12.4.2024
käyttöliittymäsuunnittelu ohjelmistokehitys prototyyppi ui/ux
Lue blogikirjoitus »
Lue blogikirjoitus »
Tietoturvallinen ohjelmistokehitys
- 11/03/2024
ohjelmistokehitys tietoturva
Tietoturvallinen ohjelmistokehitys ei ole mikään staattinen tila, joka saavutetaan suorittamalla joitakin tiettyjä yksittäisiä toimenpiteitä, vaan kyseessä on jatkuva prosessi, joka vaatii sitoutumista ja jatkuvaa kehitystä. Tietoturvan jatkuva kehittäminen on oikeastaan välttämättömyys nykyaikaisessa digitaalisessa maailmassa ja tähän kehittämiseen on myös Sebitillä panostettu koko yrityksen 30-vuotisen taipaleen aikana.
Aiheena tietoturvallinen ohjelmistokehitys on hyvin laaja. Tässä blogissa tarkastelemme konkreettisten esimerkkien kautta joitakin parhaita käytäntöjä, joihin Sebitillä on viime vuosina panostettu, tietoturvallisen ohjelmistokehityksen parantamiseksi.
DevDays 2017
Vuoden 2017 kehityspäivien teemana oli tietoturvallinen ohjelmistokehitys. Kehityspäivät veivät meidät helteiselle Maltalle, jossa yhteistoimin kirjoitimme Sebitille sovelluskehittäjän tietoturvaoppaan.
Tuo opas on edelleen tänäkin päivänä ajankohtainen ja käytössä. Siihen kirjattuja käytäntöjä tarkastellaan porukalla vähintään kerran vuodessa vuosikelloon aikataulutettujen prosessien mukaisesti ja opas kuuluu myös perehdytysprosessiimme.
DevDays 2023
Myös vuoden 2023 kehityspäivien yhtenä pääteemana oli tietoturvallinen ohjelmistokehitys. Islannin jylhät maisemat loivat unohtumattomat puitteet omatoimiselle kouluttautumiselle, jossa kehittäjämme tekivät erilaisia penetraatio- ja haavoittuvuustestauksia kehittämiimme tuotteisiin. Testauksen perusteella tehtiin tiimeissä analyysia uhista ja paikattiin mahdollisia haavoittuvuuksia.
DevSecLab koulutus
Koska tietoturvallinen ohjelmistokehitys on myös ihmislähtöistä, ei koulutuksen ja tietoisuuden lisäämistä voi missään nimessä väheksyä. Vuoden 2023 aikana koulutimme kaikki ohjelmistokehittäjämme DevSecLab- verkkokurssilla.
DevSecLab kurssin avulla kehittäjä oppii monia tietoturvalliseen ohjelmistokehitykseen liittyviä asioita. Kurssilla hänelle annetaan työkaluja ja ymmärrystä havaitsemaan erilaisia tietoturvauhkia varhaisessa vaiheessa. Muun muassa OWASP TOP 10 tulee tutuksi käytännön tekemisen kautta. Tämä vähentää riskejä, säästää aikaa ja resursseja myöhemmin ohjelmistokehityksessä.
Kurssi toimii Sebitin ohjelmistokehittäjän minimivaatimuksena tietoturvallisessa ohjelmistokehityksessä. Jokainen Sebitin ohjelmistokehittäjä on suorittanut tämän kurssin. Varmistamme näin, että kaikkien kehittäjiemme tietoturvallisen koodin ymmärrys on hyvällä tasolla.
Kurssin käyneiltä saimme seuraavanlaista palautetta:
Janne:
“Kurssilla oli paljon tuttuja teemoja ja mukava oli tehdä tehtäviä konkreettisesti ja hyödyntää haavoittuvuuksia, jotta näki käytännössä miten niitä käytetään. Plussana oli, ettei sovellus antanut suoria vastauksia. Asiakas voi luottaa siihen, että näillä kursseilla ja sertifikaateilla pidämme yllä tietoturvaosaamistamme. Se näkyy suoraan tehtyjen ohjelmistojen turvallisuudessa.”
Matti:
“Kurssi meni hyvin. Jotkut kysymykset vaativat hieman enemmän miettimistä. Kurssilla tuli vastaan myös työkaluja, joita en ollut aikaisemmin käyttänyt. Esimerkit olivat hyviä. Niiden avulla oppi ja näki, miten tietoturva-aukkoja käytetään hyväksi.”
Karl:
”Kurssi oli mielenkiintoinen, tuli myös uusia asioita. Sen suorittamiseen meni aikaa muutama päivä muun työn ohessa. DevSecLab ja vastaavat tietoturvaan liittyvät kurssit totta kai ylläpitävät kehittäjien huomiota ja taitoja tietoturvan suhteen, joka taas edesauttaa sitä, että asiakkaiden tietoturvallisuus pysyy vakaampana.”
Juuso:
”Kurssi antoi hyvän pohjan tietoturvaosaamiseen ja sitä oli mukava tehdä, kun näki miten asiat toimivat.
Kurssista on minun mielestäni selvä hyöty asiakkaille. Kun kehittäjillä on kyberturvallisuus osaaminen hallussa, voidaan välttää suuri osa aukoista, jotka voisivat aiheuttaa suurta haittaa asiakkaan imagoon ja rahallisesti. Kurssin avulla siis suojellaan mielestäni myös asiakasta.”
Muutamia muita käytänteitämme
Kuten alussa jo totesimme, tietoturva on kokonaisuudessa varsin laaja-alainen aihe-alue. Tämän blogin loppuun nostamme vielä esimerkkinä muutaman muun asian mitä arjessamme tulee esille.
Perustason lisäksi tietoturvan ylläpito vaatii aktiivista ja jatkuvaa seuraamista. Tätä teemme viikoittain yhteisessä ohjelmointipalaverissa, jossa käymme läpi viikon aikana vastaan tulleita asioita, jaamme toisillimme ajatuksia ja vinkkejä, miten parantaa tietoturvaa. Lisäksi meillä on vuosikellossa aikataulutettuna tehtäviä, joilla varmistetaan tietoturvallisen toiminnan jatkuminen ja kehittäminen.
Luonnollista myös on, että jokaiselle koneelle on asennettu asianmukaiset suojaus- ja seurantaohjelmistot tietokoneiden turvallisen ja toimivan käytön takaamiseksi. Pääsynhallinta on hoidettu siten, että oikeilla henkilöillä on pääsy vain tiettyihin tiedostoihin. Myös varahenkilöt on mietitty, jos jollekin sattuu jotakin, jolloin tieto ei ole ainoastaan yhden henkilön takana.
Asiakkaamme myös auditoi meitä säännöllisesti tietoturvan suhteen. Muita asioita ovat mm. riittävän tietoturvalliset laitteet ja ohjelmien suojausmenetelmät, oikein hoidetut sopimustekniset asiat ja riittävä resurssointi.
Loppupeleissä turvallisuus on ennen kaikkea kiinni ihmisistä, joten aina uuden työntekijän tullessa taloon, järjestämme hänelle perehdytyksen talon tavoille ja tietoturvallisen toiminnan takaamiseksi liittyen esim. GPDR:ään, tietoturvaluokituksiin, sähköpostin ja internetin käyttöön, sovelluskehitysprosessiin, tietokoneen käyttöön ja salasanoihin sekä tilaturvallisuuteen. Pyrimme huolehtimaan työntekijöistä, jolloin he luonnollisestikin ajattelevat yrityksen parasta. Koulutamme myös heitä sopivilla kursseilla, jotka lisäävät heidän tietotaitoaan.
Muuta ajankohtaista luettavaa
Lue blogikirjoitus »
26.3.2024
ohjelmistokehitys saavutettavuus
Lue blogikirjoitus »
