Käsikirjan kohderyhmänä ovat seuraavat ohjelmistotuotannon roolit. Organisaatiosta riippuen, sama henkilö voi toimia useassakin eri roolissa. Roolien nimet ja kuvaukset perustuvat yleisiin sovelluskehityksen roolinimikkeisiin. Roolien nimillä välttämättä ole suoraa vastaavuutta tehtävä- ja virkanimikkeisiin. Tyypillisessä tuotetiimissä samalla henkilöllä voi olla useita rooleja. Esimerkiksi pääkehittäjällä on vastuita, jotka ulottuvat helposti arkkitehdin vastuualueelle. Itse palvelunsa infrastruktuurista huolehtivan tuotetiimin kehittäjille kuuluu myös käyttöpalveluvastuita. Roolien tarkempi vastuunjako on kuvattu käsikirjan luvussa 3.2 Vastuunjako.
Ohjelmistotuotannon roolit
Palvelun liiketoiminnallinen omistaja
(palvelunomistaja, business owner)
Palvelun liiketoiminnallinen omistaja vastaa palvelun liiketoiminnan kehittämisestä, strategiasta, konseptoinnista sekä kokonaisbudjetoinnista ja kustannuksista. Viime kädessä palvelunomistajat vastaavat myös palvelun tietoturvan ja tietosuojan toteutumisesta resurssoinnin ja budjetoinnin kautta. Tietoturvasta huolehtimisella tarkoitetaan palvelun kriittisyysluokittelua, riskienhallintaa sekä lakien, asetusten ja määräysten, hyvän tiedonhallintatavan, sekä organisaation ohjeiden ja politiikkojen noudattamista.
Tuoteomistaja
(product owner)
Tuoteomistaja vastaa palvelun arvopakettien elinkaaresta niiden analysoinnista aina ominaisuuksiksi ja edelleen käyttäjätarinoiksi pilkkomiseen. Tuoteomistaja vastaa myös tuotetiimin tukemisesta ja ohjaamisesta sekä kehitystyön tuotoksen tuotantoon vientien koordinoinnista yhdessä tuotetiimin kanssa. Tämän vuoksi hänellä on tällä tasolla myös valtaa ajan ja muiden resurssien käyttöön sekä ohjelmistotuotantoprosessiin liittyvien jäännösriskien hyväksyntään. Tuoteomistaja vastaa viime kädessä siitä, että palvelun tietoturva- ja tietosuojavaatimuksiin liittyvät tehtävät ovat näkyvissä tuotetiimin tehtävälistalla.
Arkkitehti
Arkkitehti vastaa kehitettävän palvelun tai sovelluksen sopivuudesta sitä ympäröivään tietotekniseen ympäristöön ja tunnistaa läpileikkaavat asiat, joihin monet tietoturva- ja tietosuoja-asiatkin kuuluvat. Arkkitehti on merkittävässä roolissa palvelussa käytettävien strategisten tekniikkavalintojen suhteen. Arkkitehdin suunnitteluhorisontti on yleensä koko palvelun elinkaaren mittainen. Arkkitehdilta odotetaan myös näkemystä palvelun toteutukseen myös erityisnäkökulmista, joista tämän käsikirjan näkökulmasta mainittakoon tietoturva-arkkitehtuuri ja jatkuvuussuunnittelu.
Ohjelmistokehittäjät
(tuotetiimeissä)
Ohjelmistokehittäjät työskentelevät usein pienehköissä tuotetiimeissä. He ovat vastuussa kehitettävän kohteen toiminnallisuuden toteuttamisesta, testaamisesta sekä tuotantoon viennistä. Tietoturvamielessä ohjelmistokehittäjillä on päävastuu tietoturvan teknisestä toteutumisesta tuotehallinnan tarpeiden mukaisesti. Tuotetiimeissä on myös vastuuta ei-rutiininomaisista käytönaikaisista toimenpiteistä, joista tietoturvaan liittyvät esimerkiksi lokien seuraamisen ja monitorointikyvykkyyden järjestäminen, jatkuvuuden hallinta, toipumissuunnittelu ja tuen antaminen tietoturvapoikkeamatilanteissa.
Tietoturva-asiantuntijat
Tuoteomistajat, arkkitehdit ja ohjelmistokehittäjät voivat tarvittaessa käyttää apuna erityisesti tietoturvaan keskittyneitä henkilöitä, joita ovat kehitysprojektiin varatut tietoturvatestaajat, tietoturva-arkkitehdit tai tietoturva-asiantuntijat. Tietoturva-asiantuntijat tukevat tyypillisesti kehitettävän kohteen tietoturvariskien löytämisessä ja riskien arvioinnissa (esimerkiksi uhkamallinnuksessa), suunnitteluperiaatteiden ja ohjelmakoodin tarkistamisessa, tutkivassa tietoturvatestauksessa sekä tietoturvatyökalujen integroimisessa tuotantoon viennin automaatioon. Myös tuotetiimien jäseninä voi olla tietoturvaan erikoistuneita henkilöitä. Tietoturva-asiantuntijat ovat tässä käsikirjassa kuvattu konsultatiivisessa roolissa, ja lopullinen vastuu palvelun tietoturvan toteutumisesta onkin edellä mainituilla rooleilla.
Pilvipalveluasiantuntijat
("pilvitiimi")
Pilvitiimin vastuulla on pilvipalvelujen läpileikkaavien tietoturvaratkaisujen kehittäminen ja ohjeistaminen. Tuotetiimien on pystyttävä luottamaan pilvitiimin suosittelemien pilviratkaisujen laadukkuuteen tietoturvanäkökulmista.
Käyttöpalveluiden toimittajat
Organisaation on voitava luottaa siihen, että käyttöpalveluiden toimittaja takaa tietoturvan toteutumisen omalla vastuualueellaan. Pilvipalveluissa käytetään nk. jaetun vastuun mallia, jonka vastuunjakolinja käyttöpalvelun toimittajan ja tuotetiimin välillä kulkee vaihtelevassa kohdin käytettyä teknologiapinoa (technology stack). Jakolinja voi vaihdella eri käyttöpalveluiden toimittajien välillä, vaikka käytettävä teknologiapino olisi samankaltainen. Tämän vuoksi pilvipalveluita käytettäessä käyttöpalvelun toimittajan ja organisaation välisen vastuujaon pitää olla selkeästi määritetty ja kuvattu.