Preparing DevOps for ISO 27001 certification
Laine, Marjo (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024121134618
https://urn.fi/URN:NBN:fi:amk-2024121134618
Tiivistelmä
Nykyaikaisessa ohjelmistokehityksessä ja IT-alalla yleisesti tietoturvan tarve kasvaa päivä päivältä. ISO 27001 on tällä hetkellä yleisimmin käytetty tietoturvastandardi ja siihen liittyvällä sertifikaatilla on monia etuja tietoturvapoikkeamien ja -riskien minimoinnista asiakkaiden luottamuksen ja myynnin lisäämiseen. Opinnäytetyössä pyrittiin vastaamaan pääkysymykseen siitä, miten pieni tai keskisuuri ohjelmistoyritys voi valmistella DevOps-toimintonsa ISO 27001 -sertifiointia varten.
Opinnäytetyö jaettiin kolmeen osaan ja alikysymyksiin. Ensin ISO 27001 -standardin liite A: sta tunnistettiin ja listattiin DevOpsiin liittyvät kontrollit, minkä jälkeen eri verkkolähteisiin tehtiin kirjallisuuskatsaus ISO 27001 -kontrollien parhaiden käytäntöjen ja suositusten löytämiseksi. Näin saatiin vastaus siihen, miten yrityksen nykytilanne voidaan kartoittaa ja millaisia parhaita käytäntöjä yrityksessä tulisi olla. Viimeinen alikysymys oli kuinka löytyneitä suosituksia voidaan yrityksessä ottaa käyttöön ja siihen liittyen viimeinen osa sisältää käytännön esimerkkejä toteutuksista. Kaikkia löytyneitä havaintoja sovellettiin samanaikaisesti keskisuureen ohjelmistoyritykseen, Yritys X: ään, ja heidän ympäristöään käytettiin esimerkkinä niiltä osin, kun se luottamuksellisuuden puitteissa oli mahdollista. Yritys X:lle tehdyt toimenpiteet on sisällytetty salattuihin liitteisiin.
Tuloksena oli teoreettinen sekä käytännönläheinen vaiheittainen opas pienten ja keskisuurten ohjelmistoyritysten DevOps-tiimeille siitä, miten tietoturvaa voidaan parantaa ISO 27001 -standardin parhaiden käytäntöjen mukaisesti, olipa tavoitteena sitten saada sertifiointi tai vain tehdä asioita paremmalla tavalla. Joitain isompia kokonaisuuksia, kuten jatkuvuussuunnitelman luominen, on kuitenkin jouduttu jättämään pois niiden vaatiman työmäärän vuoksi. Varsinaisen oppaan lisäksi selvisi, kuinka paljon sertifiointiprosessi tai tietoturvakehyksen noudattaminen yleisesti on koko yrityksen, ei vain teknisen henkilöstön, tiimityötä, ja että johdon siunaus on onnistumisen kannalta ratkaisevan tärkeää. In modern software development, and IT industry in general, the need for information security assurance is increasing by the day. ISO 27001 is well known and the current de facto information security standard and getting certified has many benefits from minimizing the risk of information security incidents to increasing customer trust and sales. The thesis sought to answer the question of how a small to medium sized soft-ware company can prepare their DevOps functions for ISO 27001 certification. The thesis was split into three parts and sub questions. First ISO 27001 standard’s Annex A was reviewed, and controls related to DevOps were identified and listed followed by a literary review of different online sources to find the best practices and recommendations related to these ISO 27001 controls to answer the sub questions of how a company’s current situation can be mapped out and what kind of best practices should be in place to become certified. The last sub question was how to implement the recommendations and thus the last part is a practical section of making the improvements. All of these findings were applied at the same time to Company X, a medium-sized software company, and their environment was used in the last part as an example on the parts where publishing was possible. The actions made in Company X are in-cluded in appendixes that were made confidential. The result was a theoretical and in-practice step-by-step guide for DevOps teams in small to medium soft-ware businesses on how to improve their security posture following ISO 27001 best practices whether the goal is to become certified or just doing things in a more secure way. However, the thesis did not become a complete guide as some bigger topics, like creating continuity plans, had to be left out due to the size of the task and/or because they required company-wide decision making. In addition to the actual guide, it was found out how much becoming certified or compliant with any information security framework is a team effort of the whole company, not just technical staff, and that management blessing is crucial for success.
Opinnäytetyö jaettiin kolmeen osaan ja alikysymyksiin. Ensin ISO 27001 -standardin liite A: sta tunnistettiin ja listattiin DevOpsiin liittyvät kontrollit, minkä jälkeen eri verkkolähteisiin tehtiin kirjallisuuskatsaus ISO 27001 -kontrollien parhaiden käytäntöjen ja suositusten löytämiseksi. Näin saatiin vastaus siihen, miten yrityksen nykytilanne voidaan kartoittaa ja millaisia parhaita käytäntöjä yrityksessä tulisi olla. Viimeinen alikysymys oli kuinka löytyneitä suosituksia voidaan yrityksessä ottaa käyttöön ja siihen liittyen viimeinen osa sisältää käytännön esimerkkejä toteutuksista. Kaikkia löytyneitä havaintoja sovellettiin samanaikaisesti keskisuureen ohjelmistoyritykseen, Yritys X: ään, ja heidän ympäristöään käytettiin esimerkkinä niiltä osin, kun se luottamuksellisuuden puitteissa oli mahdollista. Yritys X:lle tehdyt toimenpiteet on sisällytetty salattuihin liitteisiin.
Tuloksena oli teoreettinen sekä käytännönläheinen vaiheittainen opas pienten ja keskisuurten ohjelmistoyritysten DevOps-tiimeille siitä, miten tietoturvaa voidaan parantaa ISO 27001 -standardin parhaiden käytäntöjen mukaisesti, olipa tavoitteena sitten saada sertifiointi tai vain tehdä asioita paremmalla tavalla. Joitain isompia kokonaisuuksia, kuten jatkuvuussuunnitelman luominen, on kuitenkin jouduttu jättämään pois niiden vaatiman työmäärän vuoksi. Varsinaisen oppaan lisäksi selvisi, kuinka paljon sertifiointiprosessi tai tietoturvakehyksen noudattaminen yleisesti on koko yrityksen, ei vain teknisen henkilöstön, tiimityötä, ja että johdon siunaus on onnistumisen kannalta ratkaisevan tärkeää.