Turvallisen ohjelmistokehityksen perusteet

Relatorin toiminnassa tietoturvallisuus on aina ollut merkittävässä roolissa. Jo yrityksen alkuajoista lähtien asiakkaamme ovat vaatineet hyvin korkeaa tietoturvallisuuden tasoa, joten meille on muodostunut ainutlaatuinen tapa huomioida tietoturvallisuus kaikissa toimeksiannoissamme konsultoinnista ohjelmistokehitykseen.

Päätimme avata laajemmin näkemyksiämme tietoturvallisesta ohjelmistokehityksestä. Käsittelemme blogikirjoitusten sarjassa ohjelmistokehityksen tietoturvallisuutta eri näkökulmista. Tässä ensimmäisessä osassa käymme läpi, mitä kaikkea yleisesti kuuluu tietoturvallisen ohjelmistokehityksen piiriin.

Hallinnollinen turvallisuus

Kun meitä arvioidaan asiakkaidemme toimesta, lähdetään aina liikkeelle hallinnollisesta turvallisuudesta. Hallinnollinen turvallisuus liittyy pääasiassa yrityksen toiminnan jatkuvuuden varmistamiseen, riskienhallintaan ja turvallisiin toimintatapoihin. Jos yritys ei pysty varmistamaan toiminnan jatkuvuutta, on vaikea nähdä, että tuotettavat järjestelmät säilyisivät elinkaarensa ajan turvallisena.

Henkilö- ja tilaturvallisuus

Toinen osa arviointia on henkilö- ja tilaturvallisuus, jolla pyritään arvioimaan, että järjestelmiä tekevät luotettavat henkilöt turvallisissa tiloissa. Siinä missä henkilöturvallisuuden varmistaminen on kohtuullisen suoraviivaista turvallisuusselvitysten kautta, tilaturvallisuudessa on huomattavasti laajempi valikoima erilaisia tasoja. Parhaimmillaan tilat voivat olla selkeästi eriytetty muista toimista ja sisältää monia vastatoimenpiteitä fyysisen turvallisuuden varmistamiseksi.

Tietojärjestelmäturvallisuus

Kolmas ulkopuolisten arvioima osuus on tietojärjestelmäturvallisuus eli turvallinen kehitysympäristö prosesseineen. Tietojärjestelmien kehityksessä turvallinen kehitysympäristö on perusedellytys, jota ei voida sivuuttaa missään tapauksessa. Tähän liittyy sekä itse kehitysympäristö tietojärjestelmineen, mutta myös siihen liittyvät toimintatavat. Hyvä esimerkki toimintatavoista on viestintä; mitä saa kertoa puhelimessa, mitä saa kirjoittaa sähköpostissa salaamattomana ja salattuna?

Pureudumme blogisarjan seuraavissa osissa yksityiskohtaisemmin ohjelmistokehityksen tietoturvallisuuteen koko elinkaaren aikana. Pysy kuulolla.