Tietoturvallinen ohjelmistokehitysprosessi : ohjelmistoyritys vastaa uuden vuosikymmenen tietoturvavaatimuksiin
Reiman, Juha (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020110222098
https://urn.fi/URN:NBN:fi:amk-2020110222098
Tiivistelmä
Tietosuoja ja tietoturva ovat 2020-luvun muotisanoja ja syystä. Maailma on vuoden 1995 World Wide Web:n julkaisun jälkeen muuttunut enemmän ja enemmän teknologisesti yhdistetyksi. Samaan aikaan ohjelmistoteollisuuden perinteiset vahvaan määrittelyyn pohjaavat menetelmät ovat korvautuneet uusilla, jatkuvaan muutokseen kykenevillä ketterillä menetelmillä. Panostettaessa ketteryyteen joudutaan vahvistamaan huomattavasti aikaisempaa enemmän myös vaatimusten hallintaa, tai lopputuloksena on hallitsematonta eri suuntiin tapahtuvaa ohjelmistokehitystä. Niin teknologisesti yhdistynyt maailma, ketterät menetelmät ja vaatimusten hallintakin, antavat kaikki omat haasteensa modernille tietoturvalliselle ohjelmistokehitysprosessille.
Tämän opinnäytetyön toimeksiantaja oli ohjelmistoyritys Accountor HR Solutions Oy. Yritys toimittaa työelämän ohjelmistoalustaa, joka koostuu palkka-, henkilöstö- ja työvuoronhallintaohjelmistoista. Työn tarkoitus oli kartoittaa yrityksen kypsyystaso tuotekehityksen kokonaisprosessin osalta ja tavoitteena löytää tapoja tietoturvan parantamiseen kyseisessä prosessissa. Tutkimus toteutettiin tapaustutkimuksena, joka koostui haastatteluista, niiden analysoinneista sekä yrityksen aiemmin toteutettuun materiaaliin perehtymisestä ja päivittäisen työn havainnoinnista.
Tutkimuksessa löydettiin selkeää konsensusta tietoturvatyön toteuttamisen tärkeydestä sekä tapoja, joilla tietoturvaa voidaan kokonaisprosessissa parantaa. Tämän lisäksi tunnistettiin sellaisia rooleja organisaatiokarttaan, jotka pystyvät viemään tietoturva-ajattelua eteenpäin, ja osa-alueita, jotka vaativat kaikista eniten tekemistä, jotta voidaan todeta tuotekehityksen olevan niin tietoturvallista kuin mahdollista.
Tuotekehitysprosessin ollessa tarkkaan määritelty ja rooleilla vastuualueet selkeytetyt on pohja luotu tietoturvalliselle ohjelmistokehitykselle. Kun niihin lisätään organisaation omaksuma ketterän kehitysmallin mukainen toiminta ja selkeästi ja loogisesti ajateltu vaatimusten hallinta, voidaan todeta koko tuotekehityksen toimivan tietoturvallisesti ja omalta osaltaan varmistavan yrityksen menestystä halutuilla markkinoilla.
Tämän opinnäytetyön toimeksiantaja oli ohjelmistoyritys Accountor HR Solutions Oy. Yritys toimittaa työelämän ohjelmistoalustaa, joka koostuu palkka-, henkilöstö- ja työvuoronhallintaohjelmistoista. Työn tarkoitus oli kartoittaa yrityksen kypsyystaso tuotekehityksen kokonaisprosessin osalta ja tavoitteena löytää tapoja tietoturvan parantamiseen kyseisessä prosessissa. Tutkimus toteutettiin tapaustutkimuksena, joka koostui haastatteluista, niiden analysoinneista sekä yrityksen aiemmin toteutettuun materiaaliin perehtymisestä ja päivittäisen työn havainnoinnista.
Tutkimuksessa löydettiin selkeää konsensusta tietoturvatyön toteuttamisen tärkeydestä sekä tapoja, joilla tietoturvaa voidaan kokonaisprosessissa parantaa. Tämän lisäksi tunnistettiin sellaisia rooleja organisaatiokarttaan, jotka pystyvät viemään tietoturva-ajattelua eteenpäin, ja osa-alueita, jotka vaativat kaikista eniten tekemistä, jotta voidaan todeta tuotekehityksen olevan niin tietoturvallista kuin mahdollista.
Tuotekehitysprosessin ollessa tarkkaan määritelty ja rooleilla vastuualueet selkeytetyt on pohja luotu tietoturvalliselle ohjelmistokehitykselle. Kun niihin lisätään organisaation omaksuma ketterän kehitysmallin mukainen toiminta ja selkeästi ja loogisesti ajateltu vaatimusten hallinta, voidaan todeta koko tuotekehityksen toimivan tietoturvallisesti ja omalta osaltaan varmistavan yrityksen menestystä halutuilla markkinoilla.