Tietoturvatyön suorittaminen ja dokumentointiVastuu tietoturvatyön suorittamisesta on ohjelmistokehittäjillä. On selvää, että kaikki ohjelmistokehitystiimit eivät aina pysty suorittamaan kaikkia näitä tietoturvatehtäviä aika- tai kompetenssirajoitteista johtuen. Vastuu ei kuitenkaan tällöin siirry, vaan rajoite on ratkaistava joko koulutuksella, priorisoinnilla tai tiimin ulkopuolisiin resursseihin tukeutumalla. Joissakin tapauksissa ympäröivä organisaatio voi luoda palvelun, jonka käyttö on kustannustehokkaampaa kuin tiimin sisäisten resurssien käyttö. Esimerkiksi tutkivan tietoturvatestauksen asiantuntijaresurssit voi olla tehokkaampaa hankkia keskitetysti koko organisaation käyttöön. Toteutusaikainen tietoturvatyö koostuu yleisimmin seuraavista tehtävistä:
Tehdyn tietoturvatyön dokumentointi tehdään ensisijaisesti tiketöintijärjestelmään ja versiohallittuihin dokumentteihin (esimerkiksi wiki). Jos ohjelmistokehittäjät tukeutuvat joiltakin osin käyttöpalvelutoimittajan komponentteihin (esimerkiksi käyttöjärjestelmään tai pilvipalvelun orkestrointirajapintaan), ohjelmistokehittäjien vastuulla on määritellä vastuunjaon raja käyttöpalvelutoimittajaan nähden. Käyttöpalvelutoimittajan vastuualueista on sovittava sopimuksellisesti.
|