Ohjelmistoalalla tietoturvasta ei lipsuta
Tietoturvan merkitys korostuu ohjelmistoalalla aivan erityisesti. Visma Siriuksella tietoturvaa on rakennettu systemaattisesti jo vuosia. Miten ohjelmistoyritys varmistaa, ettei asiakkaiden arvokasta tietoa vuoda tai verkon tunkeilijat pääse niskan päälle?
”Tietoturva on nykyaikaisten ohjelmistopalveluiden tuottamisen perusedellytys. Asiakkaiden tiedot ovat kallisarvoisia ja toimenpiteidenkin pitää olla sen mukaisia”, avaa Jukka Laitinen.
Visma Siriuksen tietosuojavastaavana ja teknisenä tuotepäällikkönä työskentelevä Laitinen vastaa Hausvisen, Tampuurin, IA5:n sekä L7:n ohjelmistojen hallinnollisesta tietosuojasta sekä Hausvisen tietoturvan kehittämisestä.
”Tietoturva on keskeinen osa yhtiömme toimintakulttuuria ja kaikki siriuslaiset toimitusjohtajasta lähtien osallistuvat sen kehittämiseen. Lisäksi meillä on talon sisällä oma tietoturvaorganisaatio, jonka pohjana on vahva riskienhallinnan työ.”
Tietoturvaa seurataan ja kehitetään viikoittain ja kuukausittain kokoontuvissa tietoturvaryhmissä sekä osana päivittäistä tietojärjestelmien ja palveluiden kehitystä. Vahvat tietoturvaperiaatteet on rakennettu tiimien toimintaan perustasolta lähtien.
”Kun suunnittelemme ohjelmia, sisällytämme tietoturvan aina luontevasti osaksi kaikkea tekemistä. Omissa palveluissamme meillä on käytettävissä aina alan parhaat käytännöt. Neuvomme myös asiakkaitamme, miten he voivat parantaa tietoturvaansa oikeilla toimintatavoilla”, sanoo Laitinen.
Visma järjestää säännöllisiä tietoturvakoulutuksia koko henkilöstölleen. Perus- ja kertauskoulutusten lisäksi kehittäjille on myös oma kohdennettu harjoittelualusta, jossa voi harjoitella erilaisten uhkatilannesimulaatioiden avulla.
”Hyvä tietoturva ja riskienhallinta lähtevät ammattitaitoisesta ja valveutuneesta henkilöstöstä”, Laitinen korostaa. ”Tukenamme ovat myös Visma-konsernin palvelut sekä Cyber Threat Intelligence -seurantapalvelu, joka valvoo verkon pimeimpiä nurkkia.”
Ennakointi kriittisen tärkeää
Visma Sirius seuraa palveluitaan ja niiden saavutettavuuteen mahdollisesti liittyviä vikoja ympäri vuorokauden.
”Palomuurit valvovat verkkoliikennettä ja estävät haitallisen liikenteen. Palvelun kuormitusta ja kapasiteettitarvetta seurataan automaattisesti. Jos esimerkiksi yöllinen varmistusajo ei onnistuisi, tästä tulee hälytys tekniselle tiimille”, Laitinen kertoo.
Kaikki verkkoliikenne on lisäksi salattu ja keskeiset tiedot kryptattu. Käytössä ovat myös OWASP-turvakehikot. Uudet sovellukset sijoitetaan aina moderneille alustoille.
Yritykseltä löytyy myös varautumissuunnitelma mahdollisten tietoturvaloukkausten varalle. Tietomurron sattuessa tekninen tiimi lähtisi välittömästi rajaamaan vaikutuksia ja analysoimaan tapahtunutta. Konsernin ympäri vuorokauden päivystävä tietoturvatiimi toimittaisi tarvittavaa lisätukea.
”Meillä on myös oma tilannehuone-viestikanava siltä varalta, että jotain sattuisi. Tilannehuone hoitaa mahdollisen eskalaation ja tiedottaa asioista laaditun viestintäsuunnitelman mukaisesti.”
Laitinen korostaa, että hyvän tietoturvaperustan ohella Visma varautuu jatkuvasti huolella myös tulevaisuuteen.
”Aina pitää katsoa vahvasti eteenpäin. Digitalisoituneessa maailmassa kyberuhkia tulee koko ajan lisää, ja se edellyttää kunnon mekanismeja tulevaa varten. Esimerkiksi tekoälyn huima kehitysloikka on hyödyttänyt kyberrikollisia, mutta se auttaa myös torjumaan uudenlaisia uhkia aiempaa paremmin.”
Vaikka moni pitää tietoturvastaan hyvää huolta, inhimillisiä virheitä kuitenkin sattuu. Hausvisen, Tampuurin, IA5:n ja L7:n tietoturva on varmistettu Visma Siriuksella tarkkaan, mutta millä keinoin käyttäjä voi itse huolehtia siitä, että toimii mahdollisimman tietoturvallisesti?