Kriittisten tietojärjestelmien kehittäminen riskiperustaisen kypsyysmallin avulla

Riskien hallinta on yksi tietojärjestelmätieteen kulmakivistä. Tietojärjestelmien avulla yritykset suorittavat ja tehostavat liiketoimintojaan sekä julkiset tahot kuten valtiot suorittavat operaatioitaan. Samalla kun tietojärjestelmien avulla minimoidaan riskejä ajantasaistamalla järjestelmiä sekä uusimalla toimintatapoja on, tärkeää tunnistaa myös muuttuneiden ratkaisuiden ja toimintatapojen uudet riskitekijät sekä riskitekijöiden sidokset kehitettäviin järjestelmiin. Perinteisesti riskejä hallitaan projektihallinnan tukena olevien menetelmien avulla. Tietojärjestelmät ovat kuitenkin yhä useammin läsnä operaatioissa, joiden toimimattomuus voi uhata jopa ihmisten terveyttä ja turvallisuutta. Esimerkiksi lääkintälaiteteollisuudessa ohjelmistojen toimimattomuus voi laukasta vakavimmillaan ihmisen terveyttä uhkaavia vakavia riskitekijöitä sekä vaaratilanteita. Tieto joilla saavutetaan ymmärrys eri standardien toimivuudesta, on tunnistettu tärkeäksi aikaisemmissa tietojärjestelmätieteen tutkimuksissa (Oehmen ym., 2014). Koostetun taustateorian, eli kirjallisuuskatsauksen lähtökohdat ovat ohjelmistojen kehittäminen ja riskienhallinta. Taustateoriassa huomioitiin myös lääkintälaitedirektiivin (Medical Device Directive (MDD) käytäntöjä sekä tarkasteltiin kypsyysmalliin liittyviä tekijöitä. Taustateorian pohjalta kehitettiin tutkimuksen artefakti, ohjelmistojen turvallisuuteen ja riskienhallintaan tähtäävä kypsyysmalli. Kypsyysmalli fokusoituu ihmiskeskeiseen lähestymistapaan, jossa tunnistetaan myös yksilöä, yhteisöä, yhteiskuntaa tai ympäristöä uhkaavia vaaratekijöitä tietojärjestelmätieteen näkökulmasta. Kypsyysmalli ohjaa omaksumaan riskienhallinnan organisaatioiden toiminnan keskiöön riskiperustaisesti sekä koostaa lääkintälaiteteollisuuden parhaita käytäntöjä toimialariippumattomasti. Lääkintälaitedirektiivin kanssa yhteensopivaa, sen parhaita käytäntöjä sisältävää itsearviointimallia, ei tutkimuksen aloitusvaiheessa tunnistettu olevan. Syntyneen artefaktin arkkitehtuurirakenne on poikkeuksellinen nykyisiin viitekehyksiin verrattuna. Pro Gradu on toteutettu perehtymällä aihealueen kirjallisuuteen ja artikkeleihin. Tutkimuksessa käytettiin Design Science Research (DSR) process mallia. Syntyneitä tutkimustuloksia analysoidaan puolestaan tietämyksen kontribuutio viitekehyksen kautta. Tietämyksen kontribuutio määrittelee, että todellinen keksintö eroaa selkeästi tyypillisistä ja vallalla olevista ajattelutavoista sekä toimintatavoista (Gregor & Hevner, 2013).