9:00 Aamukahvi

Johdatus ohjelmistotuotantoon

Johdannossa tutustutaan ohjelmistotuotannon viitekehyksiin ja prosesseihin; mitä ohjelmistotuotannossa pitäisi olla tehtynä - ei niinkään vielä miten.

- Ohjelmistojen elinkaari

- Ohjelmistotuotannon ja kyberturvallisuuden maturiteettimallit

Ohjelmistotuotannon haavoittuvuudet

Tunnilla perehdytään yleisimpiin haavoittuvuuksiin ja/tai konfigurointivirheisiin, joita tunnetusti on hyväksikäytetty. Jälkiviisaana on helppo nauraa…

- Johdanto haavoittuvuuksiin ja -hyväksikäyttömenetelmiin 

- Yleiset ongelmakohdat kehityksessä

Ohjelmistotuotannon kyberturvallisuus 

Johdannosta ja haavoittuvuuksista päästään kyberpoikkeamiin johtavien riskien tunnistamiseen, jossa keskiössä ei ole haavoittuvuudet. Liian moni ohjelmistoprojekti nojaa yksittäisten henkilöiden lähes sankarillisiin ponnistuksiin, jolloin niin sanottu bussikerroin on hyvin matala. Tähän jos lisätään vielä ongelmia peittelevä tietoturvakulttuuri, niin soppa on valmis…

- Henkilöstöön, tekniikkaan ja tuotantoon liittyvät riskit

- Tietoturvakulttuuri

Haavoittuvuuksien hallinta

Muutos- ja konfiguraationhallinta on versionhallinta- ja automaatiotyökalujen myötä parantunut merkittävästi, mutta monessa yrityksessä ei tiedetä käsin konsolilta “tunkkaamista” paremmasta. Haavoittuvuuksien seuranta hallinta on kuitenkin edelleen yleinen kipukohta. Usein toteutustavoista kysyminen johtaa syvään hiljaisuuteen…

- Muutoksen- ja konfiguraationhallinta

- Haavoittuvuuksien seuranta ja hallinta

Yhteenveto päivästä

Kurssilainen tunnistaa kyberturvallisuusriskit ja prosessit niiden hallitsemiseen.

9:00 Aamukahvi

Ohjelmistoprojektit ja uhat

Projektin suunnitteluun ja läpivientiin liittyy riskejä sekä toimittajan että asiakkaan osalta etenkin ylläpidon osalta. Monet näistä ovat ehkäistävissä myös sopimusteknisesti. Uhkamallinnus on myös proaktiivinen prosessi, jolla pyritään ennakoivasti löytämään turvallisuuden heikoimmat lenkit katsellen kokonaisuutta ikään kuin hakkerin silmin. Uhkamallinnus usein jää kertaluontoiseksi, eikä löydöksiin palata tai puututa riittävästi.

- Sopimustekniset asiat

- Uhkamallinnus

Teknologiajohtaminen

Teknologisten valintojen kanssa tasapainoilu on haastavaa ja vääristä valinnoista voi muotoutua niin sanottua teknistä velkaa, joka vaarantaa joko kyberturvallisuuden tai pahimmillaan koko liiketoiminnan. Isot organisaatiot tapaavat myös ratkaista samoja ongelmia eri “siiloissa” uudelleen, joka on luonnollisesti rahan haaskausta, mutta myös vaikeuttaa kyberpoikkeamatilanteissa vaikuttavuuden arviointia.

- Teknologiavalinnat kyberturvallisuuden näkökulmasta

- Tekninen velka ja teknologiapinon hallinta

Ohjelmistotestaus

Ohjelmiston hyvä testaus ja koodikäytänteet ovat paras konkreettinen toimenpide laadun parantamiseen ja yksinkertaisten haavoittuvuuksien ennaltaehkäisyyn. Tunneilla pureudutaan konkreettisin esimerkein eri testaustapoihin ja haavoittuvuuskannauksiin.

- Katselmointi ja staattinen analyysi

- Yksikkötestaus

- Regressiotestaus

- Järjestelmän tai sovelluspaketin haavoittuvuuskannaus

Kybersietoisuuden testaus

Kun ohjelmiston perusmuotoinen testaus on hyvällä mallilla, niin on hyvä koittaa etsiä vaikeammin löydettäviä haavoittuvuuksia omasta tuotteesta. Toimintavarmuus- eli fuzz-testaus on haastavaa ja valitettavan tuntematonta vielä nykyäänkin, vaikka sillä saadut tulokset ovat ällistyttäviä…

Lopuksi käsitellään vielä miksi tietoturvatarkastuksia ja/tai auditointeja kannattaa ajoittain teettää ulkopuolisella ja miten niihin tulisi valmistautua.

- Toimintavarmuustestaus (fuzzerit) Auditointi- ja tietoturvatarkastuksiin valmistautuminen

- Uhkamallinnustyöpaja

Yhteenveto koulutuksesta

Kurssilainen tunnistaa prosessien lisäksi tekniikoita kyberturvallisuuden riskien hallitsemiseen.