Min kollega John Wilander och jag har publicerat en artikel med titeln "Security Requirements - A Field Study of Current Practice". John är expert på datasäkerhet, vilket inte jag är, och det är han som ska ha äran av forskningsresultaten. I slutet av augusti åkte han till Symposium on Requirements Engineering for Information Security och presenterade artikeln.
Artikeln presenterar en fältstudie av kravspecifikationer för mjukvara hos svenska myndigheter. I fältstudien undersöks hur säkerhetskrav hanteras. Den övergripande slutsatsen är att säkerhetskrav är dåligt specificerade av tre anledningar: inkonsekvens i valet av krav, inkonsekvens i kravens detaljnivå och nästan ingen förekomst av krav på standardiserade säkerhetslösningar.
Artikeln finns som pdf-fil här.
