Evaluating and improving security compliance processes - Compliance process effects on secure software development

Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

School of Science | Master's thesis

Authors

Date

2025-04-25

Department

Major/Subject

Security and Cloud Computing

Mcode

Degree programme

Master's Programme in Computer, Communication and Information Sciences

Language

en

Pages

73

Series

Abstract

Security compliance processes exist to ensure that legal and regulatory requirements, industry practice, and organizational internal policies are followed. With the introduction of new laws and regulations, such as NIS2, these processes have to consider secure software development in more detail. However, there is still very little research on how security compliance processes actually affect security. This study aims to investigate how security compliance processes account for secure software development and what factors influence adherence to these processes. Grounded theory was used to assess and suggest improvements to the Aalto University compliance process. Ten interviews were conducted and used as a data source. The results showed that the adherence to security compliance processes is affected by factors such as process awareness, process complexity, attitudes, and normative beliefs. The study also revealed that the Aalto University compliance process does not account for many relevant aspects of secure development. Instead, a process that spreads throughout the entire lifecycle of a service and utilizes an SDL framework is required to positively impact secure development. Finally, process adherence, information quality, process design, and organizational cultures were identified as important improvement areas for the Aalto University security compliance process. These areas could be developed by spreading process awareness, simplifying requirements, removing unnecessary repetition, providing examples, taking a stronger stance on secure development, and improving employee attitudes toward compliance. Although compliance processes have the potential to positively affect secure software development, organizations need to design them with their employees in mind. Further research is still needed to fully understand how compliance processes affect secure software development and whether there are differences between different size organizations.

Organisaatiot käyttävät vaatimustenmukaisuusprosesseja osoittaakseen, että järjestelmät täyttävät lailliset vaatimukset ja noudattavat alan yleisiä käytäntöjä, sekä varmistaakseen sisäisten menettelytapojen noudattamisen. Uudet lait kuten NIS2 vaativat organisaatioita huomioimaan turvallisen ohjelmistokehityksen entistä tarkemmin. Tästä huolimatta vaatimustenmukaisuusprosessien vaikutusta turvalliseen ohjelmistokehitykseen ei ole juurikaan tutkittu. Tämä tutkimus pyrkii selvittämään, miten tietoturvavaatimustenmukaisuusprosessit ottavat huomioon turvallisen ohjelmistokehityksen ja mitkä tekijät vaikuttavat prosessin noudattamiseen. Tutkimuksessa arvioidaan Aalto-yliopiston vaatimustenmukaisuusprosessia Grounded Theory -menetelmää käyttäen. Tietolähteenä käytettiin kymmentä haastattelua. Tulokset osoittivat, että tietoisuus prosessista, prosessin monimutkaisuus, asenteet ja normatiiviset uskomukset vaikuttivat siihen, kuinka hyvin prosessia noudatettiin. Tutkimus paljasti myös, että Aalto-yliopiston vaatimustenmukaisuusprosessi ei ottanut huomioon useita turvalliselle ohjelmistokehitykselle tärkeitä osa-alueita. Sen sijaan tarvitaan prosessi, joka kattaa koko palvelun elinkaaren ja hyödyntää SDL (Security Development Lifecycle) -viitekehystä turvallisen kehityksen edistämiseksi. Muita tärkeitä tavoitteita prosessin kehittämisessä ovat tietoisuuden kasvattaminen sekä dokumentaation laadun ja vaatimustenmukaisuuskulttuurin parantaminen. Näihin tavoitteisiin pääseminen edellyttää tietoisuuden kasvattamista organisaatiossa, vaatimusten yksinkertaistamista, turhan toiston poistamista, esimerkkien antamista, panostusta turvalliseen ohjelmistokehitykseen sekä prosessin maineen parantamista. Vaatimustenmukaisuusprosesseilla voidaan edesauttaa turvallisen ohjelmistokehityksen toteutumista. Organisaatioiden pitää kuitenkin suunnitella omat prosessinsa työntekijöille soveltuviksi. Lisää tutkimusta tarvitaan, etenkin eri kokoisista organisaatioista, jotta vaatimustenmukaisuusprosessien vaikutusta turvalliseen ohjelmistokehtiykseen voitaisiin ymmärtää paremmin.

Description

Supervisor

Lindqvist, Janne

Thesis advisor

Suoranta, Sanna

Keywords

security, compliance process, software development, process adherence, nis2, sdl

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202505203919

Collections

[dipl] Perustieteiden korkeakoulu / SCI