maanantai 11. lokakuuta 2010

Ohjelmistohankkeet – toimitusjohtajan muistilista

Melko usein tietoturvasta puhuttaessa keskitytään vain infrastruktuuriin – palomuureihin, verkkoihin ja virustorjuntaan. Alustat ovat vain yrityksen varsinaisia työkaluja varten ja käytetyt sovellukset ja ohjelmat voivat olla suurempi riski kuin tietokone ilman virustorjuntaa.

Vuoden 2008 aikana sovellusten ja ohjelmistojen haavoittuvuuksissa oli merkittävä nousu. Kaupallisten ohjelmistojen haavoittuvuudet nousivat 13,5% vuoteen 2007 verrattuna. Myös haavoittuvuuksien vakavuus paheni – suurten ja kriittisten haavoittuvuuksien määrä kaikista oli 15,3% ja jopa 92% kaikista haavoittuvuuksista oli etänä hyödynnettävissä. Sovelluksia hankittaessa ja kehitettäessä on niidenkin toiminnallisuutta kyettävä katsomaan organisaation tietoturvavaatimusten läpi. Vaikka monessa yrityksessä edellytetään verkkoon etäkirjautumista salattuna, voivat yrityksen sovellukset sallia kuitenkin pääsyn salaamatomana jopa sisäverkkoon asti. Usein taustalla on kuitenkin vain ohjelmistojen pääkäyttäjien ja organisaation ylläpidon heikko keskusteluyhteys. Tai jomman kumman puuttuminen kokonaan – pahimmassa tapauksessa puuttuu koko tietoturvallisuuden vaatimusmäärittely.

Oman ongelmansa tuovat vielä sovellukset, jotka ovat vahvasti räätälöityjä, tai joita räätälöidään jatkuvasti organisaation tarpeiden muuttuessa. Ongelma on olemassa riippumatta siitä, onko kehittäjä yrityksen palkkalistoilla, vai ostetaanko kehitys ulkoa. Vastuukysymysten kirjallisesta sopimisesta on etua paitsi turvallisuusasioissa, mutta myös laajemmasta näkökulmasta katsottuna. Usein on sopimatta kokonaan, mitkä ovat esimerkiksi tekijänoikeudelliset rajaukset. Ulkoa ostetussa työssä on etenkin oltava tarkka siitä, kuka todellisuudessa tekee ohjelmiston kehitystä ja miten se on sopimuksissa ja jälleenmyyntioikeuksissa huomioitu. Usein ostaja tekee varsinaisen järjestelmäkehityksen toimittajan vain toimittaessa ohjelmointityötä.

Ohjelmistohankkeissa on syytä määritellä ainakin seuraavia asioita – tietenkin kirjallisesti.

1. Määrittele projektiorganisaatio ja johto selkeästi. Myös sidosryhmät ja heidän roolinsa on syytä tunnistaa ja kirjata. 

2. Kouluta ja opasta kaikki projektin kanssa tekemisissä olevat turvalliseen toimintaan. Kouluta myös organisaatiosi vaatimukset. 

3. Määrittele vastuut turvallisuudessa ja valitkaa ainakin yksi vastuuhenkilö, joka koordinoi turvallisuuteen liittyviä kysymyksiä. Myös palkkiojärjestelmän käyttöä on syytä miettiä. 

4. Sopikaa hyväksyntämenettelystä ja tarkistuksista ennen tuotantoonvientiä. Näin varmistetaan, ettei mitään keskeneräistä viedä häiritsemään organisaatiosi toimintaa. 

5. Ja viimeisenä – dokumentoi, dokumentoi ja dokumentoi. Tehty työ, virheet, häiriöt, saavutukset, muutokset – ihan kaikki. Juuri se vastaanottotarkistuksen merkkityksettömimmältä tuntuva asia voi olla huomenna liiketoimintasi suurin este.

Ei kommentteja:

Lähetä kommentti