Software developers’ secure coding needs in the financial sector : a case study

Abstract

Tässä tutkimuksessa tarkastellaan ohjelmistokehittäjien tietoturvallisen koodaamisen osaamista ja koulutustarpeita. Tutkimuksen tavoitteena on selvittää ohjelmistokehittäjien koulutustaustaa, oman ammattiosaamisen kehittämiseen ja tietoturvallisen koodaamisen lisäkoulutukseen suhtautumista sekä heidän koulutustarpeitaan.

Tutkimus toteutettiin kvalitatiivisen teemahaastattelun muodossa asiakasyrityksessä. Haastatteluihin osallistui viisi ohjelmistokehittäjää asiakasyrityksestä. Kaikilla haastatteluihin henkilöille oli vankka osaaminen tietoturvaosaamisen osalta, joten osallistujien ei voida ajatella edustavan perusjoukkoa laaja-alaisesti. Haastattelut analysoitiin laadullisin menetelmin teemoittelun avulla.

Tutkimukseen osallistuneet henkilöt ovat saaneet aiemmissa opinnoissaan hyvin suppean koulutuksen tai olemattoman tietoturvaan liittyvän koulutukseen ja ammattitaito on enimmäkseen hankittu työn ohella käytännössä. Tämän lisäksi myös formaali lisäkoulutus on ollut vähäistä.

Ohjelmistokehittäjät suhtautuvat oman ammattiosaamisen kehittämiseen positiivisesti ja kaikilla tutkimukseen osallistuneilla henkilöillä on korkea sisäinen motivaatio, joka ohjaa heitä uusien tietoturva-asioiden oppimisen osalta. Haastateltavat suhtautuvat innokkaasti ja positiivisesti oman ammattitaitonsa kehittämiseen siitä huolimatta, että he eivät aina koe työpaikalla tapahtuvia koulutuksia kiinnostaviksi.

Tutkimukseen osallistuvat henkilöt toimivat finanssialalla, joka on osa kriittistä infrastruktuuria. Heidän järjestelmänsä sisältävät salassa pidettävää tietoa, joten on tietoturvataidot ohjelmoinnin osalta ovat merkittävä osa ohjelmistokehittäjien työnkuvaa. Tutkimuksen pitemmän aikavälin tavoitteena on, että sen tuloksia voidaan käyttää ohjelmistokehittäjien tietoturvakoulutuksen ja koulutuspolun kehittämiseen.

This thesis examines software developers’ secure coding trainings and training needs in a case organization. The objective of the research is to discover the software developers’ educational background related to secure software development and secure coding, their attitudes towards developing own expertise and workplace training, and their secure coding training needs.

The research was conducted with qualitative research design in a case organization, and the desired strategy of inquiry was a case study. Four employees from the case organization were interviewed. They all have years of expertise in secure software development; therefore, the participants cannot be seen as representing the population in broad sense. The interviews were analyzed using qualitative methods dividing subjects into themes.

The interviewees have received very limited coding training in their previous studies and so is their professional expertise gained mainly through in practice alongside. The skills development has mainly relied on every individual’s personal interest, as the organization has not consistently provided workplace trainings. Software developers have a positive attitude towards developing their own professional expertise, and all the participants have a high intrinsic motivation that guides them in learning new. Even though workplace trainings are generally viewed negatively, self-development is perceived important.

The participants in the study operate in the financial sector, which can be seen as critical infrastructure. Their systems contain confidential information. As a result, security skills are a significant part of the job description of software developers. The longer-term goal of the study is that its results can be used to develop secure coding training program for software developers.