elfCONSULTING - Ohjelmistokehityksen tietoturvakumppanuus

Ohjelmistokehitys ja sen tietoturvallinen toteuttaminen on kokonaisvaltainen prosessi, johon elfGROUP tarjoaa sekä tarkkaan kohdennettuja palvelupaketteja että jatkuvaa kumppanuutta tietoturvakäytäntöjen kehittämiseksi.
Tietoturvallinen ohjelmistokehitys ja ohjelmistovarmuuden konsepti ei ainoastaan taklaa hakkereiden hyökkäyksiä ja tietovarkauksia, vaan tavoitteena on myös vikasietoisuus, järjestelmän saatavuuden varmistaminen sekä tietoturvan tuominen näkyväksi ja mitattavaksi, jotta se on kaikille organisaation osapuolille konkreettinen ja merkittävä tavoite.

 

Tietoturvallinen ohjelmistokehitys

liiketoiminnan ymmärrys

Liiketoiminnan ymmärrys

Liiketoiminnan riskit

Liiketoiminnan riskit

Ennen vaatimusmäärittelyä, on hyvä lähteä liikkeelle riskiarvioinnin näkökulmasta. On tärkeää ymmärtää mikä rooli ohjelmistohankkeella on liiketoiminnassa, mikä voi mennä pieleen ja minkälaisia riskejä sen kautta voi realisoitua. Tästä saadaan johdettua yritystason tietoturvavaatimukset. elfSURVEY-kyberturvallisuuskartoitus on hyvä työkalu organisaation kyberturvallisuuden nykytilan selvitykseen ja kehittämissuunnitelman luomiseen.

ohjelmiston-tai-tuotetason-riskiarviointi

Ohjelmisto-/tuotetason riskiarviointi

tietoturvavaatimukset-tuotetasolla

Tietoturvavaatimukset tuotetasolla

Ohjelmisto- tai tuotetason riskiarvioinnissa mallinnetaan mm. tietovirtoja ja luottamusrajoja, jotta ymmärretään järjestelmäarkkitehtuurin rakenne. Riskiarviointiin liittyy keskeisesti uhkien mallintaminen, jota voidaan tehdä yhteistyössä eri viitekehyksiin peilaten. elfSWEEP-kyberturvallisuusarvioinnissa viitekehykseksi voidaan valita esimerkiksi ISO 27001 tai elfGROUPin CyberSafe-sertifikaatit. Uhkien mallintamiseen voi käyttää esimerkiksi STRIDE-muistisääntöä. Uhkien ennaltaehkäisemiseksi kirjataan mitigointikeinot, joista päästäänkin jo tuotetason tietoturvavaatimuksiin.

Kyberturvan arkkitehtuurin tilannekuva on hyvä tehdä yhteistyön alkuvaiheessa, kun tavoitteena on kokonaisvaltainen tietoturva läpi ohjelmistokehitysprojektin.

toiminnalliset-ja-ei-toiminnalliset-vaatimukset

Toiminnalliset / ei-toiminnalliset vaatimukset

Tietoturvan saaminen konkreettisesti osaksi ohjelmistokehitystä vaatii sen huomioon ottamista toiminnallisia ja ei-toiminnallisia vaatimuksia määritettäessä.  Tekniset tietoturvavaatimukset ovat usein käyttäjälle näkymättömiä, mutta tietoturvan ja järjestelmän saatavuuden kannalta erittäin merkittäviä. Konkreettiset tietoturvavaatimukset varmistavat, että valmis ja hyväksytty tuote on turvallinen, eikä niitä ohiteta ohjelmistotuotannon aikataulupaineissa.

tietoturvallinen-ohjelmistokehittaminen

Tietoturvallinen ohjelmistokehittäminen

Tietoturvallisen ohjelmistokehityksen vaiheisiin lukeutuvat mm. vaatimusmäärittely, suunnittelu, varsinainen koodaus sekä yksikkö- ja moduulitestausvaiheet. Tavoitteena on luoda turvallista koodia, jossa tietyt toiminnallisuudet ja kriteerit täyttyvät. Kolmannen osapuolen komponenttien hallinta sekä niiden auditoiminen ja turvallisuuden varmistaminen on myös yksi kriittinen osa tätä kokonaisuutta. Kokonaisjärjestelmä on kuitenkin heikoimman lenkin turvallisuuden tasolla. Tietoturvallisen ohjelmistokehityksen varmistavia toimintatapoja voidaan kehittää mm. OWASP SAMM -analyysista tunnistettujen kehityskohteiden kautta.

verifiointi-ja-testaukset

Verifiointi & testaukset

Verifiointivaihe kattaa sekä toiminnallisen testauksen että tietoturvatestit. elfATTACK eettisen hakkeroinnin testauspalvelu on hyvä apu riittävän tason tietoturvatestien toteuttamiseksi. Hakkeritestaukset suoritetaan useimmiten niin kutsuttuna tunkeutumistestauksena (penetraatiotestaus, penetration testing tai pentesting), jossa esimerkiksi tietojärjestelmän tai yrityksen palvelimien ja verkon suojaukset testataan pyrkimällä ohittamaan kohdeympäristön suojaukset paha-aikeisen hakkerin keinoin.

Kokonaismatkaa vaatimustenhallinnasta varsinaiseen turvalliseen kehittämiseen, testausvaiheisiin sekä tuotantoympäristöjen hallintaan olisi hyvä tarkastella Secure SDLC -mallilla (Secure Software Development Lifecycle). Ohjelmistokehityksen elinkaarimallin perusajatuksena on se, että tietoturva otetaan huomioon kaikissa tekemisen vaiheissa.

kayttoonotto

Käyttöönotto

yllapito

Ylläpito

Kun järjestelmä on testattu ja hyväksytty, pääsee se tuotantokäyttöön, mutta sen kehitys ja tietoturvan varmistaminen ei pääty tähän. Jatkuvat päivitykset, muutoshallinnan koordinointi ja tiedon elinkaaren hallinta on tärkeää huomioida tietoturvan näkökulmasta. Esimerkiksi varmuuskopiot voivat aiheuttaa tietovuodon riskin muuten hyvin suojatulle järjestelmälle. DevSecOps-käytännöt auttavat ottamaan huomioon tietoturvallisuuden näkökulman myös järjestelmien ketterän kehityksen, jatkuvan integraation ja jatkuvan toimituksen tuotantomalleissa.

hallittu-alasajo

Hallittu alasajo

Myös elinkaaren loppupäässä, kun järjestelmä ajetaan alas, täytyy huolehtia tiedon elinkaaren hallinnasta ja siitä, että tietoturvaongelmia ei pääse syntymään.

 

Nykytilakartoituksesta kokonaisvaltaiseen tietoturvatyöhön

elfGROUPin palveluvalikoimasta löydät yksittäiset kartoitus- ja kehityspalvelut, sertifiointipaketit sekä kuukausittaiseen sopimusmalliin pohjautuvan kokonaisvaltaisen tietoturvakumppanuuden. Kysy myynniltämme lisää, ja sovitaan yhdessä juuri teidän tarpeeseenne sopiva palvelupaketti!

OTA YHTEYTTÄ

 

elfCONSULTING-flow

elfCONSULTING-palvelumallissa sovitaan asiakkaan tarpeen mukainen määrä henkilötyöpäiviä kuukaudessa tietoturvatyön kehittämiselle. Yhteistyö aloitetaan roadmap-workshopilla, jossa sovitaan yhdessä, mihin aihealueisiin paneudutaan ensimmäisinä kuukausina tai esimerkiksi ensimmäisellä puolen vuoden jaksolla. Usein aluksi suositellaan tehtävän nykytilan kartoitus, johon voidaan hyödyntää esimerkiksi OWASP SAMM tai ASVS -viitekehyksiä. Kartoituksesta ilmenneiden kehityskohteiden myötä yhteistyötä voidaan jatkossa syventää tarpeen mukaan erilaisten workshopien, koulutusten, testauksen, sertifiointityön tai kartoitusten muodossa. Jokaisen asiakkaan polku elfCONSULTING-yhteistyömallissa on omanlaisensa, ja se muotoutuu jatkuvasti yhteistyön myötä.

 

Lue lisää asiakkaamme FCG Talentin matkasta elfCONSULTING -asiakkaana! 

LUE BLOGI

 

 

 

Lue lisää blogistamme

case-FCG-Talent

Lue lisää asiakkaamme FCG Talentin matkasta elfCONSULTING -asiakkaana

 

Haluatko lisätietoa palvelusta?

 

Blogeissamme kerromme lisää palveluistamme sekä esimerkkejä erilaisista caseista, joita olemme asiakkaillemme toteuttaneet. Valitsemalla palveluumme liittyvän kategorian, pääset lukemaan kaikki siihen palveluun liittyvät artikkelit.

Lue blogista lisää elfCONSULTING-artikkeleita

 

Tiedustelut

Kari Halavaara, p. 050 553 4796

Antti Matikainen, p. 040 660 7940

Tuomas Tonteri, p. 040 356 3251

Katso muut yhteystiedot