Tietoturvatyön tiketöinti ja siirto tuotteen tehtävälistalle

Jotta tietoturvatyö tulisi näkyväksi ja sille varattaisiin riittävästi aikaa, ohjelmistokehittäjien tärkeimpiä vastuita on varmistua siitä, että tietoturvatyö näkyy työnhallintajärjestelmässä. Kun tietoturvatyö on kirjattu tehtäväksi tikettiin, esimerkiksi työjaksojen sisältöä määriteltäessä on selkeämpää, paljonko aikaa tietoturvatyö vie.

Jos ohjelmistokehittäjä havaitsee uutta tietoturvatyötä, jota pitäisi tehdä, heidän vastuullaan on lisätä se tuotteen tehtävälistalle. Tyypillisimmin tämä tapahtuu uhkamallinnuksen seurauksena, jolloin löydettyjen riskien hallitsemiseksi luodaan uusia tehtäviä.

Näkyvyyden varmistamiseksi ohjelmistokehittäjien tulee myös luokitella tiketit kuten luvussa 8. Uuden tai muuttuneen toiminnallisuuden tietoturva- ja tietosuojatyön tarkastuslista (liite 3) kuvataan.



Tietoturvatyön suorittaminen ja dokumentointi

Vastuu tietoturvatyön suorittamisesta on ohjelmistokehittäjillä.

On selvää, että kaikki ohjelmistokehitystiimit eivät aina pysty suorittamaan kaikkia näitä tietoturvatehtäviä aika- tai kompetenssirajoitteista johtuen. Vastuu ei kuitenkaan tällöin siirry, vaan rajoite on ratkaistava joko koulutuksella, priorisoinnilla tai tiimin ulkopuolisiin resursseihin tukeutumalla.

Joissakin tapauksissa ympäröivä organisaatio voi luoda palvelun, jonka käyttö on kustannustehokkaampaa kuin tiimin sisäisten resurssien käyttö. Esimerkiksi tutkivan tietoturvatestauksen asiantuntijaresurssit voi olla tehokkaampaa hankkia keskitetysti koko organisaation käyttöön.

Toteutusaikainen tietoturvatyö koostuu yleisimmin seuraavista tehtävistä:


Tehdyn tietoturvatyön dokumentointi tehdään ensisijaisesti tiketöintijärjestelmään ja versiohallittuihin dokumentteihin (esimerkiksi wiki).

Jos ohjelmistokehittäjät tukeutuvat joiltakin osin käyttöpalvelutoimittajan komponentteihin (esimerkiksi käyttöjärjestelmään tai pilvipalvelun orkestrointirajapintaan), ohjelmistokehittäjien vastuulla on määritellä vastuunjaon raja käyttöpalvelutoimittajaan nähden. Käyttöpalvelutoimittajan vastuualueista on sovittava sopimuksellisesti.