Näillä vinkeillä varmistat kasvuyrityksen tietoturvan

Oma sovelluskehitys on harvan kasvuyrityksen ydinosaamista, mutta omat liiketoimintasovellukset ovat yhä useamman bisnesidean ydin. Kasvuyritysten uusien sovellusten kehitys ja käyttöönotto tapahtuvat tänä päivänä pilvipalveluissa, sillä vain siellä sovelluskehitys voi olla tarpeeksi nopeaa ja skaalautuvaa. Microsoft-pilven osalta Azure on luonteva valinta sekä sovelluskehitysympäristöksi että sovellusten ajoalustaksi. Miten saadaan varmistettua, että pilvisovellus on kasvun mahdollistaja eikä tietoturvariski?

Tietoturvan näkökulmasta pilvipalvelu tarjoaa tuoreimmat ja turvallisimmat rakennuspalikat sovelluksen osaksi, mutta sovelluskehittäjien on osattava hyödyntää niitä oikein. Azureen toteutettu verkkopalvelu tai mobiilisovellus koostuu tyypillisesti monesta erillisestä löyhästi toiseensa liittyvästä palasesta, jolloin integraatioiden suojaamisen merkitys korostuu. Valmispalaset myös kehittyvät vauhdilla Microsoftin toimesta, ja sovelluksen eri osilla saattaa myös olla eri tekijät. Sovelluskehityksen perinteiset parhaat käytännöt muuttuvatkin vauhdilla pilven mahdollisuuksien ansiosta, kun maalit vaihtavat itsestään paikkaa.

Tässä neljä vinkkiä sovelluksen tietoturvan varmistamiseen:

1. Yrityksen on syytä määrittää linjaukset siitä, millä tavalla pilven eri osapalveluita heidän pilviympäristössään tulee hyödyntää. Nämä linjaukset on syytä dokumentoida osaksi Azure-hallintamallia, joka toimii jatkossa toimittajille käsikirjana siihen, miten sovelluskehitystä yrityksen ympäristössä tehdään. Samassa yhteydessä pitäisi suunnitella myös sovelluskehityksen käytännöt, eli lähdekoodin hallinnan sekä testi- ja kehitysympäristöt.

2. Yritys on lopulta itse vastuussa sovelluksen tietoturvasta, joten sitä ei voi jättää pelkästään toimittajatiimin osaamisen varaan. Paras tapa varmistua sovelluksen tietoturvasta on teettää siihen katselmointi kolmannella osapuolella. Sulavan tekemissä sovellusten tietoturvakatselmoinnissa yhdistyy Sulavan arkkitehtien pitkä sovelluskehitysosaaminen sekä Azure-alustan erityistuntemus. Näin katselmoinnissa saadaan katettua ratkaisun molemmat osat, eli sovelluskohtainen lähdekoodi ja valmistoimintojen hyödyntäminen. Sovellus on valmis käyttöönotettavaksi vasta, kun tarvittavat korjaukset on tehty.

3. Monesti sovelluksia kehitetään jatkuvalla syklillä myös julkaisun jälkeen. Tietoturvakatselmoinnin tilaaminen ei saa jäädä kertaluontoiseksi, vaan täydentäviä katselmointeja tulisi tehdä säännöllisesti myös julkaisun jälkeen – tämän toimintatavan tulisi olla kuvattuna Azure-hallintamallissa. Tietoturvan lisäksi katselmoinneissa on usein järkevä käydä läpi myös sovelluksissa käsiteltävän tiedon suojaaminen ja vaatimustenmukaisuus.

4. Parhaat organisaatiot huomioivat tietoturvan jo suunnitteluvaiheessa, jolloin oikeiden päätösten tekeminen on helpompaa ja edullisempaa. Jos asiakkaalla ei ole omaa teknistä osaamista tältä alueelta, osaavan IT-arkkitehdin käyttäminen asiakkaan edustajana on erittäin suositeltavaa.

Organisaation tietoturva on yhtä kuin sen heikoin lenkki. Organisaation käyttäjien identiteetin ja kaikkien IT-palveluiden suojaus on yhä tärkeämpää, kun tietojenkalastelua kohdistetaan käyttäjiin yhä laajemmalla skaalalla. Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.

Jos oman organisaation tietoturvan tilanne mietityttää, lue lisää tietoturvapalveluistamme!


Helsingin kaupungin kasvatuksen ja koulutuksen toimiala (Kasko) vahvisti turvallista opetusympäristöään uusilla tietoturvatyövälineillä

Vastuullisena toimijana Kasko pyrkii jatkuvasti kehittämään tietoturvatoiminnallisuuksiaan. Viimeisimmässä projektissa otettiin käyttöön laajasti uusia työvälineitä ja ominaisuuksia turvallisen opetusympäristön vahvistamiseen.

Keskeisimmät osa-alueet olivat identiteetin suojaus, sähköpostin suojaus mukaan lukien Microsoft Teams, SharePoint Online sekä OneDrive, tiedostojen ja tietojen suojaus, päätelaitteiden suojaus, pääsynhallinnan suojaus sekä tietoturvatapahtumien hallinta, monitorointi ja raportointi.

Lue Kaskon kokemuksista

protecting data