Tuntuuko koskaan siltä, että tietoturvasta ja riskienhallinnasta vastaavilla olisi aivan eri prioriteetti kuin muulla liiketoiminnalla? Tunne ei ole ihan vailla pohjaa, sillä sitä esiintyy todella monissa yrityksissä. Tietoturvan asiantuntijat ovat huolissaan ”asioista”, kuten servereistä, tietoverkoista ja sovelluksista – kyberturvallisuudesta. Liiketoiminta puolestaan keskittyy esim asiakaskokemukseen, tuottojen kasvuun, innovointeihin – puhtaasti liiketoimintavetoisesti.
Tutkimusyhtiö Forrester kiinnittää huomiota tähän ristiriitaan juuri julkaistussa tutkimuksessa, jossa mm. todetaan, että vain 16 prosenttia tietoturvan yritystason päättäjistä tunnistaa mahdollisia dataan pohjautuvia tuottoja, ja vain 14 prosenttia kehittää turvallisia, kuluttajille suunnattuja mobiili- tai web-sovelluksia. (1)
16%
tunnistaa mahdollisia dataan
pohjautuvia tuottoja
14%
kehittää turvallisia
sovelluksia
Ristiriitaisilla näkemyksillä voi olla negatiivinen vaikutus liiketoimintaan. Esimerkiksi, keskittymällä vain tuotteiden tai palvelujen turvallisuuteen, tietoturvan asiantuntijat eivät ehkä huomaa hyökkäyksiä, joilla saatetaan manipuloida yrityksen tekemiä päätöksiä tai käsityksiä yrityksen tuotteista tai palveluista. Hyökkäykset yhdistetään usein uusiin innovaatioihin, joten liiketoiminta saattaa pelätä, että innovatiivinen sovellus altistaa yrityksen tietoturvariskille. Toisaalta innovaatiot ovat edellytys yrityksen jatkuvalle kehitykselle ja jatkuvuudelle. Eräänlainen Catch-22.
Miten dilemma sitten ratkaistaan? Yksinkertaisimmillaan tietoturvan ja liiketoiminnan prioriteettien pitää olla yhtenäiset, mikä tarkoittaa myös sitä, että tietoturvan huomio kohdistuu esim. juuri asiakaskokemukseen. Eli kun ohjelmoijat ovat tuomassa uutta softaa markkinoille, tietoturvan asiantuntijoiden on varmistettava, että sovelluksen tietoturva on riittävällä tasolla. Jos tietoturvan ja liiketoiminnan tavoitteet ovat yhtenäiset, tekee se tietoturvasta kilpailuedun.
Oheisella videolla Forresterin Amy DeMartine kertoo lisää konseptista ja erityisesti, miten tarvittaessa tietoturvan ajattelua muutetaan.
(1) Secure What You Sell: CISOs Must Tackle Product Security To Protect Customers,” by Jeff Pollard, Amy DeMartine with Laura Koetzle, Elsa Pikulik, Peggy Dostie, Forrester Research, Inc.
Veracode
SAST – Koodin staattinen tarkistus SCA – Kirjastoanalyysi ja inventaario SDLC sovelluskehitysintegraatio Yrityksen koko sovellusportfolion tietoturvariskien hallinta samassa palvelussa Veracoden palvelun avulla voidaan tutkia ja
Kirjastojenhallinta – SCA – ja moninaiset viitekehykset ja vaatimukset
Yhä useampi standardi, viitekehys ja asiakasvaatimus edellyttää – peräti huutaa – kirjastonhallinnan perään. Huutaa siksi että modernit sovelluskehitysmenetelmät ovat täysin riippuvaisia ulkoisista kirjastoista eli riippuvuuksista.
Veracode Container Securityn hyödyntäminen pilvisovellusten ohjelmistokehityksen turvaamisessa
Pilvipohjainen ohjelmistokehitys on kantava voima, koska se antaa mahdollisuuden rakentaa ja ottaa käyttöön sovelluksia vauhdilla ja skaalautuvasti. Mikropalveluiden, pilvi-infrastruktuurin ja API-rajapintojen ohella kontit (containers) ovat tärkeä osa tätä kehitysprosessia. Tutkitaanpa hieman konttien turvallisuusvaikutuksia pilvipohjaisten sovellusten kehittämisessä ja niiden aiheuttamien tietoturvahaasteiden hallintaa.
