Applying onboarding theory on the security champion program
Paavilainen, Matti (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022061618128
https://urn.fi/URN:NBN:fi:amk-2022061618128
Tiivistelmä
As the technology evolves and societies are more and more using different cloud SaaS (Software as a Service) through the Internet. At the same time cyber domain has evolved too and the amount of malicious activity has risen and brought more cyber threats that are targeting the services found on the Internet.
This has effects on the SaaS service development where we have seen different Secure Software Development Life Cycle (S-SDLC) frameworks that are used to implement built-in security in the services instead of reactively add security on top of the services. At the same time, we have seen the emergence of the so-called security champions which are key players when thinking the implementation of the security in the development life cycle phases. As all new employees or employees who change their roles in their organization, also the security champions need to be onboarded to that role to give them enough confidence and knowledge related to their new role as usually they do not have a strong cyber security background.
The onboarding process of new employees and the things that affect how successful the onboarding is or what kind of results the onboarding produces has been researched for a long time. One onboarding process theory was used to research the onboarding of new security champions in a large European SaaS service provider. The company uses a S-SDLC and one part of that program is the assignment of a security champion for each service that is onboarded to the S-SDLC program. The research included a survey and semi-structured interviews, and the results provide more information about what things are functioning in the onboarding process and what could be done better. Based on the results there are suggestions that might be helpful for other organizations that are running a security champion program. Teknologian kehittyessä yhteiskunnat käyttävät yhä enemmän erilaisia pilvi SaaS-palveluita (Software as a Service) Internetin kautta. Samaan aikaan myös kyberdomain on kehittynyt ja haitallisen toiminnan määrä on kasvanut ja tuonut lisää kyberuhkia, jotka kohdistuvat Internetistä löytyviin palveluihin.
Tämä vaikuttaa SaaS-palvelukehitykseen, jossa olemme nähneet erilaisia tietoturvallisen sovelluskehityksen (Secure Software Development Life Cycle) -viitekehyksiä, joita käytetään sisäänrakennetun tietoturvan toteuttamiseen ohjelmistoihin ja palveluihin sen sijaan, että tietoturvaa lisätään reaktiivisesti palveluihin jälkikäteen. Samalla olemme nähneet ns. security championeiden esiinmarssin. Security championit ovat keskeisiä toimijoita, kun ajatellaan tietoturvan toteutusta sovellusten kehityksen elinkaaren eri vaiheissa. Kuten kaikki uudet työntekijät tai työntekijät, jotka vaihtavat roolejaan organisaatiossaan, myös uudet security championit on ajettava sisään uusiin tehtäviinsä perehdytysprosessin kautta, jotta heille luodaan riittävät edellytykset toimia uudessa roolissaan. Security championit eivät myöskään usein omaa vahvaa kyberturvallisuustuntemusta aloittaessaan kyseisessä roolissa.
Yleisesti voidaan sanoa, että uusien työntekijöiden perehdytysprosessia ja niitä asioita, jotka vaikuttavat perehdyttämisen onnistumiseen tai millaisia tuloksia perehdytys tuottaa, on tutkittu pitkään. Yhtä perehdytysprosessin teoriaa käytettiin tutkittaessa uusien security championien käyttöönottoa suuressa eurooppalaisessa SaaS palveluita tarjoavassa yrityksessä. Yritys hyödyntää tietoturvallista sovelluskehityksen viitekehystä ja yksi sen osaalue on security championin nimeäminen ja perehdyttäminen jokaiselle ohjelmaan kuuluvalle palvelulle tai ohjelmistolle. Tutkimus toteutettiin kyselyn ja teemahaastatteluiden kautta ja tu-lokset antavat enemmän tietoa siitä, mitkä asiat perehdytysprosessissa toimivat ja mitä voisi tehdä paremmin. Tulosten perusteella tehdään suosituksia perehdytysohjelman kehittämiseksi. Suositukset voivat olla hyödyllisiä myös muille organisaatioille, jotka hyödyntävät security championeja omassa toiminnassaan.
This has effects on the SaaS service development where we have seen different Secure Software Development Life Cycle (S-SDLC) frameworks that are used to implement built-in security in the services instead of reactively add security on top of the services. At the same time, we have seen the emergence of the so-called security champions which are key players when thinking the implementation of the security in the development life cycle phases. As all new employees or employees who change their roles in their organization, also the security champions need to be onboarded to that role to give them enough confidence and knowledge related to their new role as usually they do not have a strong cyber security background.
The onboarding process of new employees and the things that affect how successful the onboarding is or what kind of results the onboarding produces has been researched for a long time. One onboarding process theory was used to research the onboarding of new security champions in a large European SaaS service provider. The company uses a S-SDLC and one part of that program is the assignment of a security champion for each service that is onboarded to the S-SDLC program. The research included a survey and semi-structured interviews, and the results provide more information about what things are functioning in the onboarding process and what could be done better. Based on the results there are suggestions that might be helpful for other organizations that are running a security champion program.
Tämä vaikuttaa SaaS-palvelukehitykseen, jossa olemme nähneet erilaisia tietoturvallisen sovelluskehityksen (Secure Software Development Life Cycle) -viitekehyksiä, joita käytetään sisäänrakennetun tietoturvan toteuttamiseen ohjelmistoihin ja palveluihin sen sijaan, että tietoturvaa lisätään reaktiivisesti palveluihin jälkikäteen. Samalla olemme nähneet ns. security championeiden esiinmarssin. Security championit ovat keskeisiä toimijoita, kun ajatellaan tietoturvan toteutusta sovellusten kehityksen elinkaaren eri vaiheissa. Kuten kaikki uudet työntekijät tai työntekijät, jotka vaihtavat roolejaan organisaatiossaan, myös uudet security championit on ajettava sisään uusiin tehtäviinsä perehdytysprosessin kautta, jotta heille luodaan riittävät edellytykset toimia uudessa roolissaan. Security championit eivät myöskään usein omaa vahvaa kyberturvallisuustuntemusta aloittaessaan kyseisessä roolissa.
Yleisesti voidaan sanoa, että uusien työntekijöiden perehdytysprosessia ja niitä asioita, jotka vaikuttavat perehdyttämisen onnistumiseen tai millaisia tuloksia perehdytys tuottaa, on tutkittu pitkään. Yhtä perehdytysprosessin teoriaa käytettiin tutkittaessa uusien security championien käyttöönottoa suuressa eurooppalaisessa SaaS palveluita tarjoavassa yrityksessä. Yritys hyödyntää tietoturvallista sovelluskehityksen viitekehystä ja yksi sen osaalue on security championin nimeäminen ja perehdyttäminen jokaiselle ohjelmaan kuuluvalle palvelulle tai ohjelmistolle. Tutkimus toteutettiin kyselyn ja teemahaastatteluiden kautta ja tu-lokset antavat enemmän tietoa siitä, mitkä asiat perehdytysprosessissa toimivat ja mitä voisi tehdä paremmin. Tulosten perusteella tehdään suosituksia perehdytysohjelman kehittämiseksi. Suositukset voivat olla hyödyllisiä myös muille organisaatioille, jotka hyödyntävät security championeja omassa toiminnassaan.