ISO 27001 information security management standard’s implementation in software development environment : a case study
Authors
Date
2020Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
ISO 27001 -tietoturvastandardi ohjaa organisaatiot arvioimaan ja dokumentoimaan tietoturvaprosessejaan. Tietoturvastandardeja on kritisoitu pelkkien prosessien olemassaoloon keskittymiseen prosessien sisällöllisten seikkojen kustannuksella. Tämän Pro Gradu -tutkielman tarkoituksena on arvioida ISO 27001: n soveltuvuutta ohjelmistokehitysympäristöön ja sen vaikutusta työntekijöiden käyttäytymiseen ja kokemuksiin turvallisesta ohjelmistokehityksestä. Tutkielmassa havainnoitiin näitä ilmiöitä seuraavien tutkimuskysymysten avulla: "Kuinka työntekijät kokevat ISO 27001 -standardin käyttöönoton ohjelmistokehitysympäristössä?", "Millaisia ristiriitoja saattaa ilmetä ISO / IEC 27001 -standardivaatimusten ja päivittäisen työn välillä?" ja "Kuinka kohdeyksikkö käsittelee ISO / IEC 27001 -standardin vaatimusten ja päivittäisen työn välisiä ristiriitoja?". Tämä tutkielma koostettiin kirjallisuuskatsauksesta ja empiirisestä tutkimuksesta, joka toteutettiin laadullisena tapaustutkimuksena. Tutkimuksen data kerättiin tekemällä semistrukturoituja haastatteluja ICT-alalla toimivassa organisaatiossa. Kohdeorganisaatio oli ostanut ohjelmistokehitysyrityksen, joka oston jälkeen sulautettiin organisaatioon ohjelmistokehitysyksiköksi. Tutkimuskysymyksiä havainnoitiin ohjelmistokehitysyksikössä kontekstualisointiviitekehyksen ja eri haastatteluteemojen kautta. Teemat käsittelivät kohdeyksikön tietoturvakulttuurin ja käytäntöjen muutosta, ISO 27001:n jalkauttamisprosessia ja työntekijöiden kokemuksia prosessista ja muutoksista. Tutkimuksen tulokset osoittavat, että ISO 27001 voi vaikuttaa työntekijöiden asenteisiin ja tietoturvakäytänteiden noudattamiseen. Toisaalta ISO 27001 aiheuttaa ristiriitoja standardin vaatimusten ja organisaation käytännön vaatimusten välillä. Ristiriidat liittyivät erityisesti koodikatselmoinnin ja kurinpitotoimien dokumentoitiin. Koodikatselmoinnin haasteet ratkaistiin tunnettujen haavoittuvuuksien arviointimekanismeihin nojaten. Kurinpitotoimiin liittyvää ristiriitaa ei saatu täysin ratkaistua: organisaation oli vastattava standardin osittain soveltumattomiin vaatimuksiin, mutta auditoinnin jälkeen kurinpitotoimenpiteet ja niistä kommunikointi ovat jääneet taka-alalle. Tutkimuksen tulokset osoittavat, että kuten projekteissa, myös tietoturvastandardin jalkauttamisessa työntekijöiden osallistuminen, johdon tuki ja riittävä viestintä ovat ratkaisevan tärkeitä työntekijöiden positiivisten kokemusten lisäämiseksi.
...
ISO 27001 information security management standard provides guidelines to organizations to evaluate and document their information security processes. However, information security management standards have been criticized to focus on the existence of the process but not its actual content. This Master’s Thesis aims to assess ISO 27001’s suitability to software development environment and its impact on employees’ practices and experiences in secure soft-ware development. This thesis observed these phenomena through the following research questions: “How employees experience the ISO 27001 standard’s implementation in a software development environment?”, “What kind of conflicts might appear between ISO 27001 standard requirements and day-to-day work?” and “How the target unit resolves the conflicts between ISO 27001 standard requirements and day-to-day work?”. This thesis consists of a literature review and an empirical research which was conducted as a qualitative case study. The study’s data was collected by conducting semi-structured interviews in an organization operating in ICT. The target organization had acquired a software development company which was merged to the organization as a software development unit. The research questions were observed in the software development unit through a contextualisation framework and research themes that revolved around changes in target unit’s information security culture and practices, process of ISO 27001 implementation and employees’ experiences of the process and changes. The results of the study propose that ISO 27001 can influence employees’ attitudes and compliance towards information security policies. On the other hand, ISO 27001 causes conflicts between its requirements and organization’s practical demands. In this study, the conflicts were related to code reviewing and disciplinary measures documentation. The code reviewing process was resolved based on known vulnerability assessment mechanisms. Conflicts related to disciplinary measures were not fully resolved: the target organization had to answer to the unsuitable standard requirements but after the auditing the disciplinary measures got relegated to the background. The findings of the study indicate that as in projects, in information security management standard implementation employees’ involvement, management’s support and sufficient communication are crucial to make the employees’ experiences more positive.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29561]
Related items
Showing items with similar title or keywords.
-
Secure software design and development : towards practical models for implementing information security into the requirements engineering process
Väyrynen, Aino-Maria; Räisänen, Elina (2020)Vaatimusmäärittelyprosessin tavoitteena on kerätä ja jalostaa ratkaisuiksi tuotteen tai palvelun sidosryhmiksi tunnistettujen osapuolten ajatuksia ja tarpeita. Näiden ratkaisujen avulla poistetaan asiakkaan liiketoiminnassa ... -
The Place and Role of Security Patterns in Software Development Process
Mazhelis, Oleksiy; Naumenko, Anton (Insticc press, 2006)Security is one of the key quality attributes for many contemporary software products. Designing, developing, and maintaining such software necessitates the use of a secure-software development process which specifies how ... -
Towards a Security Competence of Software Developers : A Literature Review
Assyne, Nana (IGI Global, 2020)Software growth has been explosive as people depend heavily on software on daily basis. Software development is a human-intensive effort, and developers' competence in software security is essential for secure software ... -
Selection of open-source web vulnerability scanner as testing tool in continuous software development
Riepponen, Mika (2024)Tietoturva on kriittinen osa web sovelluksia ja haavoittuvuudet tulisi ennaltaehkäistä tai tunnistaa sekä korjata mahdollisimman aikaisin ohjelmiston kehitysprosessissa. Tämän tutkimuksen tarkoitus on määrittää kuinka hyvin ... -
Omission of Quality Software Development Practices : A Systematic Literature Review
Ghanbari, Hadi; Vartiainen, Tero; Siponen, Mikko (Association for Computing Machinery (ACM), 2018)Software deficiencies are minimized by utilizing recommended software development and quality assurance practices. However, these recommended practices (i.e., quality practices) become ineffective if software professionals ...