Kuntien tietoturvakäytäntöjen erot ohjelmistohankinnoissa
Haldin, Venla (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024053119101
https://urn.fi/URN:NBN:fi:amk-2024053119101
Tiivistelmä
Maailmassa, jossa kyberhyökkäykset ovat yleistyvä ja laaja ongelma, ohjelmistokehittäjien on huomioitava tietoturva ja sitä säätelevät vaatimukset ja lait. Kuntien hankintayksiköiden on varmistettava, että kunnan hankkima ohjelmisto tai tietojärjestelmä täyttää kaikki tietoturvallisuuden vaatimukset, ja nämä vaatimukset koostuvat useista eri laeista ja ohjeistuksista, joista GDPR lienee tunnetuin.
StuDisco Oy on pieni, suomalainen ohjelmistotalo, jonka toimeksiannosta tämä opinnäytetyö tehtiin. Tarkoitus oli selvittää, miten StuDisco Oy ja muut ohjelmistotoimittajat voisivat omalla tiedollaan ja toiminnallaan sujuvoittaa ohjelmistohankintaprosessia, jossa he tarjoavat tuotettaan kunnalle. Haastattelututkimuksen avulla pyrittiin saamaan ohjelmistohankintoihin näkökulmaa kuntien tietoturva- ja hankinta-asiantuntijoilta. Näin haluttiin selvittää tavallisia haasteita ja sitä, eroavatko eri kuntien ohjelmistohankintaprosessit toisistaan. Kun nämä asiat selkenivät, saattoi tehdä päätelmiä siitä, mihin ohjelmistotalojen kannattaa kehitysvaiheessa keskittyä.
Tutkimuksen otanta oli pieni, mutta haastattelujen kautta ilmeni kuntien välillä niin eroja kuin samankaltaisuuksiakin. Tärkeimmiksi huomioonotettaviksi asioiksi ohjelmistokehittäjien kannalta havaittiin GDPR:n ja tiedonhallintalain keskeisimmät vaatimukset, kuten henkilötietojen käsittely ja käsittelyn lokitus. Lisäksi kunnat toivoivat ohjelmiston arkkitehtuurikuvausta.
StuDisco Oy on pieni, suomalainen ohjelmistotalo, jonka toimeksiannosta tämä opinnäytetyö tehtiin. Tarkoitus oli selvittää, miten StuDisco Oy ja muut ohjelmistotoimittajat voisivat omalla tiedollaan ja toiminnallaan sujuvoittaa ohjelmistohankintaprosessia, jossa he tarjoavat tuotettaan kunnalle. Haastattelututkimuksen avulla pyrittiin saamaan ohjelmistohankintoihin näkökulmaa kuntien tietoturva- ja hankinta-asiantuntijoilta. Näin haluttiin selvittää tavallisia haasteita ja sitä, eroavatko eri kuntien ohjelmistohankintaprosessit toisistaan. Kun nämä asiat selkenivät, saattoi tehdä päätelmiä siitä, mihin ohjelmistotalojen kannattaa kehitysvaiheessa keskittyä.
Tutkimuksen otanta oli pieni, mutta haastattelujen kautta ilmeni kuntien välillä niin eroja kuin samankaltaisuuksiakin. Tärkeimmiksi huomioonotettaviksi asioiksi ohjelmistokehittäjien kannalta havaittiin GDPR:n ja tiedonhallintalain keskeisimmät vaatimukset, kuten henkilötietojen käsittely ja käsittelyn lokitus. Lisäksi kunnat toivoivat ohjelmiston arkkitehtuurikuvausta.