Miltton terästää digitoimistoprofiiliaan

Milttonin digitiimi on pysynyt varsin samankaltaisena kuin mitä toimisto oli silloin kun se tunnettiin Buenana. Nyt työhön kuuluu vain myös Milttonin muiden asiakkuuksien palvelemista, ja toki muskelia on tullut lisää isojen kokonaisuuksien hallintaan.

Mikään räätälöityjen sovellusten tai vaativien integraatioiden erikoisosaaja Milttonin digitiimi ei ole, mutta erittäin laadukkaita ja sisällöllisesti monipuolisia verkkosivustoja tiimi puskee säännöllisesti verkkoon. Näin ainakin ulkoa katsoen, vaikuttaa liitos ison viestintäkonsernin kanssa varsin järkevältä. Ainahan nämä digitiimien yritysostot eivät onnistu, syystä tai toisesta, mutta nyt on ehkä sen verran jo aikaa kulunut, että tätä Milttonin yrityskauppaa voi pitää onnistuneena.

Milttonin digitiimi on toki luonteeltaan edelleen varsin pieni, joten kovin laajoihin kokonaisuuksiin ei tiimillä varmasti riitä resurssitkaan. Teknisen tiimin kuvaus omista toimintatavoistaan on kuitenkin vakuuttava, joten vaikka tiimi on pieni, eivät toimintamallit ole tavallisen mainostoimiston tasolla enää.

Projektien kokoluokat ovatkin Milttonilla astetta isommat, kuin mitä tämän kokoisella digitoimistolla ehkä yksinään toimiessa olisi. Milttonin sateenvarjon alla tehtävissä projekteissa on tyypillisesti enemmän sisältötyötä ja muita osapuolia, joten tämä selittänee pääosin projektien kokoluokan sijoittumisen usein yli 40 000 euron luokkaan. Tätä isompien hankekokonaisuuksien kohdalla kannattanee asiakkaiden kuitenkin olla tarkkana, koska pieni tiimi, edes alihankintakuviolla täydennettynä, ei välttämättä pysty kovin montaa isoa hanketta hoitamaan samalla kertaa.

Vierityspalkki kysyi Milttonin Juha Salmiselta digijengin toimintatavoista ja kokemuksesta.

Millainen toimisto Miltton Digital on nykyisin? Onko tapahtunut suuria muutoksia sen jälkeen kun Miltton osti Buenan vuonna 2021? Ainakin nykyisin toimitte selvemmin Milttonin sateenvarjon alla, mutta ilmeisesti muodostatte edelleen myös oman yksikkönne Milttonin sisällä?

Muodostamme edelleen oman tiimimme Milttonissa, tämä auttaa meitä kehittämään omaa tekemistämme myös itsenäisemmin muun talon kehittämisen lomassa. Digital-tiimimme on myös pysynyt pitkälti samankaltainsena kuin yrityskaupan aikaan. Muutamia henkilövaihdoksia on tullut minkä lisäksi olemme lähteneet kasvattamaan partneriverkostoa erilaisten teknisten kyvykkyyksien parantamiseksi. Meillä on yhteistyösopimus tamperelaisen JJ-Netin kanssa, jonka kautta voimme kasvattaa esim. devaajien määrää projekteissa ja leventää hartioitamme myös talon ulkopuolelle.

Millaisia projekteja teette Milttonissa, onko aina mukana WordPress vai onko muitakin teknologioita käytössä? Minkälaisista budjettiluokista puhutaan yleensä?

Keskitymme tällä hetkellä vahvasti WordPressiin, mutta tutkimme jatkuvasti myös uusia teknologioita ja niiden mahdollisuuksia. Tällä hetkellä erityisesti kiinnostaa AI kokonaisuudessaan: miten se muuttaa meidän työtämme, minkälaisia työkaluja & teknologioita on jo riittävässä kypsyysasteessa, että voisimme hyödyntää niitä ja mitä kaikkea on kehitteillä. Uskon, että AI-ratkaisut tulevat muuttamaan merkittävästi tapaamme toimia tulevaisuudessa ja tarjoavat myös mahdollisuuksia aivan uudentyyppisiin asiakkaille tarjottaviin ratkaisuihin.

Sivustoprojektiemme tyypillinen kokoluokka on n. 40-80k euroa. Näissä kokoluokissa pyörivät sivustot tarjoavat aidon mahdollisuuden tehdä sivustoista asiakasorganisaatioille työkaluja, jotka voivat esim. kasvattaa myyntiä suoraan, tehostaa sisäisiä prosesseja tai luoda arvoa asiakasdatan keräämisessä ja käytössä.

Onko projekteissa mukana yleensä muitakin osaajia Milttonista? Minkälaista hyötyä teille digiyksikkönä on siitä, että ympärillä on iso viestintätoimisto?

Pyrimme projekteissamme aina hyödyntämään parhaita mahdollisia asiantuntijoita koko talosta. Toimimme yhtenä Milttonina ja poikkiosaamista talosta sisältävät tiimit ovat arkipäivää. Saatamme yhdessä projektissa vaikkapa uudistaa asiakasyrityksen brändiä, tehdä viestintäsuunnitelmia ja implementoida ne uudenkarhealla webbisaitilla.

Millaista on teidän WordPress-erikoistuminen: Oletteko osallistuneet WordPress-yhteisön toimintaan tai julkaisseet joitain lisäosia avoimesti?

Emme varsinaisesti. Devaajillamme on omia harrasteprojektejaan ja kehityshankkeita mm. AI:n parissa, mutta suoraan WP-yhteisöön nämä eivät liity.

Kuinka monta ohjelmistokehittäjäksi luokiteltavaa henkilöä teillä on?

Meillä on 3 omaa devaajaa, minkä lisäksi kumppanimme kautta käytössä on useita lisää.

Millaisia ovat ohjelmistokehityskäytänteenne tyypillisessä hieman laajemmassa, myös joitain räätälöintejä sisältävässä projektissa?

Toteutettavaa verkkosivustoa tullaan testaamaan sen elinkaaren aikana useassa eri vaiheessa. Sivuston toteutusvaiheessa tärkeimpänä laadunvarmistusmenetelmänä toimivat automaattiset testaus- ja muotoilutyökalut sekä koodinkatselmoinnit (code reviews) ohjelmistokehittäjien välillä. Automaattisia työkaluja käytössämme ovat muun muassa X-Ray sekä tekoälyyn pohjautuva GitHub Co-Pilot. Koodikatselmointien tarkoituksena on käydä läpi vaihtoehtoisia toteutustapoja sekä löytää mahdollisia virhetoiminnallisuuksia. Tämän lisäksi toteutuksessa hyödynnämme tarvittaessa automatisoituja yksikkö- ja rajapintatestauksia, joilla voidaan varmistaa monimutkaisempien toteutusten oikeaoppinen toiminta.

Projektin loppuvaiheessa ennen sivuston julkaisua suoritamme sivuston teknisen ja visuaalisen testauksen yleisimpien selainten ja päätelaitteiden lisäksi käyttäen ulkopuolisia testausohjelmistoja, joita ovat mm:

• Koodin laatu ja tietoturva: X-Ray, Google Lighthouse
• Saavutettavuus ja käytettävyys: Salvia (AVI:n oma saavutettavuustestausohjelmisto), SiteImprove Google Lighthouse
• Suorituskyky ja hakukoneoptimointi: Rank Tracker, WooRank, Google Lighthouse ja Google Pagespeed

Elinkaaren ylläpitämiseksi päivitämme myös käyttämäämme pohjateemaa säännöllisesti ja tämän osalta uniikkiin ylläpitopalveluumme kuuluukin myös pohjateeman päivittäminen kaikille sitä käyttäville sivustoillemme. Näin voimme varmistua, että sivustojen pohjakoodi ei pääse vanhenemaan ja toteutus säilyy mahdollisimman ajantasaisena jatkuvasti.

Sivuston julkaisun jälkeen sivustojen saatavuutta ja tietoturvaa seurataan Uptime Robot- sekä Imunify360-palveluiden avulla. Sen lisäksi erikseen sovittaessa sivuston seurantaan voidaan automatisoida yllä mainitut testaustyökalut, jotta sivuston toiminnasta saadaan luotettavaa ja vertailukelpoista tilastotietoa.

Tekninen dokumentaatio

Toteutamme teknisen dokumentaation osana projektia, siihen sisältyvät kaikkien räätälöityjen ominaisuuksien kuvaukset, muun muassa:

• Tietomallin, eli sisältötyyppien ja taksonomioiden kuvaukset sekä tekniset ratkaisut
• WordPress-lisäosien kuvaukset ja käyttötarkoitukset
• Integraatioiden kuvaus
• Ylläpitoympäristön kuvaus
• Muiden merkittävien ominaisuuksien kuvaukset

Teknistä dokumentaatiota aletaan toteuttamaan teknisessä suunnitteluvaiheessa, ja se toimii samalla myös ohjenuorana teknisessä toteutuksessa. Dokumentaatiota käytetään myös lopputuloksen laadunvarmistuksessa ja asiakas voi käyttää sitä myös osana hyväksyntätestausta.

Verkkopalveluiden kehittäminen tapahtuu erillisessä kehitysympäristössä, joka vastaa teknisesti tuotantoympäristöä. Lisäksi hyödynnämme täysin tuotantoympäristöä vastaavaa staging-ympäristöä, jossa asiakkaan asiantuntijoilla on mahdollisuus hyväksymistestata uudet ominaisuudet. Palvelinten välillä on käytössä versiohallinta.

Hyödynnämme usein muuttuvissa näkymissä mahdollisuuksien mukaan automaattitestauksia, jotka toteutetaan pääsääntöisesti Robot Frameworkilla. Automaatiotestausten lisäksi testausta suoritetaan aina myös ihmisten toimesta. Mahdollisten uusien WordPress-lisäosien osalta selvitämme myös lisäosan kehittäjien taustat ja lisäosan historian ennen käyttöönottoa. Esimerkiksi lisäosan tietoturvahistoria ja versiopäivitysten tiheys tarkistetaan. Lisäksi pyrimme selvittämään kehittäjän mahdollisten muiden lisäosien historian ja maineen.

Miten huolehditte tietoturvasta asiakkaidenne sivustoille? Onko ylläpidossanne olevia sivustoja vastaan hyökätty, esimerkiksi palvelinestohyökkäyksellä? Jos kyllä, mitä tapahtui?

Verkkopalvelujen tietoturvan varmistamiseksi käytämme monitasoista lähestymistapaa. Sovellustasolla käytämme tunnettuja ja turvallisia avoimen lähdekoodin ja kaupallisia WordPress-lisäosia. Kaikki koodi tarkistetaan säännöllisesti haavoittuvuuksien varalta. Järjestelmätasolla käytämme palomuureja, DDoS-suojauksia ja haittaohjelmien skannereita. Palvelimella on myös konfiguroitu IPS/IDS (Intrusion Prevention/Detection Systems) parantaaksemme tietoturvaa.

WordPress-ympäristöön valittavat lisäosat valitaan huolellisesti. Seuraamme jatkuvasti alan tapahtumia, kuten käytettävien lisäosien palautteita. Kaikki lisäosat valitaan siten, että niillä on selkeä kehityshistoria, hyvät palautteet, nopea asiakastuki ja ne ovat menestyneet omissa testeissämme. Lisäosien määrä pyritään minimoimaan ja kaikki lisäosat valitaan vain tarkoituksenmukaisesti. Jokainen päivitys läpikäy ensin testausvaiheen testiympäristössämme ennen tuotantoon viemistä asiantuntijan toimesta. Seuraamme WordPressin tietoturvauutisia päivittäin ja tarvittaessa teemme kriittiset päivitykset WordPressiin tai sen lisäosiin viipymättä. Kaikki lisäosat tarkistetaan myös tietoturvahaavoittuvuuksien varalta ennen niiden asentamista ja säännöllisin väliajoin sen jälkeen. Mikäli tietoomme tulee tietoturvahaavoittuvuus johon lisäosassa, on tullut korjaus, pyritään kyseinen päivitys asentamaan pikimmiten, jotta voidaan varmistaa WordPressin tietoturva ja, että haavoittuvuutta ei päästä hyödyntämään missään tilanteessa.

Palvelinpuolella käytössämme on automaattiset seurannat, jotka seuraavat automaattisesti WordPressin ja sen lisäosien haavoittuvuuksia ja muuta mahdollisesti haitallisesta toiminnasta kertovaa toimintaa palvelimilla. Palvelinpuolen ohjelmistot, kuten nginx, php ja mysql päivitetään säännöllisesti. Seuraamme WordPress-koodien muuttumista.

Palvelinympäristössä käytetään ainoastaan päivitettyä ja tietoturvallista käyttöjärjestelmää ja sovelluksia. Palvelimille on asennettu palomuurit, DDoS-suojaukset ja 24/7 valvonta. Järjestelmä on suunniteltu myös katkaisemaan automaattisesti tuleva liikenne lähteistä, joissa havaitaan epäilyttävää toimintaa. Lisäksi teemme varmuuskopiot päivittäin ja säilytämme niitä vähintään kuukauden ajan.

Palvelinympäristömme on tuotettu Turussa sijaitsevasta laitesalista. Laitesali on rakennettu alusta alkaen ISO-luokitelluksi, korkean käytettävyyden tilaksi, joka on ympäristö- ja turvallisuusvalvottu 24/7. Laitesalin fyysinen suojaus on toteutettu kerroksittain ja sisäänkäynti rakennukseen sekä itse laitesaliin on eroteltu eri tunnisteiden taakse. Laitesalissa vierailevista henkilöistä pidetään kirjanpitoa, sekä vierailut tapahtuvat aina valvotusti. Laitesalin sähkönsyöttö on akku- ja generaattorivarmennettu. Laitekaapeille tarjotaan aina A ja B syötöistä, toisistaan riippumatonta virtaa. Internet-yhteydet on kahdennettu kahdella erillisellä Transit operaattorilla, ja kuitureitit lähtevät laitesalilta kahteen eri suuntaan (Helsinki ja Tampere).

Kaikki käytetyt palvelimet varmuuskopioidaan päivittäin erilliseen fyysiseen tilaan, johon pääsy on yhtäläisesti rajoitettua kuin varsinaiseen laitetilaankin. Palvelinten ohjelmistoversioita päivitetään tasaisesti kuukausisyklissä huoltoikkunoiden aikana. Päivityksiä voidaan myös asentaa tarpeen mukaan, mikäli kriittisiä tietoturvapäivityksiä tulee saataville huoltoikkunoiden ulkopuolisena aikana (arvioidaan aina tapauskohtaisesti). Palvelinympäristön hallintatunnukset ja pääsy tietosuojavaatimusten alaiseen dataan on rajattua.

Kaikista kirjautumisista ja vuorovaikutuksesta järjestelmien kanssa jää Audit-log jälki, josta voidaan todentaa, kuka toimenpiteen on suorittanut ja milloin se on suoritettu. Hyvien käytäntöjen mukaisesti henkilötietojen käsittelyä pyritään välttämään, mikäli se ei ole tarpeellista työtehtävien suorittamiseksi.

Verkkohyökkäysten ennaltaehkäisy ja torjunta

Palvelut tuotetaan verkkoympäristöstä, joka on täysin palvelutuottajamme hallinnoima aina Transit yhteyksistä alkaen. Verkkotasolla käytössä on useita toisistaan riippumattomia palveluntarjoajia, jotka on valittu siten, että nk. Blackhole & DDOS-pesuripalvelut ovat helposti ja nopeasti käytettävissä isojen verkkohyökkäyksien varalta. Kokonaisuutena suosittelemme myös Cloudflaren kaltaisen palvelun käyttöä DNS-tasolla, jolloin mahdollisessa hyökkäystilanteessa voidaan hyökkäystä torjua jo ennen liikenteen päätymistä verkkopalvelimelle.

Hyödynnämme verkkotason lisäksi myös applikaatiotason automatiikkaa, joka osaa reagoida hyökkäyksiin automaattisesti, ilman ihmisen toimenpiteitä. Palvelintasolla käytössämme on Imunify360-tuote, joka tarkkailee ja suodattaa verkkoliikennettä automaattisesti. Seuranta perustuu Imunifyn tekoälypohjaiseen ohjelmistoon, joka hyödyntää useita staattisia ja reaaliaikaisia tietokantoja tunnistaakseen epäilyttäviä liikennemalleja ja tiedostoja.

Imunify 360 myös tarkkailee palvelimella suoritettuja tiedostoja ja tekee automaattisesti hälytyksen ylläpidolle, mikäli ohjelmakoodi pyrkii suorittamaan erikoisia toimenpiteitä.

Ylläpito tarkastelee hälytyksiä aktiivisesti ja reagoi niihin aina tapauskohtaisesti sen vaatimalla tavalla. Tietoturvapoikkeamien tapauksessa verkkosivusto eristetään ylläpidon toimesta ja asiakasta kontaktoidaan jatkotoimenpiteistä. Epänormaalin verkkoliikenteen osalta asiakasta kontaktoidaan tarpeen mukaan, mikäli liikenne voidaan todeta erityisen kohdennetuksi tai se voidaan yksilöidä merkityksellisellä tavalla.

Millaista ylläpitoa ja jatkuvaa kehityspalvelua tarjoatte asiakkaillenne?

Hosting-palvelut toimittaa Milttonin alihankkija JJ-Net Group Oy, jolta Miltton hankkii palvelun. Toimimme kuitenkin aina asiakkaan kontaktipisteenä ja vastuullisena hoitaen tarvittavan yhteydenpidon palveluntarjoajaan.

Tarjoamme asiakkaillemme kiinteällä kuukausimaksulla myös sivustojen ylläpitopalvelua. Ylläpidon kiinteä kuukausimaksu on 350-500 €/kk/sivusto riippuen asiakkaan valitsemasta SLA-palvelutasosta. Kuukausimaksuun sisältyy WordPressin ja lisäosien päivitykset kerran kuussa, päivitysten jälkeinen testaus sekä sopimuksissa kuvatut ja sovitut palveluvasteajat. Teknistä käyttäjätukea annetaan pääsääntöisesti toimistoaikana (ma-pe klo 9-16, poislukien arkipyhät ja muut yleiset vapaapäivät). Muut mahdolliset palveluajat neuvotellaan aina erikseen asiakkaan kanssa.

Olemme erikoistuneet WordPress-verkkosivujen kehittämiseen ja ylläpitoon. Ylläpito kattaa palvelut palvelintilasta käyttötukeen ja pienkehitykseen. Pienkehitystä varten hyödynnämme yleisesti projektihallintatyökalua, kuten Active Collabia kehitysideoiden kokoamiseen, säilyttämiseen ja työaikojen arviointiin.

Tarkoituksena on pitää kaikki mahdollisimman avoimena ja reaaliaikaisena aina backlogista tuntikirjauksiin. Moderni projektihallintatyökalu sisältää myös kommentointimahdollisuuden ja chat-keskustelun. Käytettävät ratkaisut ajetaan lähtökohtaisesti omilla Suomessa sijaitsevilla palvelimilla parhaan mahdollisen tietosuojan saavuttamiseksi. Päivittäisten kirjausten lisäksi aktiivisesti kehitettävissä verkkopalveluissa tapaamme vähintään kerran kuukaudessa etä- tai lähikokouksen merkeissä, jossa käydään läpi kuukauden aikana tehdyt havainnot ja palautteet, sekä tehty kehitys työaikoineen. Lisäksi määritellään seuraavan kuukauden suoritettavat tehtävät ja niihin suunnitellut työajat. Kokousten muistiinpanot tallentuvat osaksi projektihallintaa.

Projektihallinnan lisäksi käytössä on helpdeskimme, joka ottaa vastaan palautetta verkkopalveluun liittyen. Myös Helpdeskiin saapuneet yhteydenotot kirjataan asiakastietoihin ja ne käydään läpi kuukausipalaverissa.

Mikä on teidän tyypillinen päivähintanne ohjelmistokehitykseen?

Tämä riippuu vähän kokonaisuudesta, mutta keskimäärin n. 975 euroa.

Millaista on tehdä projektia teidän kanssa asiakkaan näkökulmasta?

Muokkaamme asiakkaalle näkyvät projektikäytäntömme aina heidän toiveittensa mukaan, mutta sisäisesti toimimme aina tietyn prosessin mukaan. Aloitamme projektin asiakkaan kanssa yhteisellä kick-offilla ja määrittelyllä, jossa sovimme projektiin liittyvät käytännöt, käytettävät työkalut, palaverikäytännöt, projektitiimiläisten vastuualueet ja -henkilöt sekä käymme projektisuunnitelman yhdessä läpi.

Useimmiten (asiakkaan toiveista ja projektien muodosta riippuen) pidämme asiakkaan kanssa weekly-palavereja. Näihin tehdään selkeät agendat ja palavereista muistiinpanot. Useimmiten weeklyt keskittyvät tehdyn työn läpikäyntiin. Vahvemmin yhteissuunnitteluun pohjautuvissa työvaiheissa (konseptityön eri vaiheet) työstämme työpajoissa asioista parhaan mahdollisen näkemyksen yhdessä asiakkaan kanssa.

Projektinhallinnan työkaluna käytämme Monday.comia, johon asiakkaalla on aina ajantasainen pääsy tarkistamaan projektin rakenne, eteneminen ja vastuuhenkilöt tehtävätasolla, sekä kommentoimaan eri vaiheita. Kun kehitysympäristö on pystyssä, saa asiakas halutessaan pääsyn siihen. Mikäli sisällönsyöttö on sovittu asiakkaan tehtäväksi, autamme heitä luonnollisesti koulutuksien yms muodossa tarvittavassa määrin.

Kaiken kaikkiaan asiakkailta saatu palaute on ollut positiivista ja olemme saaneet paljon kiitosta siitä, että meidän kanssa on helppoa, sujuvaa ja yksinkertaisesti kivaa tehdä yhteistyötä. Otamme myös rakentavat palautteet aina mielellämme vastaan, sillä haluamme kehittyä tiiminä ja kehittää omaa prosessiamme timantinlujaksi.

>> Miltton Toimistot-hakemistossa

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 1000 tilaajaa).