Usein kysyttyjä kysymyksiä Tietoturvasertifikaatista

Mihin kriteeristöön tietoturvatarkastus perustuu?

Ohjelmisto- ja e-business ry:n sertifiointiohjelmassa tarkastettavan kohteen tietoturva varmennetaan käyttäen parhaita käytäntöjä, kuten OWASP ASVS –viitekehystä, soveltuvin osin. Käytettävät viitekehykset riippuvat paljon kohteen tyypistä ja luonteesta.

Miten valitsen SaaS-palvelulle oikean tietoturvatason?

Ks. sertifiointisivu

Kuka tietoturvatarkastuksen suorittaa ja mikä on tarkastajan osaaminen?

Tarkastuksen suorittaa kyberturvallisuusyhtiö 2NS (Second Nature Security Oy), joka on tehnyt yli 1 500 verkkopalvelun tietoturvatarkastusta sekä Suomessa että kansainvälisesti (Pohjoismaat, Keski-Eurooppa, Yhdysvallat). 2NS palvelee vuosittain yli 150 tyytyväistä asiakasta (Yritykset, finanssilaitokset, julkinen sektori, ohjelmistoyritykset).

2NS:n auditoijilla on useita kansainvälisesti tunnettuja tietoturvasertifikaatteja, kuten:

CISSP (Certified Information Systems Security Professional)
CISA (Certified Information Systems Auditor)
CISM (Certified Information Systems Manager)
CRISC (Certified in Risk and Information Systems Control)
OSCP (Offensive Security Certified Professional)

2NS:n haavoittuvuustutkimustiimi on julkaissut useita haavoittuvuustiedotteita, muun muassa SAP:n, Oraclen, F-Securen, IBM:n ja HP:n järjestelmistä.

Mitä työkaluja testauksessa käytetään?

Suurin osa työstä on manuaalista testausta eli eettistä hakkerointia. Testauksien apuna käytetään myös testaussovelluksia. 2NS evaluoi jatkuvasti eri tietoturvatestaustyökaluja ja hyödyntää kulloinkin parhaaksi näkemäänsä valikoimaa. Kaikissa testauksissa hyödynnetään useampaa soveltuvaa työkalua.

On kuitenkin hyvä muistaa, että työkalut ovat testauksessa avustavassa roolissa ja liiketoimintaloogiset sekä merkittävimmät haavoittuvuudet havaitaan yleensä manuaalisella testauksella, hakkerimaisella osaamisella sekä useita haavoittuvuuksia yhdistelemällä.

Mitä jos SaaS-palvelussani on paljon haavoittuvuuksia?

Käytännössä kaikissa palveluissa on haavoittuvuuksia. Verkkopalveluiden tietoturvatarkastuksia tekevien yritysten tarkastuksista yleisesti 100 % johtaa siihen, että haavoittuvuuksia korjataan. Haavoittuvuudet ovat näin ollen erittäin yleisiä ja parhaimmissakin sovelluksissa niitä yleensä on. Tietoturvatarkastuksen on tarkoitus auttaa tunnistamaan haavoittuvuudet, jotta niille voidaan tehdä korjaus ja sitä kautta parantaa tuotteen laatua. Tietoturvatestaus on käytännössä testausta siinä missä muukin ohjelmistoon kohdistuva testaus.

Minkälainen on SaaS-yritykseen kohdistuva työmäärä?

SaaS-yrityksen tulee järjestää pääsy tarkastettavaan sovellukseen sekä luoda tarvittavat tunnukset. Tarkastus viedään läpi selkeän mallin mukaisesti, johon kuuluu projektin määrittelypalaveri ja 2NS:n tekemä testaus. Lisäksi pidetään tulosten esittelytilaisuus, jossa keskustellaan haavoittuvuuksista, niiden käytännön merkityksestä sekä korjaussuosituksista.

Onko SaaS-palvelu täysin turvallinen tarkastuksen jälkeen? Entä voiko palvelusta löytyä haavoittuvuuksia, vaikka se on läpäissyt tarkastuksen?

Tietoturvatarkastuksella pyritään kattamaan kohdepalvelu riittävän laajasti pitäen työmäärän kohtuullisena. Työ tehdään rajatun työmäärän puitteissa ja on olemassa mahdollisuus, että palvelusta saattaa löytää haavoittuvuuksia, joita tarkastuksessa ei ilmennyt, tai alueista, jotka eivät olleet tarkastuksen kohteena. Täydellistä tietoturvaa ei millään tarkastuksella voida valitettavasti taata.

Tarkastetaanko mahdolliset korjaukset ennen sertifikaatin myöntämistä?

Kyllä, korjaukset tarkastetaan soveltuvin osin.

Miten korjausten tarkastus tehdään ja mitä se maksaa?

Korjauksien tarkastuksessa tarkastetaan varsinaisessa tarkastuksessa ilmenneet haavoittuvuudet. Tarkastuksessa varmennetaan, että korjaukset on tehty asianmukaisesti ja että implementoidut korjaukset eivät ole ohitettavissa. Nämä raportoidaan SaaS-yritykselle. Korjausten tarkastuksen hinnat perustuvat tarkastukseen vaadittavaan työmäärään, joka riippuu korjattujen haavoittuvuuksien/puutteiden lukumäärästä ja niiden vaatimasta työmäärästä. Yleisesti korjausten verifioinnin hinta on 2,5–5 k€.

Miten tietoturvalausunnossa ilmoitetaan tarkastuksen ajankohta?

Lausunnossa ilmoitetaan sen kirjoittamispäivä sekä ajankohta, jolloin testaus on suoritettu.

Jos työ tehdään vuosittain, miten uusintasertifikaatin hinta suhtautuu alkuperäisen hintaan?

Tietoturvatarkastuksessa käydään aina samat tai päivitetyt kriteerit läpi. Tämän vuoksi jokaisen tarkastuksen hinta on sama, jos kohteiden laajuus pysyy samana.

Miksi Ohjelmisto- ja e-business ry on lähtenyt tarjoamaan sertifikaattia tietoturvatarkastuksesta?

Ohjelmisto- ja e-business ry haluaa nostaa Suomen ohjelmistoalan tietoturvaa kokonaisuutena – niin tietoisuutta aiheesta kuin SaaS-palveluiden ja ohjelmistojen tietoturvallisuutta. Tietoturva on kilpailuvaltti SaaS-palvelun tai ohjelmiston tuottajan osalta, jota kannattaa aktiivisesti käyttää.

Myös SaaS-palvelujen ja ohjelmistojen ostajien tietoturvaymmärryksen ja –valveutumisen lisääminen edesauttaa toimialan kehitystä. Saadun palautteen perusteella sertifikaatit ovat toimineet leimana laadusta, ja edesauttaneet kauppojen syntymistä.

Ohjelmisto- ja e-business ry toimialan edistäjänä kävi läpi kymmenien eri elinkaaren vaiheessa olevien yritysten johdon kanssa, millaista sertifiointiohjelmaa toivottaisiin. Lopuksi keskusteltiin usean FISC:in (Finnish Information Security Cluster) jäsenyrityksen kanssa ohjelman toteuttamisesta. Päädyimme valitun kumppanin (2NS) kanssa tarjoamaan nykyistä mallia, sekä kehittämään sertifiointiohjelmaa edelleen.

Miten sertifiointiohjelmaan pääsee mukaan?

Tee yhteydenottopyyntö täällä niin palaamme pian asiaasi!

Tietoturvasertifikaatti

Usein kysyttyjä kysymyksiä Tietoturvasertifikaatista

Tietoturvasertifikaatti

Palvelut

Ohjelmisto- ja e-business ry

Seuraa meitä