The role of product managers in securing software products
Koski, Elina (2025)
Diplomityö
2025
School of Engineering Science, Tietotekniikka
Kaikki oikeudet pidätetään.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2025041526803
https://urn.fi/URN:NBN:fi-fe2025041526803
Tiivistelmä
Software security is becoming a pivotal concern in the management of software products. Considering the many things that can influence the security of a software product, no role alone can be responsible for it, but the Product Manager is well-placed to drive the security work.
The Product Manager perspective into security of software products is little present in existing literature. Academic research has focused on the developer perspective and industry literature is focused on commercial success. In the agile context some literature has recognised the Product Owner as a role with influence in matters of security due to their responsibility for prioritization in the Scrum framework.
This thesis looks at existing literature to establish what kind of a role the Product Manager can have in the security of software products. The literature review is supplemented by qualitative semi structured interviews of 13 product management professionals from different Finnish organizations with strong security cultures to establish if Product Managers themselves are conscious of their role and influence in matters of security of their products and what they see to be their best means of ensuring the security of their products.
The Product Managers themselves are conscious of the influence they can have on the security of their products. This thesis argues for making security more visible and tangible to remind software product management professionals of its importance to the long-term viability of software products. Ohjelmistoturvallisuudesta on tulossa keskeinen huolenaihe ohjelmistotuotteiden tuotehallinnassa. Ottaen huomioon ohjelmistotuotteiden turvallisuuteen vaikuttavien asioiden määrän, yksikään rooli ei itsenäisesti ole siitä vastuussa, mutta tuotepäällikkö on hyvässä asemassa toimiakseen turvallisuustyön ajurina.
Tuotepäälliköiden näkökulma ohjelmistotuotteiden turvallisuuteen on vähän esillä akateemisessa tai ammattikirjallisuudessa. Akateeminen kirjallisuus on keskittynyt ohjelmistokehittäjien näkökulmaan, kun taas ammattikirjallisuus keskittyy tuotteiden kaupalliseen menestykseen. Tuoteomistajan rooli on tunnistettu ketterän kehityksen yhteydessä turvallisuuden kannalta tärkeäksi rooliksi johtuen tuoteomistajan priorisointivastuusta Scrumin viitekehyksessä.
Tämä työ perehtyy tuotepäällikön rooliin ohjelmistotuotteiden turvallisuudessa kirjallisuuskatsauksen ja laadullisen semistrukturoidun haastattelututkimuksen avulla. Haastatteluiden tavoitteena oli tutkia miten tuotepäälliköt itse hahmottavat oman roolinsa ja vaikutusmahdollisuutensa ohjelmistotuotteiden turvallisuuteen ja mitä he näkevät parhaina keinoinaan varmistaa tuotteidensa turvallisuus. Tutkimusta varten haastateltiin 13 tuotehallinnan ammattilaista suomalaisista organisaatioista, joissa on vahva turvallisuuskulttuuri.
Työn keskeinen argumentti on turvallisuuden tekeminen näkyväksi ja konkreettiseksi.
The Product Manager perspective into security of software products is little present in existing literature. Academic research has focused on the developer perspective and industry literature is focused on commercial success. In the agile context some literature has recognised the Product Owner as a role with influence in matters of security due to their responsibility for prioritization in the Scrum framework.
This thesis looks at existing literature to establish what kind of a role the Product Manager can have in the security of software products. The literature review is supplemented by qualitative semi structured interviews of 13 product management professionals from different Finnish organizations with strong security cultures to establish if Product Managers themselves are conscious of their role and influence in matters of security of their products and what they see to be their best means of ensuring the security of their products.
The Product Managers themselves are conscious of the influence they can have on the security of their products. This thesis argues for making security more visible and tangible to remind software product management professionals of its importance to the long-term viability of software products.
Tuotepäälliköiden näkökulma ohjelmistotuotteiden turvallisuuteen on vähän esillä akateemisessa tai ammattikirjallisuudessa. Akateeminen kirjallisuus on keskittynyt ohjelmistokehittäjien näkökulmaan, kun taas ammattikirjallisuus keskittyy tuotteiden kaupalliseen menestykseen. Tuoteomistajan rooli on tunnistettu ketterän kehityksen yhteydessä turvallisuuden kannalta tärkeäksi rooliksi johtuen tuoteomistajan priorisointivastuusta Scrumin viitekehyksessä.
Tämä työ perehtyy tuotepäällikön rooliin ohjelmistotuotteiden turvallisuudessa kirjallisuuskatsauksen ja laadullisen semistrukturoidun haastattelututkimuksen avulla. Haastatteluiden tavoitteena oli tutkia miten tuotepäälliköt itse hahmottavat oman roolinsa ja vaikutusmahdollisuutensa ohjelmistotuotteiden turvallisuuteen ja mitä he näkevät parhaina keinoinaan varmistaa tuotteidensa turvallisuus. Tutkimusta varten haastateltiin 13 tuotehallinnan ammattilaista suomalaisista organisaatioista, joissa on vahva turvallisuuskulttuuri.
Työn keskeinen argumentti on turvallisuuden tekeminen näkyväksi ja konkreettiseksi.