poissulkevia asioita, vaan pikemminkin samaan suuntaan vieviä.
Tunnistaminen, optimointi, allokaatio
Kustannusoptimointi kulkee vaihe vaihteelta tunnistamisesta optimointiin ja allokaatioon. Tunnettu FinOps-viitekehys (Financial Operations) on muutakin kuin kustannusoptimointia, mutta optimointi on yksi sen osa-alueista. FinOps tekee kustannuksista näkyvää ja helposti ymmärrettävää, mikä auttaa optimoinnissa.
FinOpsin keskeisiä periaatteita ovat muun muassa tiimien yhteistyö ja jo edellä mainittu omistajuus pilvipalveluiden käytölle. Läpinäkyvyyden merkitys on hyvin oleellinen, ja se ilmenee käytännössä esimerkiksi helppotajuisina ja ajantasaisina raportteina. FinOpsista teknologiaan tuodaan kustannusohjaavat käytännöt ja määrittelyt. Oleellista on muun muassa se, onko resurssi jaettu vai dedikoitu, mikä on kustannustenjako prosentteina ja mikä on kunkin teknologian kustannus, käytettävyys ja tietoturva. Tämän ei kuitenkaan tarvitse merkitä sitä, että kaikkien resurssien vaatimukset olisivat samanlaisia. Vaatimusten määrittelyyn vaikuttaa muun muassa resurssien liiketoimintakriittisyys. Kun pilveen saadaan selkeyttä, ymmärretään liiketoiminnan ja tietoturvan vaatimukset. Tämä mahdollistaa talousohjattujen päätösten tekemisen ja kustannusoptimoinnin kanavoinnin tietoturvatyökaluihin tai prosesseihin.
Kustannusoptimoitu voi olla myös tietoturvallisempi
Yleensä on niin, että mitä isompaa pilven käyttö on, sitä enemmän sieltä löytyy optimoitavaa. Suosittelen hyödyntämään myös palveluiden hankintamalleja. Onko esimerkiksi Azuren Cost Savings Plan tuttu? Hyvä esimerkki talousohjatusta päätöksestä on kustannusvaikutus käytettävyyden kasvaessa. Ajattelua tulisi kuitenkin laajentaa myös tietoturvaan. Oleellista on myös kysyä, mille turvatasolle mikäkin toiminta on tarpeen saada. Ei siis kannata ensin rakentaa infrastruktuuria ja vasta sitten miettiä, miten sitä tullaan suojaamaan.
On hyvä pohtia niin sovelluksen käytettävyys- ja vikasietoisuusaste kuin tarpeellinen turvatasokin. Käytettävyyttä lisäävät datan kahdennus, varmuuskopiointi, skaalautuvuus sekä disaster recovery (liiketoiminnan jatkuvuustyökalut). Aina kun käytettävyysastetta nostetaan, kasvaa myös kustannus. FinOps on hyvä työkalu, kun halutaan muodostaa sekä talous-, teknologia- että liiketoimintaohjattuja päätöksiä.
Olli-Pekka Paljakka puhui aiheesta Loihteen Kyberkvartaaliaamiaisella 14.9.2023 otsikolla ”Tietoturvaa nollabudjetilla”. Linkki tapahtuman tallenteeseen löytyy täältä.