Ohjelmistoturvallisuus ei synny yksittäisistä teknisistä ratkaisuista, vaan arjen valinnoista koko ohjelmiston elinkaaren aikana. Juuri tätä varten Kyberturvallisuuskeskus on julkaissut oppaan Ohjelmistoturvallisuuden johtaminen – opas roolikohtaisiin osaamistarpeisiin, joka auttaa tekemään turvallisuudesta konkreettista, johdettavaa ja jaettua työtä.
Opas lähtee liikkeelle yksinkertaisesta mutta usein unohtuvasta kysymyksestä: mitä kunkin roolin tulisi tietää ohjelmistoturvallisuudesta, jotta se voi aidosti tukea turvallisuutta koko ohjelmiston elinkaaren ajan. Johto tarvitsee ymmärrystä päätösten ja riskien vaikutuksista, hankinnoista vastaava osaamista vaatia turvallisuutta toimittajilta, projektipäällikkö kykyä viedä vaatimukset käytäntöön ja tuoteomistaja kokonaiskuvaa ohjelmiston turvallisuudesta kehityksestä käytöstä poistoon. Kun osaamistarpeet tehdään näkyviksi rooli kerrallaan, ohjelmistoturvallisuus muuttuu abstraktista tavoitteesta yhteiseksi tekemiseksi.
Yksi opas, monta arjen käyttötapaa
Opas ei ole tarkoitettu luettavaksi kannesta kanteen yhdellä istumalla. Sen vahvuus on siinä, että voit hypätä suoraan omaan rooliisi ja käyttää sisältöä arjen tukena.
Johto voi hyödyntää opasta esimerkiksi strategiatyössä ja päätöksenteossa. Projektipäällikölle se toimii tarkistuslistana projektin eri vaiheisiin. Tuoteomistajalle ja hankinnoista vastaavalle opas antaa sanoja ja rakenteita sille, mitä turvallisuudelta oikeasti vaaditaan.
Turvallisuus alkaa ennen kuin riviäkään koodia kirjoitetaan
Yksi oppaan keskeinen viesti on, että ohjelmistoturvallisuus nojaa vahvasti varhaisten vaiheiden osaamiseen. Suuri osa tietoturvariskeistä saa alkunsa vaatimusten määrittelyssä ja hankinnoissa, jos näissä vaiheissa ei ymmärretä, mitä turvallisuudelta tulisi edellyttää ja miksi.
Käytännössä tämä tarkoittaa sitä, että hankinnoista ja määrittelystä vastaavilla on riittävä ymmärrys esimerkiksi haavoittuvuuksien hallinnan merkityksestä, päivitysten ja tuen vaikutuksesta ohjelmiston turvallisuuteen sekä vastuiden jakautumisesta ohjelmiston elinkaaren aikana. Ilman tätä osaamista oikeita kysymyksiä ei osata esittää, eikä riskejä tunnistaa ajoissa.
Oppaan roolikohtaiset luvut auttavat hahmottamaan, millaista tietoa ja ymmärrystä näissä vaiheissa tarvitaan. Kun osaamistarpeet ovat selvät, turvallisuuteen liittyvät kysymykset nousevat esiin oikeaan aikaan ja vastuut selkeytyvät ennen kuin päätöksiä lukitaan.
Kehitystyössä opas tukee yhteistä ymmärrystä
Kehitysvaiheessa opas auttaa erityisesti roolien välisessä yhteistyössä. Se tekee näkyväksi, että turvallisuus ei ole vain kehittäjän vastuulla, vaan yhteispeliä johdon, projektipäällikön, arkkitehdin ja testaajien välillä.
Projektipäällikön näkökulmasta opas selkeyttää, millaista tietoturvaan liittyvää ymmärrystä roolissa tarvitaan, jotta kehitystyötä voidaan ohjata turvallisesti. Kyse ei ole yksittäisten teknisten ratkaisujen hallinnasta, vaan siitä, että projektipäällikkö tunnistaa, missä kohdin turvallisuuteen liittyvät riskit ja vastuut nousevat esiin ja osaa varmistaa, että niihin on nimetty oikeat tahot, riittävästi aikaa ja osaamista.
Kehitystiimille opas puolestaan tuo näkyväksi, mihin vaatimukset pohjautuvat ja mitä niiden taustalla on liiketoiminnan, sääntelyn ja riskienhallinnan näkökulmasta. Kun osaamistarpeet ja roolit on kuvattu yhteisellä tavalla, syntyy yhteinen viitekehys, joka helpottaa keskustelua, tukee yhteistyötä ja tekee päätöksenteosta sujuvampaa koko kehitysvaiheen ajan.
Ylläpidossa ja käytössä turvallisuus näkyy teoissa
Ohjelmistoturvallisuus ei pääty julkaisuun, vaan edellyttää jatkuvaa osaamista ohjelmiston käytön ja ylläpidon aikana. Oppaassa korostuu erityisesti se, millaista ymmärrystä tarvitaan ylläpidossa, monitoroinnissa ja poikkeamien hallinnassa, jotta turvallisuutta voidaan johtaa eikä vain reagoida ongelmiin.
Arjessa tämä tarkoittaa esimerkiksi sitä, että vastuurooleilla on riittävä ymmärrys päivitysten vaikutuksista ohjelmiston turvallisuuteen, kyky hahmottaa haavoittuvuuksien merkitys liiketoimintariskien näkökulmasta sekä tieto siitä, millaisia toimintamalleja poikkeamatilanteissa tarvitaan ja kenen vastuulla ne ovat. Ilman tätä osaamista turvallisuustoimet jäävät helposti irrallisiksi tai kiireen jalkoihin.
Tuoteomistajalle opas jäsentää, mitä asioita roolissa on tärkeää osata seurata ja miten eri sidosryhmien, kuten ylläpidon, toimittajien ja johdon, kanssa tehtävä yhteistyö tukee turvallisuutta. Johdolle opas puolestaan tarjoaa kokonaiskuvan siitä, miksi ylläpidon aikainen osaaminen on kriittistä ja miksi siihen on perusteltua varata aikaa, huomiota ja resursseja koko ohjelmiston elinkaaren ajan.
Turvallisuus on lopulta johtamista ja yhteistyötä
Oppaan tärkein anti ei ole yksittäinen lista vaatimuksia, vaan ajattelutapa siitä, millaista osaamista eri rooleissa tarvitaan ohjelmistoturvallisuuden johtamiseen. Ohjelmistoturvallisuus rakentuu jatkuvasta johtamisesta, priorisoinnista ja yhteistyöstä eri roolien välillä, ei yksittäisistä tarkistuspisteistä.
Kun opasta käytetään arjessa keskustelun tukena, yhteisen ymmärryksen rakentajana ja päätöksenteon apuvälineenä, turvallisuus lakkaa olemasta erillinen teema. Siitä tulee osa normaalia tekemistä ja osa kunkin roolin arkea koko ohjelmiston elinkaaren ajan.
Tutustu oppaaseen ja poimi siitä ne osiot, jotka tukevat parhaiten omaa rooliasi ja organisaatiosi arkea.
Ehdotuksia oppaan käyttöönottoon:
- Valitkaa yksi tuleva tai käynnissä oleva projekti ja käykää projekti läpi oppaan näkökulmasta.
- Järjestäkää 30 minuutin sisäinen tietoisku, jossa tiimit jakavat miten he kokeilivat oppaan yhtä kohtaa.
- Käy läpi oma roolikohtainen osaamiskuvaus ja merkitse kolme kohtaa, joissa haluat vahvistaa ymmärrystäsi seuraavan kuukauden aikana.
- Ota yksi kohta oppaasta keskusteluun oman lähitiimisi kanssa. Esimerkiksi kuka omistaa tämän vaiheen turvallisuuden.
- Käyttäkää oppaita selkeyttämään vastuita ja tunnistamaan mahdolliset pullonkaulat.
Kirjoittaja Karoliina Mancuso työskentelee tietoturva-asiantuntijalla Solitalla. Mancuso on myös tekstissä käsitellyn oppaan kirjoittaja.