Assessing the Policies and Factors Impacting Software Engineering Compliance

Abstract

This research is motivated by the growing concerns of insider threats, as they account for 56% of software attacks; in addition to the rising number of organizations which experience software attacks and incidents to 67% with an increase of 7% in the last two years. The research is also motivated by consequences raised by software engineering workarounds, as the phenomena is a serious business problem and relatively unexplored. The short-term gains from workarounds in software engineering can result in technical debt, making it more difficult to pay back as time goes. Additionally, workarounds and temporary fixes can impact future software releases and its overall security and maintainability. As such workarounds account for over 25% of waste in efforts, it is worth investigating what further contributes to development of workarounds, in order to understand and address their causes. This research presents two main studies as follows: The first study uses systematic literature review to understand the current research focus, evolving theories and concepts, and potential gaps and directions in software compliance. The study uses an evidence-based thinking to answer the review questions. Based on the review protocol, and the inclusion and exclusion criteria, 84 relevant studies were identified. The results identified 55 factors that impact behavioral compliance at different scopes, and 20 policies along with compliance challenges they address. The review reveal several key findings: (1) End user security is a top discussion followed by legal and privacy issues; (2) Security awareness and automation of compliance are top cited policies; (3) There is an emphasis on the gap between domain and compliance experts on one hand, and software engineers on the other hand; (4) Wile the theory of planned is dominating, the theory of workarounds has emerged in the domain; (5) There are several evolving concepts in the domain: compliance and privacy by design, policy as code, security stress, and home-office users. The study delivers a set of theoretical and practical implications that provide researchers and practitioners with potential research directions and policy guidance. The second study uses a deductive quantitative method, to examine the factors that impact software engineering workarounds and the extent to which the factors of technostress can trigger workarounds. It also investigates the role of neutralization strategies, professional autonomy, and perceived behavioral controls as moderators on that impact. The study aims to assess factors leading to software engineering workarounds and provide a new understanding on technostress in the context of workarounds, while emphasize how significant their impact is, on software engineering workarounds. The study positions technostress as a new antecedent of workarounds. It contextualizes workarounds focusing on software engineering since they recognize technical intricacies more than any other stakeholder in software ecosystem. While literature reports that the causes of workarounds come from pressure of meeting deadlines, misfit of work practices, inadequate resources, and complexity of overwhelming technologies, our study posits technostress among causes of workarounds in software engineering. In addition to that, the study also argues that neutralization, degree of professional autonomy given to engineers over technical decisions, and perceived behavioral controls can strengthen that impact. Based on a cross-sectional survey data from 306 software engineers, the study applies covariance-based (CB) and partial least square (PLS) structural equation modeling to evaluate the proposed research model. Detailed analysis and comparison between findings of CB-SEM and PLS-SEM is conducted. Results report dimensions of Technostress (Overload and Invasion) predicts workarounds indirectly through Strain, while Complexity, Overload, and Invasion report a direct impact only on Strain. Furthermore, the findings show that technostress (Overload and Insecurity) have a direct impact on the workaround intention. The findings of both CB-SEM and PLS-SEM conclude insignificant moderating impact of neutralization. The CB-SEM analysis report a significant moderating impact of autonomy and perceived behavioral control on the relationship between strain and workarounds intention, while PLS-SEM analysis reports an insignificant result. The study extends the theory of workarounds and provide a new understanding of technostress in the context of software engineering and the moderating role of neutralization, autonomy and behavioral control on engineers workaround behavior. The findings of this study help practitioners and researchers develop policy response in order to control workarounds; and further gain insights for future research.

본고는 56%의 소프트웨어 공격이 내부자에 의해 발생한다는 점에서 비롯한다. 또한, 소프트웨어 공격이나 사고를 경험한 조직의 수는 지난 2년간 7% 증가하여 67%를 기록했다. 단기적 소프트웨어 공학 해결책은 중요한 기업적 문제이지만 비교적 논의되지 않은 분야이기 때문에, 본고는 해당 해결책으로 인한 결과 또한 논의한다. 단기적 소프트웨어 공학 해결책을 통한 단기적 이익은 시간이 지남에 따라 회복할 수 없는 기술적 부채를 초래할 수 있다. 더하여, 단기적 해결책과 임시 수정은 향후 소프트웨어 릴리스와 전체 보안 및 유지에도 영향을 미칠 수 있다. 단기적 해결책은 인력 낭비 중 25% 이상을 차지하기 때문에, 해결책 개선을 위한 요소를 조사하고, 원인을 이해하고 해결하기 위해 해결책 개선을 위한 요소를 조사할 필요가 있다. 본고는 다음의 두가지 주요 연구를 제시한다. 첫번째 연구에서는 체계적인 문헌 연구를 통해 소프트웨어 컴플라이언스의 현재 연구 동향, 이론과 개념의 발전, 잠재적인 차이와 방향을 검토한다. 본 연구에서는 검토를 위한 질문에 답하기 위해 증거 기반 사고를 활용하였다. 검토 프로토콜과 포함 및 제외 기준에 기초하여, 84개의 관련 연구를 검토하였다. 검토를 통해 다양한 범위에서 행동 컴플라이언스에 영향을 미치는 55개의 요인과 이들과 관련된 컴플라이언스 문제에 관한 20가지 정책을 확인했다. 주요한 검토 결과는 다음과 같다. (1) 최종 사용자 보안은 법률 및 개인정보 보호 문제와 연결된 주요 문제다. (2) 보안 인식 및 규정 준수 자동화가 가장 많이 인용된 정책이다. (3) 도메인 및 컴플라이언스 전문가와 소프트웨어 엔지니어 간의 견해 차이에도 강조점이 있다. (4) 계획된 행동 이론이 통설이나, 단기적 해결책 이론도 등장하고 있다. (5) 도메인에는 진화한 개념들이 있는데, 설계에 의한 컴플라이언스 및 개인정보 보호, 코드, 보안 스트레스, 홈 오피스 사용자로서 의 정책이 그것이다. 본 연구는 연구자와 실무자에게 연구 방향과 정책 지침에 관한 제언을 함으로서 일련의 이론적 및 실제적 함의를 갖는다. 두번째 연구에서는 연역적, 양적 방법을 통해 소프트웨어 공학 해결책에 영향을 미치는 요인과, 기술 스트레스 요인이 단기적 해결책으로 이어지는 정도를 조사한다. 또한 해당 영향의 조절자로 기능하는 중립화 전략, 전문적 자율성, 인식된 행동 통제의 역할을 조사한다. 본 연구는 소프트웨어 공학 해결책이 등장하기까지의 요인을 평가하고, 단기적 해결책의 관점에서 기술 스트레스에 대한 새로운 이해를 제공하는 동시에 이것이 소프트웨어 공학 해결책에 미치는 영향이 얼마나 큰지를 강조하는 것을 목표로 한다. 본 연구는 기술 스트레스를 해결책의 새로운 선행 사건으로 제시한다. 소프트웨어 엔지니어가 어떤 소프트웨어 업종 종사자보다 기술적인 복잡성에 대한 이해도가 높기 때문에, 소프트웨어 엔지니어를 중점으로 단기적 해결책을 설명한다. 문헌 연구에 따르면 단기적 해결책의 원인은 마감일 준수, 작업 관행의 잘못된 적합성, 불충분한 리소스, 압도적인 기술의 복잡성에 대한 압박에서 비롯된다고 나타나지만, 본 연구에서는 전술한 원인 중 기술 스트레스를 단기적 해결책의 원인으로 가정한다. 그 외에도, 본 연구는 중립화, 기술적 결정에 관해 엔지니어에게 주어진 전문적 자율성의 정도, 인식된 행동 통제가 그 영향을 강화할 수 있다고 주장한다. 본 연구는 306개 소프트웨어 엔지니어를 대상으로 진행한 단면 연구 데이터를 기반으로, 공분산 기반(CB) 및 부분 최소 제곱(PLS) 구조 방정식 모델(SEM)을 적용하여 제안된 연구 모델을 평가한다. 본 연구는 CB-SEM과 PLS-SEM의 연구결과를 상세하게 분석하고 비교하였다. 결론적으로 기술 스트레스 (과부하 및 침입)이 압박을 통해 간접적으로 단기적 해결책을 예측하는 반면, 복잡성, 과부하, 침입은 압박에만 직접적인 영향을 미치는 것으로 나타났다. 또한, 연구 결과 기술 스트레스 (과부하 및 보안 미흡)가 단기적 해결책을 구현하고자 하는 의도에 직접적인 영향을 미치는 것으로 나타났다. CB-SEM과 PLS- SEM의 연구 결과 중립화가 기술 과부하를 제외하고는 조절에 유의미한 영향을 미치지 못한다는 것으로 나타났다. CB-SEM 분석에서는 자율성과 인식된 행동 통제가 압박과 단기적 해결책을 구현하려는 의도 사이의 관계 조절에 있어 유의미한 효과를 갖는다고 나타난 반면, PLS-SEM 분석에서는 유의미한 효과가 없는 것으로 나타났다. 본 연구는 해결책 이론을 확장하고, 소프트웨어 공학의 관점에서 기술 스트레스와, 엔지니어의 단기적 해결책 탐색에 미치는 중립화, 자율성, 행동 제어라는 조절자에 대한 새로운 이해를 제시한다. 본 연구의 결과는 실무자가 단기적 해결책을 통제할 정책을 개발하고, 연구자가 향후 연구를 위한 추가적인 인사이트를 얻는 데 도움이 될 것이다.