Tapio Särkelä

Tapio Särkelä

Helping software companies to make Secure DevOps.

Tuntuuko koskaan siltä, että tietoturvasta ja riskienhallinnasta vastaavilla olisi aivan eri prioriteetti kuin muulla liiketoiminnalla? Tunne ei ole ihan vailla pohjaa, sillä sitä esiintyy todella monissa yrityksissä. Tietoturvan asiantuntijat ovat huolissaan ”asioista”, kuten servereistä, tietoverkoista ja sovelluksista – kyberturvallisuudesta. Liiketoiminta puolestaan keskittyy esim asiakaskokemukseen, tuottojen kasvuun, innovointeihin – puhtaasti liiketoimintavetoisesti.

Forrester Research

Tutkimusyhtiö Forrester kiinnittää huomiota tähän ristiriitaan juuri julkaistussa tutkimuksessa, jossa mm. todetaan, että vain 16 prosenttia tietoturvan yritystason päättäjistä tunnistaa mahdollisia dataan pohjautuvia tuottoja, ja vain 14 prosenttia kehittää turvallisia, kuluttajille suunnattuja mobiili- tai web-sovelluksia. (1)

16%

tunnistaa mahdollisia dataan
pohjautuvia tuottoja

14%

kehittää turvallisia
sovelluksia

Ristiriitaisilla näkemyksillä voi olla negatiivinen vaikutus liiketoimintaan. Esimerkiksi, keskittymällä vain tuotteiden tai palvelujen turvallisuuteen, tietoturvan asiantuntijat eivät ehkä huomaa hyökkäyksiä, joilla saatetaan manipuloida yrityksen tekemiä päätöksiä tai käsityksiä yrityksen tuotteista tai palveluista. Hyökkäykset yhdistetään usein uusiin innovaatioihin, joten liiketoiminta saattaa pelätä, että innovatiivinen sovellus altistaa yrityksen tietoturvariskille. Toisaalta innovaatiot ovat edellytys yrityksen jatkuvalle kehitykselle ja jatkuvuudelle. Eräänlainen Catch-22.

Miten dilemma sitten ratkaistaan? Yksinkertaisimmillaan tietoturvan ja liiketoiminnan prioriteettien pitää olla yhtenäiset, mikä tarkoittaa myös sitä, että tietoturvan huomio kohdistuu esim. juuri asiakaskokemukseen. Eli kun ohjelmoijat ovat tuomassa uutta softaa markkinoille, tietoturvan asiantuntijoiden on varmistettava, että sovelluksen tietoturva on riittävällä tasolla. Jos tietoturvan ja liiketoiminnan tavoitteet ovat yhtenäiset, tekee se tietoturvasta kilpailuedun.

Oheisella videolla Forresterin Amy DeMartine kertoo lisää konseptista ja erityisesti, miten tarvittaessa tietoturvan ajattelua muutetaan. 

Amy DeMartine
Amy DeMartine

(1) Secure What You Sell: CISOs Must Tackle Product Security To Protect Customers,” by Jeff Pollard, Amy DeMartine with Laura Koetzle, Elsa Pikulik, Peggy Dostie, Forrester Research, Inc.

Veracode feature picture

Veracode

SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja

Lue lisää »
Veracode container scanning
sdlc
Saku Tuominen

Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa

Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

Helping software companies to make Secure DevOps.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.