“The law that mandates us is stronger than the consumer's rights” : what are the decisions related to authentication method selection?

Abstract

Loppukäyttäjän tunnistusmenetelmien valinnalle on olemassa erilaisia viitekehyksiä, mutta yksikään niistä ei ota kantaa organisaation näkökulmaan turvalliseen ohjelmistokehitykseen liittyen. Tutkimuksen tarkoituksena oli saada tietoa turvallisesta ohjelmistokehityksestä ja selittää, miten turvallisuusominaisuuksia implementoidaan kehitettäviin järjestelmiin. Tutkimus toteutettiin laadullisella menetelmällä, suorittamalla puolistrukturoituja haastatteluja seitsemälle suomalaisen IT-organisaation edustajalle. Aineisto analysoitiin temaattisella analyysillä ja tutkimuksen teoreettisena taustana käytettiin Anthonyn (1964) organisaation päätöksentekoprosessin viitekehystä. Tutkimus osoittaa, että turvallisen ohjelmistokehityksen eri vaiheissa toteutetaan erilaisia turvallisuusominaisuuksia. Yhtiön strategisen tason turvallisuuslinjaukset muunnetaan teknisiksi ohjeistuksiksi, jotka ohjaavat arkkitehtuuripäätöksiä, vaatimussuunnittelua, tunnistautumismenetelmän valintaa ja komponenttien integrointia. Anthonyn teorian vastaisesti, kehittäjien vaikutus päätöksentekoon voi olla huomattava; kehittäjät voivat asiantuntijoina valvoa korkean tason teknisiä päätöksiä, kuten arkkitehtuurisia ratkaisuja. He saattavat myös käyttää valtaa saadakseen aikaan muutoksia tiimin käyttämän kehitysmenetelmän valintaan virallisen turvallisuuspolitiikan vastaisesti. Tutkimus osoittaa, että sääntely on yrityksille suurin täytetyn vaatimuksen lähde, ja valintaperusteet tunnistautumismenetelmälle ovat samanlaiset kuin mihin tahansa komponenttiin liittyvät perusteet. Lisäksi tutkimus osoittaa, että järjestelmien kehittäjät eivät ota vastuuta nykyisten tunnistautumiskäytäntöjen ylläpitämisestä, vaan katsovat sen johtuvan sääntelystä.

There exist various frameworks for the selection of end-user authentication methods, but none of those takes a stand concerning the organizational point of view regarding secure software development. The purpose of this research was to gain insight into secure software development and explain how security features are implemented in the developed systems. The research was carried out using a qualitative method, conducting semi-structural interviews for seven participants from Finnish IT organizations. Data were processed by thematic analysis. The theoretical framework was Anthony’s (1964) organizational decision- making processes, and it was used in analysing the data. The research shows that different security features are implemented at different phases of secure software development. Security policies created at the company’s strategic level are transferred to technical instructions that guide architectural decisions, requirements engineering, the selection of authentication methods, and component integration. Contradicting Anthony’s theory, developers’ influence on decision-making is notable; developers as experts can oversee high-level technical decisions such as relating to the architectural resolution. They may also use power to gain changes counteracting official company policies such as the selection of development methods. The study shows that high regulation is the main source of requirements for companies and the selection criteria of authentication method is similar than relating to any component. It also shows that system developers do not take responsibility for maintaining the current authentication practice due to the reliance on regulation.