Kriittisten tietojärjestelmien kehittäminen riskiperustaisen kypsyysmallin avulla

Abstract

Riskien hallinta on yksi tietojärjestelmätieteen kulmakivistä. Tietojärjestelmien avulla yritykset suorittavat ja tehostavat liiketoimintojaan sekä julkiset tahot kuten valtiot suorittavat operaatioitaan. Samalla kun tietojärjestelmien avulla minimoidaan riskejä ajantasaistamalla järjestelmiä sekä uusimalla toimintatapoja on, tärkeää tunnistaa myös muuttuneiden ratkaisuiden ja toimintatapojen uudet riskitekijät sekä riskitekijöiden sidokset kehitettäviin järjestelmiin. Perinteisesti riskejä hallitaan projektihallinnan tukena olevien menetelmien avulla. Tietojärjestelmät ovat kuitenkin yhä useammin läsnä operaatioissa, joiden toimimattomuus voi uhata jopa ihmisten terveyttä ja turvallisuutta. Esimerkiksi lääkintälaiteteollisuudessa ohjelmistojen toimimattomuus voi laukasta vakavimmillaan ihmisen terveyttä uhkaavia vakavia riskitekijöitä sekä vaaratilanteita. Tieto joilla saavutetaan ymmärrys eri standardien toimivuudesta, on tunnistettu tärkeäksi aikaisemmissa tietojärjestelmätieteen tutkimuksissa (Oehmen ym., 2014).

Koostetun taustateorian, eli kirjallisuuskatsauksen lähtökohdat ovat ohjelmistojen kehittäminen ja riskienhallinta. Taustateoriassa huomioitiin myös lääkintälaitedirektiivin (Medical Device Directive (MDD) käytäntöjä sekä tarkasteltiin kypsyysmalliin liittyviä tekijöitä. Taustateorian pohjalta kehitettiin tutkimuksen artefakti, ohjelmistojen turvallisuuteen ja riskienhallintaan tähtäävä kypsyysmalli. Kypsyysmalli fokusoituu ihmiskeskeiseen lähestymistapaan, jossa tunnistetaan myös yksilöä, yhteisöä, yhteiskuntaa tai ympäristöä uhkaavia vaaratekijöitä tietojärjestelmätieteen näkökulmasta. Kypsyysmalli ohjaa omaksumaan riskienhallinnan organisaatioiden toiminnan keskiöön riskiperustaisesti sekä koostaa lääkintälaiteteollisuuden parhaita käytäntöjä toimialariippumattomasti. Lääkintälaitedirektiivin kanssa yhteensopivaa, sen parhaita käytäntöjä sisältävää itsearviointimallia, ei tutkimuksen aloitusvaiheessa tunnistettu olevan. Syntyneen artefaktin arkkitehtuurirakenne on poikkeuksellinen nykyisiin viitekehyksiin verrattuna. Pro Gradu on toteutettu perehtymällä aihealueen kirjallisuuteen ja artikkeleihin. Tutkimuksessa käytettiin Design Science Research (DSR) process mallia. Syntyneitä tutkimustuloksia analysoidaan puolestaan tietämyksen kontribuutio viitekehyksen kautta. Tietämyksen kontribuutio määrittelee, että todellinen keksintö eroaa selkeästi tyypillisistä ja vallalla olevista ajattelutavoista sekä toimintatavoista (Gregor & Hevner, 2013).

Risk-based critical information system development with risk management maturity model.

Risk management is one of the key item in the information system science. Today, ICT enables all kind business and business operations in public and private sector organizations. While information systems remodel business practices, way of working and minimizes the recognized risks, it is also important to identify new potential risks and risk factors in the systems which will be developed and used in the operations. Information systems are increasingly used in operations where non-working systems may even affect human lives. For example, in the Medical Device Directive (MDD) related systems or other similar critical area, non-working systems can impact the most serious threats and affect individuals or even larger communities. In the fact, IT systems could be used in the operations where the worst scenario risk can cause catastrophe and affect human lives. Understanding performance of the various directives, has been identified as important in previous information science studies. (Oehmen ym., 2014).

Pro Gradu has been executed through the literature and articles of the topic. The topics are risk management in the software development area with the special perspectives. In example, the special features of the Medical Device Directive (MDD) were considered as well as the maturity model factors. Based on literature review, constructed artefact, the maturity model brings on a human-oriented approach in the system development and risk management area. The artefact architectural structure presents risk-based activities in the three special risk categories and it guides organizations to naturalize risk-based ideology in the heart of the operations. Artefact is the industry independent self-assessment model with MDD compatible best practices. Best practices are clas-sified new way in the artefact architecture. This kind risk maturity model has not been identified at the start of the research. The architecture of the created artefacts is exceptional compared to the present reference frames. The research utilized the Design Science Research (DSR) process. The results of the research are analysed through the contribution of the knowledge framework. The real invention differs clearly from typical mindset and way of working. (Gregor & Hevner, 2013).