Tietoturvallinen ohjelmistokehitys
- 11/03/2024
Tietoturvallinen ohjelmistokehitys ei ole mikään staattinen tila, joka saavutetaan suorittamalla joitakin tiettyjä yksittäisiä toimenpiteitä, vaan kyseessä on jatkuva prosessi, joka vaatii sitoutumista ja jatkuvaa kehitystä. Tietoturvan jatkuva kehittäminen on oikeastaan välttämättömyys nykyaikaisessa digitaalisessa maailmassa ja tähän kehittämiseen on myös Sebitillä panostettu koko yrityksen 30-vuotisen taipaleen aikana.
Aiheena tietoturvallinen ohjelmistokehitys on hyvin laaja. Tässä blogissa tarkastelemme konkreettisten esimerkkien kautta joitakin parhaita käytäntöjä, joihin Sebitillä on viime vuosina panostettu, tietoturvallisen ohjelmistokehityksen parantamiseksi.
DevDays 2017
Vuoden 2017 kehityspäivien teemana oli tietoturvallinen ohjelmistokehitys. Kehityspäivät veivät meidät helteiselle Maltalle, jossa yhteistoimin kirjoitimme Sebitille sovelluskehittäjän tietoturvaoppaan.
Tuo opas on edelleen tänäkin päivänä ajankohtainen ja käytössä. Siihen kirjattuja käytäntöjä tarkastellaan porukalla vähintään kerran vuodessa vuosikelloon aikataulutettujen prosessien mukaisesti ja opas kuuluu myös perehdytysprosessiimme.
DevDays 2023
Myös vuoden 2023 kehityspäivien yhtenä pääteemana oli tietoturvallinen ohjelmistokehitys. Islannin jylhät maisemat loivat unohtumattomat puitteet omatoimiselle kouluttautumiselle, jossa kehittäjämme tekivät erilaisia penetraatio- ja haavoittuvuustestauksia kehittämiimme tuotteisiin. Testauksen perusteella tehtiin tiimeissä analyysia uhista ja paikattiin mahdollisia haavoittuvuuksia.
DevSecLab koulutus
Muutamia muita käytänteitämme
Kuten alussa jo totesimme, tietoturva on kokonaisuudessa varsin laaja-alainen aihe-alue. Tämän blogin loppuun nostamme vielä esimerkkinä muutaman muun asian mitä arjessamme tulee esille.
Perustason lisäksi tietoturvan ylläpito vaatii aktiivista ja jatkuvaa seuraamista. Tätä teemme viikoittain yhteisessä ohjelmointipalaverissa, jossa käymme läpi viikon aikana vastaan tulleita asioita, jaamme toisillimme ajatuksia ja vinkkejä, miten parantaa tietoturvaa. Lisäksi meillä on vuosikellossa aikataulutettuna tehtäviä, joilla varmistetaan tietoturvallisen toiminnan jatkuminen ja kehittäminen.
Luonnollista myös on, että jokaiselle koneelle on asennettu asianmukaiset suojaus- ja seurantaohjelmistot tietokoneiden turvallisen ja toimivan käytön takaamiseksi. Pääsynhallinta on hoidettu siten, että oikeilla henkilöillä on pääsy vain tiettyihin tiedostoihin. Myös varahenkilöt on mietitty, jos jollekin sattuu jotakin, jolloin tieto ei ole ainoastaan yhden henkilön takana.
Asiakkaamme myös auditoi meitä säännöllisesti tietoturvan suhteen. Muita asioita ovat mm. riittävän tietoturvalliset laitteet ja ohjelmien suojausmenetelmät, oikein hoidetut sopimustekniset asiat ja riittävä resurssointi.
Loppupeleissä turvallisuus on ennen kaikkea kiinni ihmisistä, joten aina uuden työntekijän tullessa taloon, järjestämme hänelle perehdytyksen talon tavoille ja tietoturvallisen toiminnan takaamiseksi liittyen esim. GPDR:ään, tietoturvaluokituksiin, sähköpostin ja internetin käyttöön, sovelluskehitysprosessiin, tietokoneen käyttöön ja salasanoihin sekä tilaturvallisuuteen. Pyrimme huolehtimaan työntekijöistä, jolloin he luonnollisestikin ajattelevat yrityksen parasta. Koulutamme myös heitä sopivilla kursseilla, jotka lisäävät heidän tietotaitoaan.
Muuta ajankohtaista luettavaa
Lue blogikirjoitus »