SAMM-kartoitukset palveluna – miten mittaat ohjelmistotietoturvallisuuden käytäntöjä tehokkaammin

SAMM (Software Assurance Maturity Model) -mallia käytetään ohjelmistokehityksen, testaamisen sekä muiden ohjelmistotuotannon osa-alueiden  tietoturva-aktiviteettien kypsyystason kartoittamiseen. Mallin on kehittänyt Open Web Application Security Project, eli OWASP-yhteisö. Se on avoimen lähdekoodin malli, jota voivat hyödyntää kaikki, jotka ovat kiinnostuneita ohjelmistoturvallisuutensa parantamisesta. elfGROUP tarjoaa SAMM-kartoituksia palveluna kokeneiden tietoturva-asiantuntijoiden toteuttamana. Palvelumme avulla asiakkaamme voivat tehokkaasti toteuttaa ohjelmistovarmuutensa arviointi- ja kartoitustyön.

SAMM-mallia käytetään ohjelmiston kehityskierron arvioimiseen, ottaen huomioon laajalti eri näkökulmia, mm. vaatimukset, katselmukset, tietoturvan näkökulma tai käyttöympäristön uhat. Kun arvioidaan useiden tiimien työtä, saadaan samalla määriteltyä koko yrityksen tasolla kuinka turvallisia ja luotettavia heidän ohjelmistokehitysprosessinsa ovat. Samalla kun saadaan laaja kuva yritystason tilanteesta, se paljastaa myös eri tiimien vahvuudet ja heikkoudet yrityksen sisällä. Malli tuottaa arvosanan, jota voidaan verrata muiden tiimien kanssa, muiden yritysten kanssa, tai yrityksen aikaisempien SAMM-tulosten kanssa.

Malli kattaa 12 erilaista aihealuetta, jotka on ryhmitelty neljän eri päätoiminnon alle. Jokaisesta aiheesta annetaan arvosana, joiden perusteella arvioitu tiimi tai yritys voi päättää mitkä matalat arvosanan saaneet aiheet vaativat heidän kohdallaan huomiota ja otetaan kehityskohteiksi.

 

Miten elfGROUP toteuttaa SAMM-kartoitukset?

Kartoitus toteutetaan haastatteluina, jotka ovat luonteeltaan keskustelunomaisia. Jokainen tiimi haastatellaan ja arvioidaan erikseen. Yksittäinen haastattelu kestää tyypillisesti 4 tuntia, ja tiimi saa tulokset 48 tunnin kuluessa. elfGROUPilla haastattelut toteuttaa aina yksi ja sama henkilö, jotta arviointien taso yrityksen tiimien välillä pysyy yhtäläisenä. Raportti tuloksista koostetaan myös yritystasolla.

Haastattelut toteuttava konsultti saattaa hyödyntää tarvittaessa myös kollegoistaan eri alojen erikoisosaajia, jotta hyvin erikoistuneissa aiheissa keskustelu säilyy sujuvana. elfGROUPilla on laajalti asiantuntijoita ohjelmistokehityksen ja -testauksen eri aloilta, jotka voivat tuoda oman erikoisosaamisensa arviointikeskusteluihin. Asiantuntijoidemme koulutus ja kokemus johtavat keskustelun nopeasti tyypillisiin heikkoihin lenkkeihin ja kipukohtiin – me tiedämme mistä ”kaivaa”.

Samoin kannustamme asiakkaitamme kutsumaan haastatteluun mahdollisimman laajalti eri rooleissa ja tehtävissä toimivia henkilöitä tiimeistään. Heillä voi olla jokaisella hieman eri tavoitteita rooliensa myötä ja he antavat siten paremman tilannekatsauksen yrityksen käytännöistä. Kartoitus sisältää kysymyksiä aihealueiden monilta puolilta. Kokemuksemme mukaan on hyödyllistä ottaa haastatteluihin mukaan testaajiakehittäjiä, arkkitehtejä, tuotepäälliköitä ja infraosaajia, jotta kaikki osapuolet ovat edustettuina ja voivat vastata kysymyksiin omasta näkökulmastaan. Kaikki nämä aiheet linkittyvät toisiinsa, joten yhdessä aihealueessa parantaminen tukee myös muita siihen liittyviä aihealueita.

 

Mikseivät kaikki toteuta kartoituksia sisäisesti?

Ulkopuolisen tahon mukaan ottaminen kartoituksen toteutukseen luo luottamuksen ilmapiirin. On usein helpompi myöntää heikot puolet ja ongelmakohdat objektiiviselle osapuolelle kuin omalle esimiehelleen tai kollegalleen. Usein haastateltavat ovat keskustelun aikana tuoneet esille myös muita ongelmakohtia, vaikkeivat ne suoraan liittyisi arvioitavaan aihealueeseen. He ovat kokeneet, että kartoitusprosessi on aukaissut keskustelukanavan ja tavan viestiä johtoportaalle. Mikäli haastateltavan mielestä jokin käytäntö tarvitsee muutosta, on yritykselle hyödyllistä harkita olisiko tarpeen harkita tämän suhteen toimenpiteitä.

Esimiehien on helpompi viedä muutoksia ja parannuksia eteenpäin, kun ongelma-alueet on tunnistettu yhdessä. Työntekijät ovat sitoutuneet ja kiinnostuneet muutoksesta parempaan. SAMM-kartoituksista saamamme kokemuksen mukaan ongelma-alueet nähdään usein yhtäläisesti kaikissa tiimeissä. Ne tunnistettuaan yrityksen tarvitsee vain päättää muutoksesta, kaikki ovat jo valmiina siihen.

Turvallisen ja luottamuksellisen ilmapiirin lisäksi kartoituksen toteutus on tehokkaampaa, kun ostaa sen palveluna kokeneen SAMM-haastattelijan ja kyberturvan asiantuntijatiimin toteuttamana, säästäen omien asiantuntijoiden kallisarvoista aikaa heidän omiin erityisprojekteihinsa.

Tuloksena elfGROUP toimittaa visuaalisen raportin, ehdotuksen mihin aihealueisiin tulisi keskittyä, mitä pitäisi tehdä kyvykkyyksien parantamiseksi kussakin aihealueessa ja kuinka paljon resursseja siihen arvioidaan tarvittavan.

SAMM-kartoituksen yksi tehtävä on myös seurata kehittymistä. Toteuttamalla kartoituksen kertaalleen, yritys saa näkymän heidän senhetkiseen tasoonsa. Toteuttamalla kartoitus uudelleen, esimerkiksi 6 kuukauden jälkeen, kun yrityksellä on ollut aikaa tehdä suositellut parannukset, nähdään tuloksista edistys.

 

Kuka voittaa kartoituksen? Tarina yrityksestä, jossa tiimit kilpailivat paikasta SAMM-kartoituksessa

Eräs asiakkaamme teki SAMM-kartoituksesta yrityksen sisäisen kilpailun tiimien välille. Tiimien täytyi hakea mukaan, selittää miksi he halusivat voittaa SAMM-kartoituksen tiimilleen, ja miten kartoitus hyödyttäisi heidän projektiaan. Tämä lähestymistapa oli erinomainen, sillä voittanut tiimi oli erittäin motivoitunut. Sen sijaan, että kartoitus tulisi ylhäältä käskettynä, jossa joku tulee arvioimaan teidät, löytää virheenne ja heikkoutenne, tässä tapauksessa tiimit halusivat voittaa, saada tukea ja löytää ne osa-alueet, joissa he voisivat parantaa. Tiimi oli niin onnellinen, kun tulimme haastattelemaan heitä!

Olisiko SAMM-kartoitus hyödyllinen myös sinun yrityksellesi? Ota yhteyttä myyntiimme! Teemme teille ehdotuksen SAMM-kartoitusprojektista, joka vastaa kehitystyönne tarpeita täydellisesti!

Share This Story, Choose Your Platform!

About the Author: Morgane Fleuriot

Morgane Fleuriot

Morgane on testausasiantuntija, jolla on pitkä kokemus Nokia Matkapuhelimilta. Hän on valmistunut elektroniikka- ja optiikkainsinööriksi. Hän on alun perin Ranskasta, mutta on asunut Oulussa jo yli 15 vuotta. Morgane on järjestelmällinen, tarkka ja määrätietoinen. Vapaa-ajallaan hän on kiinnostunut revontulien valokuvaamisesta ja hän pitää ruoanlaitosta – sekä leivonta-aiheisten tietoturvametaforien kehittelystä.