Organization visibility for the entire supply chain of software system

Abstract

The thesis investigated the visibility an organization has into the software system supply chain. The organization has established practices and procedures in the supply chain, which are securely protected. The theoretical part of the thesis covered the software system, its lifecycle, supply chain, supply chain attacks in theory and with an example, and the Software Bill Of Material. The study utilized three different methods: an open survey, interviews, and the analysis of two studies on the software system's bill of materials. The online survey recruited the entire organization's staff, yielding a response rate of 12.9%, which is sufficient for one organization. There were no available studies on the Software Bill Of Material, which is limiting the analysis of the Software Bill Of Material. As a result, six areas of improvement were identified for the organization, presented at a high level without compromising organizational information security privacy. The thesis results are not directly comparable with other organizations, but they provide indications of potential risks. The organization should further examine the supplier's internal models to comprehensively analyze the entire supply chain.

Opinnäytetyössä tutkittiin, millainen näkyvyys organisaatiolla on ohjelmistojärjestelmän toimitusketjuun. Opinnäytetyön teoriaosa käsitteli ohjelmistojärjestelmää, järjestelmän elinkaarta, toimitusketjua, ohjelmistojärjestelmämateriaaliluetteloa ja toimitusketjuhyökkäystä sekä teoriassa, että esimerkin avulla. Tutkimuksessa käytettiin kolmea eri tapaa, avointa kyselyä, haastattelua ja analysointiin kahta eri tutkimusta ohjelmistojärjestelmämateriaaliluettelosta. Avoimeen kyselyyn rekrytoitiin koko organisaation henkilöstö ja vastausprosentti oli 12,9 %, joka on riittävä yhden organisaation osalta. Ohjelmistojärjestelmän materiaaliluettelosta ei ollut saatavilla vielä tutkimuksia, joka rajoitti ohjelmistomateriaaliluettelon analysointia. Organisaatiolla on vakiintuneet käytännöt ja toimintatavat toimitusketjussa, jotka ovat tietoturvallisesti suojattu. Lopputuloksena löytyy organisaatiolle kuusi kehityskohdetta, jotka esitellään karkealla tasolla rikkomatta organisaation tietosuojaa. Opinnäytetyön tulokset eivät ole vertailukelpoisia muiden organisaatioiden kanssa, mutta antavat viitteitä mahdollista haasteista. Organisaation tulisi tutkia tarkemmin vielä toimittajan sisäisiä malleja, jotta saataisiin koko toimitusketju analysoitua.