ISO 27001 information security management standard’s implementation in software development environment : a case study

Abstract

ISO 27001 -tietoturvastandardi ohjaa organisaatiot arvioimaan ja dokumentoimaan tietoturvaprosessejaan. Tietoturvastandardeja on kritisoitu pelkkien prosessien olemassaoloon keskittymiseen prosessien sisällöllisten seikkojen kustannuksella. Tämän Pro Gradu -tutkielman tarkoituksena on arvioida ISO 27001: n soveltuvuutta ohjelmistokehitysympäristöön ja sen vaikutusta työntekijöiden käyttäytymiseen ja kokemuksiin turvallisesta ohjelmistokehityksestä. Tutkielmassa havainnoitiin näitä ilmiöitä seuraavien tutkimuskysymysten avulla: "Kuinka työntekijät kokevat ISO 27001 -standardin käyttöönoton ohjelmistokehitysympäristössä?", "Millaisia ristiriitoja saattaa ilmetä ISO / IEC 27001 -standardivaatimusten ja päivittäisen työn välillä?" ja "Kuinka kohdeyksikkö käsittelee ISO / IEC 27001 -standardin vaatimusten ja päivittäisen työn välisiä ristiriitoja?". Tämä tutkielma koostettiin kirjallisuuskatsauksesta ja empiirisestä tutkimuksesta, joka toteutettiin laadullisena tapaustutkimuksena. Tutkimuksen data kerättiin tekemällä semistrukturoituja haastatteluja ICT-alalla toimivassa organisaatiossa. Kohdeorganisaatio oli ostanut ohjelmistokehitysyrityksen, joka oston jälkeen sulautettiin organisaatioon ohjelmistokehitysyksiköksi. Tutkimuskysymyksiä havainnoitiin ohjelmistokehitysyksikössä kontekstualisointiviitekehyksen ja eri haastatteluteemojen kautta. Teemat käsittelivät kohdeyksikön tietoturvakulttuurin ja käytäntöjen muutosta, ISO 27001:n jalkauttamisprosessia ja työntekijöiden kokemuksia prosessista ja muutoksista. Tutkimuksen tulokset osoittavat, että ISO 27001 voi vaikuttaa työntekijöiden asenteisiin ja tietoturvakäytänteiden noudattamiseen. Toisaalta ISO 27001 aiheuttaa ristiriitoja standardin vaatimusten ja organisaation käytännön vaatimusten välillä. Ristiriidat liittyivät erityisesti koodikatselmoinnin ja kurinpitotoimien dokumentoitiin. Koodikatselmoinnin haasteet ratkaistiin tunnettujen haavoittuvuuksien arviointimekanismeihin nojaten. Kurinpitotoimiin liittyvää ristiriitaa ei saatu täysin ratkaistua: organisaation oli vastattava standardin osittain soveltumattomiin vaatimuksiin, mutta auditoinnin jälkeen kurinpitotoimenpiteet ja niistä kommunikointi ovat jääneet taka-alalle. Tutkimuksen tulokset osoittavat, että kuten projekteissa, myös tietoturvastandardin jalkauttamisessa työntekijöiden osallistuminen, johdon tuki ja riittävä viestintä ovat ratkaisevan tärkeitä työntekijöiden positiivisten kokemusten lisäämiseksi.

ISO 27001 information security management standard provides guidelines to organizations to evaluate and document their information security processes. However, information security management standards have been criticized to focus on the existence of the process but not its actual content. This Master’s Thesis aims to assess ISO 27001’s suitability to software development environment and its impact on employees’ practices and experiences in secure soft-ware development. This thesis observed these phenomena through the following research questions: “How employees experience the ISO 27001 standard’s implementation in a software development environment?”, “What kind of conflicts might appear between ISO 27001 standard requirements and day-to-day work?” and “How the target unit resolves the conflicts between ISO 27001 standard requirements and day-to-day work?”. This thesis consists of a literature review and an empirical research which was conducted as a qualitative case study. The study’s data was collected by conducting semi-structured interviews in an organization operating in ICT. The target organization had acquired a software development company which was merged to the organization as a software development unit. The research questions were observed in the software development unit through a contextualisation framework and research themes that revolved around changes in target unit’s information security culture and practices, process of ISO 27001 implementation and employees’ experiences of the process and changes. The results of the study propose that ISO 27001 can influence employees’ attitudes and compliance towards information security policies. On the other hand, ISO 27001 causes conflicts between its requirements and organization’s practical demands. In this study, the conflicts were related to code reviewing and disciplinary measures documentation. The code reviewing process was resolved based on known vulnerability assessment mechanisms. Conflicts related to disciplinary measures were not fully resolved: the target organization had to answer to the unsuitable standard requirements but after the auditing the disciplinary measures got relegated to the background. The findings of the study indicate that as in projects, in information security management standard implementation employees’ involvement, management’s support and sufficient communication are crucial to make the employees’ experiences more positive.