Turvallinen ohjelmistokehitys

Miten ohjelmistokehitys ei olisi turvallista? Ei kai ohjelmistokehityksessä voi loukkaantua?

Turvallinen ohjelmistokehitys on meille kaikki se mitä, miten ja missä asiat tehdään, jotta tekeminen olisi turvallista. Miten se on turvallista tarkoittaa sitä, että asiakkaan tai omista työhön liittyvistä tiedoista ja asioista pidetään hyvää huolta. Lyhyesti asian voi kiteyttää yhteen lyhyeen toteamaan: mitään tietoa ei missään tilanteessa vuoda ulkopuolisille.

Keinoja tietojen turvaamiseksi on monia

Keinot siihen miten vene pidetään tiiviinä ovat jokaisella osa-alueella moninaiset.

On ilmiselvää, ettemme tarkoituksella kerro kenellekään mitä teemme tai kenelle työtä teemme. Myös tahaton tietojen vuotaminen tulee estää.

Työtilaan ei saa päästä ulkopuolisia ja tilan seinät on oltava ääntä eristäviä puheen kantautumisen estämiseksi tilan ulkopuolelle.

Näytöt on sijoiteltava siten että ikkunasta ei niiden näyttöaluetta näe. Ikkunat voidaan myös peittää maitolasikalvoin ja verhoilla.

Estetään tietoa sisältävien työasemien pääsy vääriin käsiin työtilan lukituksella ja hälytinlaitteistolla.

Kaikissa yhteyksissä käytetään salausta.

Työstä ei keskustella eikä siihen liittyvää tietoa säilytetä muualla kuin salauksen piiriin kuuluvissa järjestelmissä.

Salasanat ovat luonnollisesti vahvoja ja samoja salasanoja ei käytetä eri järjestelmissä.

Laitetaan kalterit ikkunoihin toimitilan turvaamiseksi.

Työasemat luonnollisesti on käsiraudalla kahlittuna myös työntekijän ranteeseen silloin kuin työtä tehdään.

Mehän voisimme myös rakentaa toimitilan maan alle ja laittaa 24/7 vartijat ovelle.

Sitten sellaisia Indiana Jones tyyppisiä ansoja jolloin ”vääräuskoiset” eivät tilaan pääse. (vääräuskoiset tässä yhteydessä henkilöitä, joilla ei ole oikeutta tietoihin tai tilaan)

Päätä itse missä kohtaa mennään sinun töidesi tilanteessa liioittelun puolelle – vai mennäänkö missään?

Voiko turvallisuudesta edes kertoa kertomatta liikaa juuri siitä, miten tietoja yritetään turvata? Kerrotko että säilytät kotisi avainta takapihalla turvallisessa paikassa? Juuri tästä syystä en tässä julkaisussa voi mennä liian yksityiskohtaiselle tasolle.

Turvallisuus on tekijöissä

Turvallisuudesta huolehtiminen alkaa aina uhkien tunnistamisella. Vasta tämän jälkeen niistä voidaan alkaa pitämään huolta. Edellä mainittu ylätason listasta saa jo mielikuvan mitä kaikkea voidaan tehdä. Mielikuva veneestä, jonka reikiä paikataan, sopii tähän analogiana hyvin. Yksikin vuoto riittää pilaamaan turvallisuuden. Eihän sillä ole niin merkitystä mistä kohtaa vene vuotaa, jos vettä tulee sisään… tai tässä tapauksessa tietoja valuu ulos.

Myös ketjun heikoin lenkki ajatusmalli toimii ihan yhtä hyvin. Jos tietoturvasta lipsutaan jossakin kohtaa ketjua niin se voi tehdä turhaksi kaiken muun.

Erilaisia, hyvin teknisiä ohjeita tietoturvasta on kirjoitettu – löytyy vaikkapa googlaamalla. Mielestäni lopulta on kuitenkin kyse jokaisen toimintaan osallistuvan omasta tekemisestä. Tätä ei tehdä sääntöjen takia vaan siksi, että toiminta olisi oikeasti turvallista. Kyllä ihminen on monesti tässä se heikoin lenkki – tosin voi se olla vahvinkin.

Väitän että kaikki asiakkaat haluavat tai olettavat heidän tietojensa olevan turvassa. Saako tämän automaattisesti, vai pitääkö sitä osata erikseen pyytää? Meidän kohdallamme asiakkaan tiedoista huolehditaan aina ja automaattisesti. Osalla asiakkaistamme on erikoistoiveita tai -vaateita ja myös ne täytetään. Tärkeää on, että tästäkin asiasta sovitaan yhteistyön aloituksen yhteydessä.

Säännöt ja sopimukset itsessään ovat turhia, jos niitä ei noudateta. Jos asia ja sen merkitys on sisäistetty hyvin ja toimintatavat ovat luonnostaan jo tietoturvaa tukevia ollaan jo hyvällä tiellä. Lisäksi sääntöjä noudatetaan juuri niin, kuin niistä on sovittu. Vähäpätöiseltäkään tuntuvia säännöistä lipsumisia ei tehdä.

Toimistolla tietoturvan hallinta on helpompaa, kun työhön on varta vasten tehty tila, jossa järjestelmät, henkilöt, heidän toimensa ja jokapäiväinen tekeminen on paremmin hallittavissa. Entä sitten etätyö? Kuka siellä huolehtii, että et hölise puolisollesi työasioita? Tietenkin työntekijä itse. Tekniset asiat voidaan huolehtia siten, että työtä tehdään tietoturvallisesti, mutta vastuu omista toimista jää aina tekijälle.

Vaihtoehtona on myös korkean turvatason vaativissa töissä, että työtä ei vaan tehdä etänä. Silloin toimistosta tai sen osasta tehdään turvallinen kyseisen työn tekemiseen niin, että vaaditut turvallisuuskriteerit täyttyvät. Toimiston turvallinen tila ei kuitenkaan ratkaise koko turvallisuuskysymystä yksinään. Ihmisillä on myös vapaa-aikaa, jossa kukaan ei valvo. Tällöin, jälleen kerran, henkilö itse on ratkaisevassa roolissa. Vastuu tietojen salassa pitämisestä ei pääty työajan päätyttyä.

Kaikkea ei kuitenkaan voi lopulta säännöillä kattaa. Kaiken turvallisuuden keskiössä ovat ihmiset ja yksilön oma vastuu tekemisestään. Maalaisjärki ja oikea ajattelutapa auttavat pitkälle. Meillä on edellä mainitut, osaaminen ja ennen kaikkea asenne kunnossa.

 

Kari Ravantti Consultorin Johtava konsultti

Tämän blogikirjoituksen on kirjoittanut asiantuntijamme, Johtava konsultti Kari Ravantti.