Jari Mannonen

Jari Mannonen

Tekninen arkkitehti, kyberturvallisuuskeskus

DevOps-toimintamallissa ohjelmistokehitystä tehdään ketterin menetelmin ja eri vaiheet pyritään automatisoimaan mahdollisimman pitkälle. Perinteisesti tietoturva on huomioitu ohjelmistokehityksessä omana irrallisena prosessinaan ja usein liian myöhään, jos ollenkaan. Tämä aiheuttaa turhaa työtä, lisäkustannuksia ja usein myös heikentää tietoturvaa.

Tietoturvan teippaaminen toimituksen päälle jälkikäteen on tietoturvatonta. Tietoturvan huomiointi jatkuvana osana palveluntuotantoa kannattaa, koska silloin tietoturvallisuus on huomioitu siellä missä sitä tarvitaan. Digitalisaation edetessä kaikille toimialoille, on tietoturva rakennettava ratkaisuihin mukaan alusta lähtien, jotta esimerkiksi tietoturvan kustannukset voidaan tuoda osaksi kannattavuuslaskelmia ja sen vaatimukset osataan huomioida jo rakennusvaiheessa. 

Tietoturvan lisäämistä jälkikäteen voidaan verrata talon rakentamiseen, johon valmistumisen jälkeen päätetään lisätä maanjäristyksen kestävä runko. 

DevSecOps-toimintamalli mahdollistaa ketterän ja automatisoidun ohjelmistokehityksen, joka tuottaa määriteltyä turvallisuutta jokaisessa kehitysversiossa. 

DevSecOps – standardoitu toimintamalli turvalliseen kehittämiseen

Olemme CGI:llä halunneet integroida tietoturvallisuuden osaksi ohjelmistokehitystä ja standardoida toimintamallin, jossa tietoturvallisuus on sisäänrakennettuna kaikessa tekemisessämme. Kehitämme jatkuvasti omia tietoturvallisen ohjelmistokehityksen periaatteitamme ja menetelmiämme, joissa kiinnitämme erityisesti huomiota tietoturvallisuuteen kiinteänä osana ohjelmistokehitystä ja sen jokaista vaihetta. DevSecOps-toimintamalli mahdollistaa ketterän ja automatisoidun ohjelmistokehityksen, joka tuottaa määriteltyä turvallisuutta jokaisessa kehitysversiossa. 

DevOps-malli

Kaikki lähtee hyvästä tietoturvasuunnittelusta

Usein ajatellaan, että tietoturvallisuuden varmistamiseksi joudutaan heittämään hyvästit kaikelle automatisoinnille ja eri ympäristöjen välisille yhteyksille. Todellisuudessa näin ei ole, vaan tilanne vaatii vain enemmän vaivaa ratkaisun uhkien tunnistamiseksi ja niiden välttämiseksi, jolloin myös uhkien mahdollisuudet tulee arvioitua. Hyvä tietoturvasuunnittelu on kaiken tekemisen pohja.

CGI:llä tietoturvasuunnittelu tehdään aina kansainväliseen ISO/IEC 27001 –standardiin perustuvan ohjeistomme ja standardoitujen DevSecOps-menettelyjen pohjalta palvelukohtaisesti. Menettelyt myös tarkistetaan aina kyseisessä palvelussa tunnistettujen uhkien perusteella, palvelun lähtökohdista. DevSecOps-toimintamallimme ei ole staattinen, vaan sitä ylläpidetään ja kehitetään jatkuvasti muuttuvan maailman ja hyviksi havaittujen käytäntöjen pohjalta.

Kiinnostuitko? Autamme mielellämme turvallisen ohjelmistokehityksen sekä automatisoidun ohjelmistopalvelutuotannon haasteissa. Ota yhteyttä.

Tutustu myös

Kirjoittajasta

Jari Mannonen

Jari Mannonen

Tekninen arkkitehti, kyberturvallisuuskeskus

Olen Jari Mannonen, ja toimin teknisenä arkkitehtina CGI:n kyberturvallisuuskeskuksessa. Minulla on yli 15 vuoden kokemus liiketoimintakriittisten järjestelmien suunnittelusta ja toteutuksesta.