Analysis of a software security self-assessment tool : Case company: Visma
Häyrynen, Elmer (2021)
Diplomityö
Häyrynen, Elmer
2021
School of Engineering Science, Tietotekniikka
Kaikki oikeudet pidätetään.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2021120859480
https://urn.fi/URN:NBN:fi-fe2021120859480
Tiivistelmä
Ensuring the security of a software product is an increasingly crucial task in the modern software development industry. To be able to assess if our software is secure, we must inspect a multitude of software security related topics, such as ensuring that best practices regarding software security are being used and that software security related processes and monitoring are established and sufficient. In addition to ensuring security, modern software is often required to comply with different legislations and standards, depending on the type of software and the area of operation for the company, which leads to even more topics to address. This study focuses in analyzing and examining the software security self-assessment tool in use at Visma on the time of writing this thesis, which is a tool designed to address these topics, and to ensure that all Visma’s software products comply with the corresponding software security-, and legislative requirements. The software security self-assessment tool is analyzed from the perspective of literature, other similar tools present in the industry, and through a user study, to present a general overview of the tool alongside identified potential improvements regarding it. As a conclusion, the proceedings of the improvement suggestions are assessed, and additionally the security self-assessment tool is examined from a broad perspective, and its benefits, capabilities and limitations as a tool are addressed. Modernissa sovelluskehityksessä riittävän tietoturvatason varmistaminen on alati tärkeämpää. Tietoturvatason arvioimiseksi on tarkasteltava useita tietoturvan eri osa-alueita, kuten tietoturvallisten käytäntöjen noudattamista sovelluksessa, sekä tietoturvaan liittyvien prosessien sekä valvonnan toteutumista ja tasoa. Tietoturvan varmistaminen ei myöskään yksinään riitä, vaan nykymaailmassa sovellusten täytyy myös sovelluksen tyypistä sekä markkina-alueesta riippuen olla yhteensopiva erilaisten lainsäädännöllisten seikkojen sekä standardien kanssa, mikä puolestaan lisää entisestään tarkateltavien osa-alueiden määrää. Tässä työssä keskitytään analysoimaan Vismalla työn kirjoituksen hetkellä käytössä olevaa tietoturvan itsearviointityökalua, jonka tarkoitus on käsitellä edellä mainittuja osa-alueita ja varmistaa, että konsernin sovellukset täyttävät niihin kohdistuvat vaatimukset sekä tietoturvan että lainsäädännön osalta. Kirjallisuuteen, muihin sovelluskehityksen teollisuudessa käytettyihin malleihin sekä käyttäjätutkimukseen perustuvan analyysin lopputuloksena muodostetaan yleiskuva nykyisestä mallista, sekä esitellään tutkimuksessa tunnistetut parannusehdotukset. Johtopäätöksenä tarkastellaan tutkimustulosten seuraamuksia, sekä korkeammalla tasolla itsearviointityökalun etuja, mahdollisuuksia sekä rajoituksia.