Monessa yrityksessä ajatellaan edelleen, ettei yritysvakoilu koske meitä. Usko on vankka, vaikka...
Milloin tietoturvatestauksen hankinta on ajankohtaista? Entä miten tietoturvatestausta kannattaa suorittaa pitkällä tähtäimellä ja mitä sinun kannattaa ottaa huomioon palvelua hankkiessa?
Pohdi hetki seuraavia:
- Liittyykö organisaatiosi liiketoimintaan verkkosovellus, jonka toimimattomuus tai sen tietojen vuotaminen vaikuttaisi liiketoimintaan negatiivisesti? Jos vastasit kyllä, jatka pohdintaa seuraavan parissa.
- Onko liiketoiminnan kannalta kriittinen verkkosovellus sellainen, jota kehitetään aktiivisesti? Julkaistaanko sovellukseen ylläpitopäivityksiä tai uusia ominaisuuksia päivittäin, viikoittain tai kuukausittain?
Jos vastasit kyllä myös edelliseen, saatat tarvita verkkosovelluksen jatkuvaa tietoturvatestaus palvelua. Muista myös ottaa huomioon, että sovellukset eivät periaatteessa koskaan valmistu. Ylläpitoa ja huoltoa on tehtävä säännöllisesti aktiivisessa käytössä olevaan verkkosovellukseen.
Milloin on hyvä hetki hankkia verkkosovelluksen tietoturvatestaus?
Juuri nyt on hyvä hetki testauttaa juuri sinun organisaatiosi toiminnan kannalta kriittinen oleva sovellus, jos sitä ei ole vielä tietoturvatestattu.
Tietoturvaa varmentavia toimia on syytä tehdä mahdollisimman varhain. Mitä kauemmin tietoturvatestauksen teettäminen viivästyy, sitä enemmän testivelkaa syntyy ja mahdolliset ongelmat monistuvat uusien ominaisuuksien myötä. Lisää tietoturvatestauksesta ja testivelasta voit lukea blogistamme täältä. Parhaan lopputuloksen saat, kun aktivoit tietoturvakumppanisi käytännön hommiin jo suunnittelu- ja kehitysvaiheessa.Murtotestauksen menetelmin suoritettava tietoturvatestaus on mahdollista toteuttaa aina, kun sovellus on pääpiirteittäin käyttökelpoinen, muilta osin julkaisuvalmis tai jo julkaistu. Mikäli sovellus kehittyy aktiivisesti, on jatkuva tietoturvatestaus loistava vaihtoehto.
Tärkeintä on kääriä hihat ja aloittaa mieluummin ennemmin kuin myöhemmin.
Mikä on oikea vaihe teettää testaus: heti vai vasta päivitysten valmistuttua?
Tietoturvatestausta suunniteltaessa toistuu usein kaksi teemaa:
- Huomataan, että tietoturvatestaus olisi pitänyt aloittaa jo aikoja sitten.
- Todetaan, että sovellukseen ollaan juuri tekemässä muutoksia tai uusia ominaisuuksia ja pohditaan, tehdäänkö tietoturvatestaus vasta, kun nämä ovat valmiina.
Kokemuksemme perusteella aivan täydellistä ajankohtaa tietoturvatestaukselle ei tule juuri koskaan. Mutta yhdessä suunniteltu jatkuva tietoturvatestaus, joka integroituu sovelluksen kehitysprosessiin, auttaa varmentamaan tietoturvaa ajantasaisesti. Se ratkaisee ongelman ”milloin on oikea aika testata” ja varmistaa, ettei testausvelkaa synny hallitsemattomasti.
Erityisesti aktiivisessa käytössä olevat liiketoiminnallisesti tärkeät sovellukset kehittyvät tavalla tai toisella koko ajan. Luonnollisesti harmittaa, jos uutta ominaisuutta ei ehditä testaamaan kertaheitolla. Työjonossa olevan ominaisuuden valmistumista ei kuitenkaan kannata odottaa loputtomasti, sillä lähes aina on jotain muutakin järkevää testattavaa.
Paras lopputulos saadaan aikaan, kun sovelluksen tietoturva otetaan huomioon mahdollisimman ajoissa. Havaittuihin virheisiin ja haavoittuvuuksiin kannattaa suhtautua avoimin mielin ja pyrkimyksenä oppia virheistä. Usein samat ongelmat toistuvat, jos niitä ei havaita ajoissa tai niihin ei suhtauduta oikealla asenteella.
Mitä kannattaa ottaa huomioon jatkuvaa tietoturvatestausta hankkiessa?
Kaikkea ei kannata testata jatkuvasti ja kaiken aikaa. Jatkuva tietoturvatestaus palvelu kannattaa hankkia erityisesti liiketoimintakriittisiin aktiivisen kehityksen alla oleviin sovelluksiin. Kun olet tunnistanut liiketoimintakriittiset sovellukset, on hyvä aika suunnitella testauksen toteutusta.
- Selvitä yhdessä tietoturvakumppanisi ja sovelluskehittäjien kanssa mitkä osat on syytä testata ja miten testaus on järkevää toteuttaa. On hyvä määrittää tarkemmin testauksen kohde sekä rajaus ja samalla selvittää testauksen laajuus, työmääräarviot ja kustannukset.
- Tee sovelluksen roadmap näkyväksi tietoturvakumppanillesi ja pohdi kehitysaikataulua. Jatkuva tietoturvatestaus on järkevää integroida osaksi kehitysprosessia ja ajoittaa sovelluksen roadmap:in mukaiseksi.
- Neuvottele sopimus, joka mahdollistaa testaamisen joustavasti ja pienelläkin kynnyksellä siten, että ongelmien tai testaustarpeen ilmetessä sopimusasiat eivät hidasta testausta.
- Huomioi, että laadukas tietoturvatestaus on asiantuntijatyötä, joka vaatii aikaa. Mikäli budjettisi muodostuu rajoitteeksi, voit priorisoida testauksen vain kriittisimpiin osiin. Vältä tarpeetonta laadussa tinkimistä.
- Tietoturvatestausta voi tehdä pelkästään automaattisia skannaustyökaluja ajamalla. Tämän tyyppinen toimenpide on helposti skaalautuva pintapuolinen tarkastus, jonka testikattavuus on suppea. Varaudu siihen, että pelkkä skannaustyökalujen ajo ei kerro todellista kuvaa tietoturvatasosta suhteessa reaalimaailman hyökkäyksiin.
- Todellisen varmuuden saat, jos testausta suorittaa murtotestaukseen vihkiytynyt ammattilainen, jonka käytössä on automaattisia- ja manuaalisia työkaluja.
- Muista viestiä tietoturvaa varmentavista toimista liiketoimintakriittisen sovelluksesi käyttäjille, asiakkaille ja muille sidosryhmille. Turvallisuutta parantavat ja varmentavat toimet kasvattavat luottamusta, ovat signaali ammattimaisuudesta ja edesauttavat positiivista asiakaskokemusta.
Yhteenveto
- Huolehdi, että liiketoimintakriittinen järjestelmä murtotestataan säännöllisesti ja vähintään aina, kun merkittäviä päivityksiä on tehty.
- Varmista testikattavuuden riittävyys ja se, että testauksessa on keskitytty kaikista merkityksellisimpien asioiden testaamiseen.
- Mikäli sovellusta ylläpidetään ja kehitetään, pyri integroimaan tietoturvatestaus osaksi prosessia.
