Ohjelmiston turvallisuus kannattaa varmistaa jo hankintavaiheessa. Ennakointi vähentää yllätyksiä ja riskejä elinkaaren myöhemmissä vaiheissa. Aloita tunnistamalla oman organisaatiosi tarpeet.
Jossain vaiheessa kaikki organisaatiot joutuvat hankkimaan ohjelmistoja oman toimintansa tueksi. Tällainen hankinta voi olla vaikkapa ydinliiketoimintaa tukeva toiminnanohjausjärjestelmä, mutta myös vaikka webbisivutarjoajan palvelu. Riskien hallitsemiseksi on hyvä tietää, miten turvallisuus on varmistettu hankittavassa ohjelmistossa. Turvallisuusvaatimuksia voi kohdistaa myös toimittajan omaan toimintaan. Kun turvallisuus on varmistettu jo hankintavaiheessa, se vähentää yllätyksiä ja riskejä elinkaaren myöhemmissä vaiheissa. Jälkikäteen turvallisuuden lisääminen tai vaatiminen on aina yleensä kalliimpaa kuin ennakkoon.
Kotipesä kuntoon
Ennen kuin alkaa miettimään toimittajan tietoturvavaatimuksia, on hyvä tunnistaa oman organisaation tarpeet turvallisuudelle. Jos organisaation omat tietoturvavaatimukset omalle toiminnalle ovat epäselvät, on hankala arvioida kuinka hyvin toimittaja tai hankittu ohjelmisto niitä noudattaa. Yleisten tietoturvavaatimuksien lisäksi tulee tunnistaa myös ne lakisääteiset turvallisuusvaatimukset, joita organisaation tulee noudattaa. Miten GDPR koskettaa omaa toimintaa tai onko organisaatiossa ISO 270001 sertifikaatti, joka asettaa tiettyjä reunaehtoja ja odotuksia toiminnan järjestämiseksi. Kun organisaatio on saanut tunnistettua omat vaatimuksensa, voi näitä alkaa ulottamaan sopivilta osin myös toimittajiin.
Toimittajan arviointi
Toimittajaa valitessa voit arvioida heitä jo ennen ensimmäistä yhteydenottoa. Toimittajan luotettavuutta voi arvioida selvittämällä millainen historia ja maine organisaatiolla on. Näiden lisäksi voit arvioida toimittajan taloudellista vakautta eli onko kyseessä jo vakaata liiketoimintaa tekevä, alalla vuosikausia toiminut yritys, vai esimerkiksi kasvuvaiheessa oleva startup.
Turvallisuuskäytäntöjen osalta on useita eri osa-alueita, joista voit kysyä toimittajan käytäntöjä ja siten arvioida heidän turvallisuutensa kypsyystasoa. Voit kysyä muun muassa toimittajan omista sisäisistä turvallisuuskoulutuksista tai ovatko he sertifioineet tai auditoineet omaa toimintaansa millään tavalla. Vaikka et itse tuntisi näiden koulutuksien, sertifiointien tai auditointien tarkkoja sisältöjä, jo pelkkä vastaus käytäntöjen olemassaolosta antaa osviittaa toimittajan perehtyneisyydestä.
Toimittajaorganisaation omat käytännöt ja mallit tietoturvapoikkeamiin reagoinnissa ovat myös yksi mittari toimittajan arvioimisessa. Voit kysyä onko toimittajalla olemassa jonkinlainen poikkeamienhallintaprosessi omassa toiminnassaan, tai miten he raportoivat ostajalle omiin tuotteisiin kohdistuvista tietoturvapoikkeamista ja niiden korjauksista. Voit myös arvioida ja selvittää esimerkiksi julkisista lähteistä millaisia tietoturvaloukkauksia toimittajalla on aiemmin ollut ja kuinka tehokkaasti ja läpinäkyvästi poikkeamiin on reagoitu.
Arvioi ja vaadi
Toimittajan turvallisuuden arviointi jo hankinnan alkuvaiheessa voi estää myöhempien ongelmien muodostumista. Voit luokitella tarkasteltavat aiheet esimerkiksi seuraavalla tavalla:
- Toimittajan luotettavuuden arviointi. Millainen maine ja historia toimittajalla on? Miten he ovat itse suhtautuneet mahdollisiin tietoturvapoikkeamiin.
- Toimittajan tietoturvan kypsyystaso. Millaiset sisäiset ohjeistukset heillä on tietoturvan osalta tai onko henkilöstöä koulutettu tietoturvan vaatimuksiin. Löytyykö toimittajalta sopivia sertifiointeja tai auditointeja toimintansa tueksi tai ovatko suorittaneet sisäistä arviointia.
- Toimittajan tuottaman tuotteen tietoturvapäivityksien jakelu ja tuki tuotteen elinkaaren osalta.
Jos toimittaja ei osaa vastata johonkin näistä kysymyksistä ennakkoon, voit vaatia toimittajan tietoturvan parantamista osana hankintasopimusta. Seuraa ja keskustele myös hankinnan jälkeisenä aikana turvallisuuden käytännöistä toimittajan kanssa.