Investigating trust relationships between software development teams and information security stakeholders

Abstract

Smidig utvikling har de siste tiårene fått stor oppmerksomhet i IT-industrien og forskningsmiljøet. Utviklingsmetodikken har introdusert mange fordeler for programvareleveranse, blant annet et større fokus på tverrfaglig samarbeid samt raske og hyppige leveranser. Men smidig utvikling har også ført til bekymringer knyttet til sikkerheten til IT-systemene og programvaren utviklet med metodikken. Sikkerhetspersonell rapporterer om at de ikke klarer å holde følge med det høye utviklingstempoet til smidig utvikling. De rapporterer også om problemer med samarbeid mellom ansatte i sikkerhetsroller og utviklere. Smidig utvikling er en metode som baserer seg mye på menneskelige faktorer og samarbeid, og det trengs mer forskning på dette feltet for å løse samarbeidsproblematikken. Tillit i team har vist seg å ha positive konsekvenser for samarbeid og effektivitet. Denne studien undersøker tillitsrelasjoner mellom utviklerteam og sikkerhetsaktører rundt teamet og hvordan tillitsrelasjonene påvirker arbeidet med informasjonssikkerhet i teamene. For å undersøke dette, har vi gjennomført en multiple-case studie med semi-strukturerte intervjuer. Våre funn indikerer at tillitsrelasjoner mellom utviklerteam og sikkerhetsaktører påvirker arbeidsprosessen med informasjonssikkerhet. Utfordringene relatert til troverdighetsfaktorer ble stort sett funnet i én retning av forholdet: når utviklerteamet er den som skal stole på sikkerhetsaktøren. Vi har funnet utfordringer relatert til fire troverdighetsfaktorer; evne, forutsigbarhet, transparens og velvilje. Funn om konsekvenser viser at det var mest prosessrelaterte konsekvenser; utviklere tar snarveier, ineffektiv kommunikasjon mellom aktørene og mangel på motivasjon for å engasjere seg i informasjonssikkerhetsarbeid. Til slutt, foreslår vi anbefalinger for å bygge tillit mellom utviklerteamet og sikkerhetsaktøren for å bedre arbeidet med informasjonssikkerhet i utviklerteam.

Agile development has gained widespread adoption in the industry and attention in the academic communities. The development methodology has introduced many advantages for the software delivery of the IT solutions, such as a greater focus on interdisciplinary cooperation and early time to market. However, the fast-paced nature of agile development has resulted in concerns regarding the security of the IT solutions being developed. Security practitioners have reported being unable to keep up with the pace of software releases and issues related to cooperation between security practitioners and development teams. There is a need for more research on human-related factors to improve the issues with collaboration. This study investigates trust relationships between development teams and security stakeholders to determine how it affects the work with information security. High levels of team trust have been shown to have beneficial effects on cooperation and team performance. To further investigate trust relationships and the consequences, we have conducted a multiple-case study with semi-structured interviews. Our findings suggest that the trust relationships between the development team and the stakeholder affect the work process related to information security work. The challenges associated with trustworthiness factors are primarily encountered in one direction of analysis; the development team being the trustor and the security stakeholder being the trustee. Challenges are found to be related to four perceived trustworthiness factors: ability, predictability, transparency and benevolence. The consequences of these challenges related to information security work were found to be primarily process-related; developers taking shortcuts, inefficient feedback cycles and a lack of motivation to engage in security work. We provide four recommendations for building trust between the development team and the security stakeholder to improve the work-related information security processes.