Tietoturva & kyberturvallisuus blogi – Silverskin

Milloin tietoturvatestauksen hankinta on ajankohtaista?

Kirjoittanut Silverskinin asiantuntija | 6 / 2023

Milloin tietoturvatestauksen hankinta on ajankohtaista? Entä miten tietoturvatestausta kannattaa suorittaa pitkällä tähtäimellä ja mitä sinun kannattaa ottaa huomioon palvelua hankkiessa?

Pohdi hetki seuraavia:

  1. Liittyykö organisaatiosi liiketoimintaan verkkosovellus, jonka toimimattomuus tai sen tietojen vuotaminen vaikuttaisi liiketoimintaan negatiivisesti? Jos vastasit kyllä, jatka pohdintaa seuraavan parissa.
  2. Onko liiketoiminnan kannalta kriittinen verkkosovellus sellainen, jota kehitetään aktiivisesti? Julkaistaanko sovellukseen ylläpitopäivityksiä tai uusia ominaisuuksia päivittäin, viikoittain tai kuukausittain?

Jos vastasit kyllä myös edelliseen, saatat tarvita verkkosovelluksen jatkuvaa tietoturvatestaus palvelua. Muista myös ottaa huomioon, että sovellukset eivät periaatteessa koskaan valmistu. Ylläpitoa ja huoltoa on tehtävä säännöllisesti aktiivisessa käytössä olevaan verkkosovellukseen.

 

Milloin on hyvä hetki hankkia verkkosovelluksen tietoturvatestaus?

Juuri nyt on hyvä hetki testauttaa juuri sinun organisaatiosi toiminnan kannalta kriittinen oleva sovellus, jos sitä ei ole vielä tietoturvatestattu tai edellisestä kerrasta on yli vuosi.

Tietoturvaa varmentavia toimia on syytä tehdä mahdollisimman varhain. Mitä kauemmin tietoturvatestauksen teettäminen viivästyy, sitä enemmän testivelkaa syntyy ja mahdolliset ongelmat monistuvat uusien ominaisuuksien myötä. Lisää tietoturvatestauksesta ja testivelasta voit lukea blogistamme täältä. Parhaan lopputuloksen saat, kun aktivoit tietoturvakumppanisi käytännön hommiin jo suunnittelu- ja kehitysvaiheessa.
 
Murtotestauksen menetelmin suoritettava tietoturvatestaus on mahdollista toteuttaa aina, kun sovellus on pääpiirteittäin käyttökelpoinen, muilta osin julkaisuvalmis tai jo julkaistu. Mikäli sovellus kehittyy aktiivisesti, on jatkuva tietoturvatestaus loistava vaihtoehto. 
 
Tärkeintä on kääriä hihat ja aloittaa mieluummin ennemmin kuin myöhemmin.


Mikä on oikea vaihe teettää testaus: heti vai vasta päivitysten valmistuttua?

Tietoturvatestausta suunniteltaessa toistuu usein kaksi teemaa:

  1. Huomataan, että tietoturvatestaus olisi pitänyt aloittaa jo aikoja sitten.
  2. Todetaan, että sovellukseen ollaan juuri tekemässä muutoksia tai uusia ominaisuuksia ja pohditaan, tehdäänkö tietoturvatestaus vasta, kun nämä ovat valmiina.
Hyvin usein on niin, että tietoturvatestaus olisi pitänyt tehdä jo aikaa sitten. Usein tietoturvatestaamattoman ja jo tuotannossa olevan sovelluksen testaaminen saattaa viivästyä kuukausilla tai jopa vuosilla, koska viimeisimpien päivitysten julkaisu viivästyy.
 
Kokemuksemme perusteella aivan täydellistä ajankohtaa tietoturvatestaukselle ei tule juuri koskaan. Mutta yhdessä suunniteltu jatkuva tietoturvatestaus, joka integroituu sovelluksen kehitysprosessiin, auttaa varmentamaan tietoturvaa ajantasaisesti. Se ratkaisee ongelman ”milloin on oikea aika testata” ja varmistaa, ettei testausvelkaa synny hallitsemattomasti.
 

Erityisesti aktiivisessa käytössä olevat liiketoiminnallisesti tärkeät sovellukset kehittyvät tavalla tai toisella koko ajan. Luonnollisesti harmittaa, jos uutta ominaisuutta ei ehditä testaamaan kertaheitolla. Työjonossa olevan ominaisuuden valmistumista ei kuitenkaan kannata odottaa loputtomasti, sillä lähes aina on jotain muutakin järkevää testattavaa.

Paras lopputulos saadaan aikaan, kun sovelluksen tietoturva otetaan huomioon mahdollisimman ajoissa. Havaittuihin virheisiin ja haavoittuvuuksiin kannattaa suhtautua avoimin mielin ja pyrkimyksenä oppia virheistä. Usein samat ongelmat toistuvat, jos niitä ei havaita ajoissa tai niihin ei suhtauduta oikealla asenteella.

 

Mitä kannattaa ottaa huomioon jatkuvaa tietoturvatestausta hankkiessa?

Kaikkea ei kannata testata jatkuvasti ja kaiken aikaa. Jatkuva tietoturvatestaus palvelu kannattaa hankkia erityisesti liiketoimintakriittisiin aktiivisen kehityksen alla oleviin sovelluksiin. Kun olet tunnistanut liiketoimintakriittiset sovellukset, on hyvä aika suunnitella testauksen toteutusta.

  • Kohde ja tavoitteet: Selvitä yhdessä tietoturvakumppanisi ja sovelluskehittäjien kanssa mitkä osat on syytä testata ja miten testaus on järkevää toteuttaa. On hyvä määrittää tarkemmin testauksen kohde sekä rajaus ja samalla selvittää testauksen laajuus, työmääräarviot ja kustannukset. (Lue blogi: Mitä tietoturvatestaus maksaa ja mikä hintaan vaikuttaa?)
  • Näkyvyys ja aikataulutus: Tee sovelluksen roadmap näkyväksi tietoturvakumppanillesi ja pohdi kehitysaikataulua. Jatkuva tietoturvatestaus on järkevää integroida osaksi kehitysprosessia ja ajoittaa sovelluksen roadmap:in mukaiseksi.
  • Sopimus: Neuvottele sopimus, joka mahdollistaa testaamisen joustavasti ja pienelläkin kynnyksellä siten, että ongelmien tai testaustarpeen ilmetessä sopimusasiat eivät hidasta testausta.
  • Laatu: Huomioi, että laadukas tietoturvatestaus on asiantuntijatyötä, joka vaatii aikaa. Mikäli budjettisi muodostuu rajoitteeksi, voit priorisoida testauksen vain kriittisimpiin osiin. Vältä tarpeetonta laadussa tinkimistä.
  • Automaattiset työkalut vs. manuaalinen testaus: Tietoturvatestaus on asiantuntijatyötä, jossa hyödynnetään automaattisia skannaustyökaluja. Skannerit yksinään tarjoavat vain pinnallisen tarkistuksen, koska niiden kattavuus, syvyys ja kontekstitietoisuus ovat rajallisia. Todellisen varmuuden saat, kun testauksen suorittaa penetraatiotestaukseen perehtynyt tietoturva-ammattilainen, jonka käytössä on sekä automaattisia että manuaalisia työkaluja.
  • Viestintä: Muista viestiä tietoturvaa varmentavista toimista liiketoimintakriittisen sovelluksesi käyttäjille, asiakkaille ja muille sidosryhmille. Turvallisuutta parantavat ja varmentavat toimet kasvattavat luottamusta, ovat signaali ammattimaisuudesta ja edesauttavat positiivista asiakaskokemusta.

Yhteenveto

  1. Huolehdi, että liiketoimintakriittinen järjestelmä murtotestataan säännöllisesti ja vähintään aina, kun merkittäviä päivityksiä on tehty.
  2. Varmista testikattavuuden riittävyys ja se, että testauksessa on keskitytty kaikista merkityksellisimpien asioiden testaamiseen.
  3. Mikäli sovellusta ylläpidetään ja kehitetään, pyri integroimaan tietoturvatestaus osaksi prosessia.

Tutustu jatkuvan tietoturvatestauksen palveluun