Tietojärjestelmissä käytettävien lisenssien ja ohjelmistojen hallintaa kutsutaan ohjelmistoturvallisuudeksi. Mukaan lasketaan niin työpöytä kuin palvelinkäytössäkin olevat ohjelmistot. Lisenssien hallinta ei kuulosta tärkeältä tietoturvallisuuden kannalta, mutta hallinnan laiminlyönti voi silti johtaa vakaviin tietoturvaloukkauksiin. Esimerkiksi virustorjuntaohjelmiston lisenssin käyttöoikeuden loppuminen voi samalla lopettaa itse ohjelman toimimisen. Asianmukaisella hallinnalla ja seurannalla tällaisilta ongelmilta voidaan välttyä. [1]
Kaikki olennaiset yrityksen ohjelmistoihin liittyvät asiat kannattaa kirjata tietoturvaperiaatteisiin ja -käytäntöihin. Liitteen 4 taulukosta selviää yleisimmät dokumentoitavat aihealueet, kuten kouluttaminen ja ohjelmistopolitiikka. Erityisesti varmuuskopiointikäytäntöjen ja tietoturvallisten toimintatapojen ohjeistamiseen kannattaa käyttää aikaa. Henkilöstön on myös tiedettävä, mitä ohjelmistoja heillä on lupa käyttää työkoneillaan.
Suojaaminen luvattomalta käytöltä
Olennaista ohjelmistoturvallisuuden kannalta on ohjelmien ja järjestelmien luvattoman käytön estäminen. Yleisin tapa toteuttaa tämä suojatoimenpide on käyttäjän todentaminen esimerkiksi henkilökohtaisten tunnusten ja salasanojen avulla [2]. Yrityksen tietoturvaohjeistuksiin kannattaa lisätä kohta, jossa kerrotaan turvallisten ja monimutkaisten tunnusten luomisesta. Tietyn tyyppiset salasanat on helposti murrettavissa normaalin tietokoneen avulla. Kaikki yrityksen työntekijät eivät välttämättä ole tietoisia tästä, joten ohjeistuksen tekeminen on suotavaa. Ohjelmistojen luvatonta käyttöä voidaan rajoittaa myös käyttäjän sijainnin perusteella. Esimerkiksi jotkin sovellukset voidaan rajoittaa toimimaan vain yrityksen oman lähiverkon alueella.
Ohjelmien laatu ja tietoturvaominaisuudet
Huonosti toteutetut ohjelmat ovat haitaksi yrityksen tietoturvalle. Luvattoman käytön estäminen salasanoilla ei ole avuksi, mikäli käyttäjä pystyy ohittamaan todennusmekanismit. Siksi onkin tärkeää, että yrityksessä käytettävät ohjelmat ovat laadukkaita ja tietoturvallisia. [3] Hyvänä esimerkkinä voidaan pitää käyttöjärjestelmää, johon valmistaja ei tee korjauspaketteja. Kyseisen ohjelmiston käyttäminen on suuri riski ja heikentää tietoturvallisuutta. Vaikka käyttöjärjestelmä olisikin suojattu, voi haavoittuvuus olla myös esimerkiksi toimisto-ohjelmassa. Rikolliset pystyvät käyttämään näitä ongelmia hyväkseen ja murtautumaan tietojärjestelmään.
Hyvä ohjelmisto mahdollistaa loki- eli tapahtumatietojen kirjaamisen muistiin. Näistä tiedoista voidaan selvittää esimerkiksi, kuka käyttäjä on ollut kirjautuneena järjestelmään tiettynä ajankohtana tai miltä koneelta kirjautuminen on tehty. Lokitiedot ovat erityisen hyödyllisiä ongelmatilanteiden selvittämisessä. Palvelimet voidaan konfiguroida tallentamaan kaikki normaalista toiminnasta poikkeavat tapahtumat ja lähettämään tiedot ylläpitäjille. Näin järjestelmistä vastaavat henkilöt saavat ongelmasta välittömästi tiedon. [4]
Ylläpito ja huolto
Ohjelmistoihin saattaa ilmestyä vikoja samalla tavalla kuin laitteisiinkin. Syy voi olla esimerkiksi virheellisissä järjestelmäpäivityksissä. Nämä viat saattavat estää ohjelman päivittäisen käytön. Ylläpito- ja huoltosopimukset ovat hyvä tapa siirtää vastuuta myös muille osapuolille. Mikäli yrityksen tietotaito riittää ja ohjelmiston käyttöoikeudet sen sallivat, voi korjauksia koittaa tehdä myös itse. Avoimen lähdekoodin ohjelmistot ovat käyttäjän muokattavissa, mikä mahdollistaa korjausten omatoimisen tekemisen.
Varmuuskopiointi
Vikatilanteista ja haittaohjelmista johtuneet ongelmat saattavat lamauttaa koko tietojärjestelmän. Aina eivät parhaatkaan virustorjunnat pysty suojaamaan koneita uusimmilta uhilta. Mikäli tällaiseen tilanteeseen joudutaan, voi käyttöympäristön uudelleenasentaminen olla ajankohtaista. Tiedot ovat helposti palautettavissa, mikäli varmuuskopiointi ja järjestelmien dokumentointi on hoidettu asianmukaisesti. Koneilla olevista ohjelmistoista ja niiden asetuksista kannattaa tehdä lista, jolloin niiden palauttaminen täysin alusta alkaen on nopeampaa ja luotettavampaa. Varmuuskopioinnin yritys voi järjestää siten, että tiedot on palautettavissa esimerkiksi kahden viikon takaiseen tilaan. [5]
Lue seuraavaksi tietoaineiston turvallisuudesta tai palaa sisällysluetteloon.
Liitteen 4 sisältö: Tärkeimmät ohjelmistoturvallisuudessa huomioitavat ja dokumentoitavat asiat
(Lähteet: ISO/IEC 27001:fi 2006, 29–31, 48–62; ISF 2007, 40–50)
Liite taulukkomuodossa opinnäytetyön liiteosiossa.
Inventaario
Kirjataan yrityksessä käytössä olevat ohjelmistot sekä niiden versiot ja lisenssit. Jokaiselle ohjelmistolle on merkittävä myös vastuuhenkilö.
Ohjelmistopolitiikka
Yrityksessä sallittujen ja kiellettyjen ohjelmistojen listaaminen. Kielletyt ohjelmat kannattaa perustella esimerkein.
Ohjelmistodokumentaatio
Ohjelmistojen ominaisuuksien, resurssien, käyttöoikeuksien sekä -ohjeiden dokumentointi. Myös ohjelmistoihin tehdyt muutokset tulee dokumentoida.
Haittaohjelmilta suojautuminen
Kuvataan toimenpiteet, joilla yritys suojautuu esimerkiksi viruksilta.
Kouluttaminen
Henkilöstöä on ohjeistettava kirjallisesti ja suullisesti ohjelmistojen turvallisesta käytöstä, päivitysten asentamisesta sekä esimerkiksi arkaluontoisten tietojen salaamisesta.
Järjestelmien kuvaukset
Esimerkiksi palvelinympäristön tietoturvan lisäämiseksi tehdyt asetusmuutokset on dokumentoitava ja ohjeistettava ylläpitäjille.
Varmuuskopiointi
Varmuuskopiointikäytännöt ja niiden ohjeistukset on dokumentoitava ja tarpeen mukaan julkaistava myös henkilöstölle.
Sopimukset
Dokumentoidaan mahdolliset ohjelmistoihin liittyvät tukisopimukset ja niihin liittyvät avunpyyntöperiaatteet.
—
Lähteet
1 (Miettinen, 1999, 225–226; Ruohonen, 2002, 4.)
2 (Raggad 2010, 22)
3 (Rosendahl 2003.)
4 (Miettinen 2002, 169.)
5 (Miettinen 1999, 227–228.)