Article
Näin Visma ylläpitää tietoturvaa - VSP pähkinänkuoressa
30.10.2024
Teknologia
Article
Näin Visma ylläpitää tietoturvaa - VSP pähkinänkuoressa
Teknologia
30.10.2024
Näin Visma ylläpitää tietoturvaa - VSP pähkinänkuoressa
Teknologia
10.30.2024
Article
Näin Visma ylläpitää tietoturvaa - VSP pähkinänkuoressa
Teknologia
10.30.2024
Article
Näin Visma ylläpitää tietoturvaa - VSP pähkinänkuoressa
Teknologia
October 30, 2024
Lähtökohtana konsernitasoinen tietoturvaohjelma
VSP eli Visma Security Program on konsernitasoinen tietoturvaohjelma, jota Visma-yhtiöt käyttävät varmistaakseen tuotteidensa vahvan tietoturvan. Ohjelmistojen tietoturvaohjelman lisäksi VSP tarjoaa myös ohjeita henkilöstön tietoturvaosaamisen ylläpitämiseen, infrastruktuurin turvallisuusohjelman, sekä ohjelman Visman hallinnoimien kolmannen osapuolen ohjelmistojen suojaamiseen. VSP on suunniteltu alan parhaita käytäntöjä ja yleisiä tietoturvaohjelmia hyödyntäen.
Visman strategia on kasvaa vahvasti yritysostoin ja ohjelmiston tietoturvataso selvitetään jo ennen ostopäätöstä: vain jos yrityksen tuote täyttää riittävän tietoturvatason, tietoturvaosasto antaa ostosuosituksen. Kun yritys liittyy osaksi Vismaa, se liitetään myös Visman tietoturvaohjelmaan.
Ostettavalle yritykselle tietoturvaohjelma merkitsee parempaa tietoutta ja tukea, sekä mahdollisuutta suunnitella omia tietoturvatyön resursseja ammattimaisella tavalla. Uudet Visma-yhtiöt ja -tuotteet pääsevät myös osaksi hyvin aktiivista Visman sisäistä tietoturvayhteisöä, josta löytyy laajalla skaalalla osaamista – apua on laajasti saatavilla tietoturvan parantamiseen.
VASP asettaa tuotteelle luokitustason sekä tavoitteet
VASP eli Visma Application Security Program on erityisesti pilvipalveluille suunniteltu tietoturvan seuranta- ja arviointiohjelma. Ohjelmistot luokitellaan riskitasoittain ja arvioidaan kypsyystasoiltaan pronssiksi, hopeaksi, kullaksi tai platinaksi. Arvioinnin jälkeen asetetaan tavoitetaso ja sen saavuttamiseen tehdään huolellinen suunnitelma.
Visman yritykset seuraavat tietoturvan kehittymistä pitkälti Visman sisäisten tietoturvaindeksien avulla. Visman tuotteiden tietoturvaohjelma koostuu lukuisista eri palveluista, joiden kautta tuotteen tietoturvaa tarkastellaan eri näkökulmista. Osa palveluista on tuotekehitystiimin itsearviotyökaluja, joilla tarkastellaan ylätason toteutuksia. Toinen osakokonaisuus palveluista käsittää useita markkinoiden parhaita tietoturvan automaatiotyökaluja, joilla tuotteen lähdekoodia, kolmannen osapuolen komponentteja ja mm. tuotteen käyttöliittymän tietoturvaa tarkastellaan lähes reaaliaikaisesti. Lisäksi ohjelma kattaa myös uhkatiedustelutiedon hyödyntämisen, manuaalisen penetraatiotestauksen sekä Bug bounty-ohjelman, johon tietoturvaltaan kypsimmät tuotteet pääsevät mukaan.
Ohjelman palveluiden tuottamat korjausehdotukset luokitellaan riskiperusteisesti ja riskit esitetään aina toimintakelpoisessa muodossa, kuten “korjaa tämä kriittinen haavoittuvuus”. Tulokset arvioidaan reaaliaikaisesti.
Ohjelmistojen tietoturvan seurantaa tehdään myös Visma-yhtiöiden hallitusten toimesta. Johtoryhmä raportoi ohjelmistojen tietoturvatilanteen ja kehityksen hallitukselle.
Visman tietoturvaohjelman edut
Tietoturvaohjelman avulla tuotteet saavuttavat tyypillisesti mm. seuraavia etuja:
- Ohjelmistossa on vähemmän haavoittuvuuksia
- Yritys tunnistaa haavoittuvuudet tehokkaammin ja ratkaisut löydetään nopeammin
- Luottamus asiakkaiden suuntaan on helpompi rakentaa
- Nopeasti muuttuvassa kyberuhkien maailmassa se tuo Visma-yrityksille mielenrauhaa.
Tietoturvaohjelma tukee lisäksi esimerkiksi yksityisyydensuojan kysymyksissä, helpottaen Visma-yritysten arkea lakien ja määräysten noudattamisessa. Jotta Visma-yritysten henkilöstö voi nukkua levollisin mielin, konsernin tietoturva-asiantuntijat valvovat myös ympärivuorokautisesti ennaltaehkäisyn ja kriisinhallinnan parissa.
Jakson kuvaus
afterIT
