Asiakascase: Kehätieto Oy:n tekninen testaus ja tietoturvakoulutus

Suomalainen Kehätieto Oy tarjoaa järjestöille ja ammattiliitoille Kilta-sovellusta, jonka avulla yli sata suomalaista järjestöä eri järjestösektoreilta ohjaa ja kehittää toimintaansa. Sovellus toimii jäsenrekisterinä ja sen avulla voidaan hoitaa monenlaisia järjestötyöhön liittyviä tehtäviä jäsenhallinnasta laskutukseen ja raportoinnista varainhankintaan. 2NS ja Kehätieto ovat tehneet yhteistyötä eri tietoturvan osa-alueilla, kuten koulutuksissa ja sovellusauditoinneissa.

Tietoturvan täytyy olla kokonaisvaltaista Kehätiedolla

Kilta-jäsenrekisterissä käsitellään luottamuksellista ja kriittistä dataa, kuten esimerkiksi ihmisten henkilötietoja. Hyvin toteutettu tietoturva on keskeistä Kehätiedon omien asiakasorganisaatioiden sekä yksittäisten ihmisten näkökulmasta. Kehätiedolle on tärkeää, että tietoturva on integroitu yrityksen toimintaan kokonaisvaltaisesti aina sovelluskehityksestä yrityksen koko toimintakulttuuriin asti.

2NS:n ja Kehätiedon yhteistyö alkoi teknisellä tietoturvakoulutuksella, jossa Kehätiedon sovelluskehittäjät pääsivät oppimaan ja kehittämään taitojaan liittyen OWASP Top 10:n eri aihealueisiin ja Secure Development Lifecycle (SDL) malliin. Seuraavana vuonna 2NS toteutti Kehätiedolle kaksi jatkokoulutusta. Ensimmäisessä koulutuksessa Kehätiedon henkilökunta pääsi oppimaan tietojenkalasteluviesteistä ja muunlaisesta sosiaalisesta manipuloinnista ja kuinka huijausyrityksiltä voi suojautua. Toisessa, teknisemmässä koulutuksessa sovelluskehittäjät oppivat, kuinka ohjelmistojen tietoturvaongelmia voi tunnistaa ja korjata etukäteen uhkamallinnuksen (threat modeling) avulla. Lisäksi koulutukseen sisältyvässä turvallisen ohjelmistokehityskäytäntöjen työpajassa osallistujat ideoivat, miten he voivat paremmin hyödyntää Microsoft Secure Development Lifecycle (SDL) ja OWASP Software Assurance Maturity Model (SAMM) -mallien mukaisia turvallisen ohjelmistokehityksen käytäntöjä omissa kehitysprosesseissaan.

Jatkuva henkilöstön kouluttaminen auttaa tietoturvan integroimisessa käytännön työtehtäviin esimerkiksi ohjelmistokehityksessä, mutta laaja-alainen koulutus tietoturvan eri osa-alueista, esimerkiksi tietojenkalastelusta suojaa koko organisaatiota, jonka vuoksi on tärkeää, että koko henkilöstö on ollut mukana koulutuksissa.

Kehätiedolle tietoturva on äärimmäisen tärkeä asia. Hyvän tietoturvan perusta on henkilöstön vankka tietoturvaosaaminen ja sen jatkuva kehittäminen. 2NS on järjestänyt Kehätiedolle räätälöityjä tietoturvakoulutuksia niin ohjelmistokehittäjille kuin koko henkilökunnalle. Olemme itse päässeet vaikuttamaan koulutusten sisältöön. Jokaisen koulutuksen sisältö on mietitty yhdessä 2NS:n kouluttajan kanssa aina tarpeen mukaan. 2NS:n ydinosaaminen tietoturvan saralla ja heidän osaavat kouluttajansa yhdessä joustavan koulutustarjonnan kanssa tekevät 2NS:stä meille luontevan koulutuskumppanin

Juhani Ruohotie, Tiiminvetäjä, Kehätieto Oy

Pelkkä koulutus ei riitä – Kehätieto panostaa tekniseen tietoturvaan asiakkaidensa turvaksi

Kehätiedolla tietoturvaa ajatellaan laajasti ja tietoturvan integroiminen ohjelmistokehityksen kaikkiin vaiheisiin on tärkeää. Vuonna 2023 2NS on toteuttanut Kehätiedolle Kilta-järjestelmän teknisen tietoturva-auditoinnin, jonka avulla pyritään löytämään esimerkiksi mahdollisia haavoittuvuuksia, ongelmia konfiguraatiossa ja infrastruktuurissa, koodivirheitä tai ongelmia toimintalogiikassa.

2NS:n käyttämät työskentelymenetelmät pohjautuvat yleisesti tunnettuihin tietoturvakäytäntöihin kuten OSSTMM (Open Source Security Testing Methodology Manual) ja OWASP ASVS (Open Web Application Security Project – Application Security Verification Standard) -dokumentaatioihin, sekä ajantasaiseen tietoturvauhkista ja haavoittuvuuksista saatavilla olevaan tietoon yhdistettynä asiantuntijoidemme vankkaan kokemukseen.

Tekninen tietoturvatestus huomio myös asiakkaan omat vaatimukset tietoturvalle ja sovelluksen käyttötarkoitukset. Niiden avulla testausta pystyttiin tehostamaan ja auditoija suunnitteli työlle selkeän testaussuunnitelman. Auditoinnissa keskityttiin asiakkaan esille tuomiin ja konsultin kokemuksen mukaisesti ymmärrettyihin kipukohtiin sekä sovelluksen kriittisiin osa-alueisiin. Auditoinnissa tarkasteltiin myös sovellusta kokonaisuutena sekä annettiin asiakkaalle ehdotuksia, miten sovellusta olisi mahdollista parantaa. Auditoinnissa käytettiin manuaalisen testauksen lisäksi myös automatiikkaa.

Ohjelmiston tekninen tietoturvatestaus on osa turvallista ohjelmistokehitystä, sillä sen avulla voidaan löytää kriittisiä haavoittuvuuksia ja se auttaa ohjelmiston jatkokehityksessä. Myös tulokset, joissa ei löydetä haavoittuvuuksia ovat hyödyllisiä organisaatiolle, sillä se kertoo, että ohjelmisto on kehitetty turvallisesti.

Tekninen tietoturvatestaus on olennainen osa yrityksemme toimintaa. Se auttaa suojaamaan niin asiakkaidemme ja käyttäjien tietoturvaa kuin yrityksemme mainetta ja liiketoiminnan jatkuvuutta.

Tietoturvatestaus auttaa tunnistamaan ja korjaamaan mahdollisia haavoittuvuuksia ja virheitä ohjelmistoissa ennen kuin ne pääsevät vaarantamaan käyttäjien tietoturvaa. Tämä lisää luottamusta tuotteeseen ja vähentää riskejä tietomurroista tai tietovuodoista.

Säännöllisen tietoturvatestauksen avulla varmistamme, että tietoturvastandardeja ja -määräyksiä seurataan ja parhaita tietoturvakäytäntöjä noudatetaan. Se myös auttaa yritystämme pysymään ajan tasalla tietoturvauhkien ja hyökkäysten kehityksestä. Jatkuva testaus auttaa ennaltaehkäisemään uusia haavoittuvuuksia ja pitämään puolustusmekanismit päivitettyinä.

Juhani Ruohotie, Tiiminvetäjä, Kehätieto Oy

Yhteistyö 2NS:n kanssa on toiminut erinomaisesti

2NS:n ja Kehätiedon yhteistyö on toiminut erittäin sujuvasti ja ammattimaisesti. 2NS:n monipuolinen osaaminen on mahdollistanut yhteistyön tietoturvan eri osa-alueilla. Tietoturvakumppanuus 2NS:n kanssa vahvistaa myös Kehätiedon asiakkaiden tietoturvaa.

 

Yhteistyö 2NS:n kanssa on sujunut erittäin mallikkaasti. Olemme saaneet heiltä tarvitsemamme tuen niin henkilöstön koulutuksiin kuin tuotteidemme tietoturvatestaukseen. Luotamme 2NS:n erityisosaamiseen tietoturva-asioissa.

Juhani Ruohotie, Tiiminvetäjä, Kehätieto Oy

Haluatko kuulla lisää teknisen testauksen palvelustamme?