Det meldes jevnlig om nye sikkerhetshendelser, og det er ingen tvil om at sikkerhet har fått fast plass på dagsorden. Likevel kan det være utfordrende å få prioritert sikkerhet i hverdagen. Som et steg i riktig retning, må vi begynne å bevege oss bort fra at sikkerhet ses på som en "av-og-til"-aktivitet og mot at det jobbes med kontinuerlig.
I tidligere artikler har vi i sikkerhetsmiljøet i Bekk snakket om farene ved uhåndtert sikkerhetsgjeld og uansvarlig produktutvikling. Som en ledd i dette vil vi slå et slag for tverrfaglige team, som inkluderer en sikkerhetsutvikler!
Få sikkerhetskompetanse inn i teamene
Over lengre tid har Bekk jobbet i tverrfaglige team, og har observert fordelene med å kombinere ulike fagområder og kompetanser for å løse problemer på best mulig måte. Dagens stadig voksende trusselbilde innenfor sikkerhet krever at det settes av dedikert tid til sikkerhetsoppgaver i teamet og at sikkerhetskompetanse blir en større del av det tverrfaglige samarbeidet. Det å ha sikkerhetskompetanse i teamene og ikke bare som en ekstern ressurs, tror vi ...
- hjelper teamet å tenke på sikkerhet allerede i begynnelsen av utviklingsprosessen og dermed blir løsningene sikrere.
- fører til bedre sikkerhet fordi de som jobber med løsningene hver dag har best oversikt over hvilke utfordringer løsningen har og hvordan man sikrer den best.
- sørger for bedre oppfølging og enklere kommunikasjon rundt sikkerhetstiltak i tjenestene ved at de involverte kjenner til koden, infrastrukturen og domenet.
- sørger for høyere autonomitet og raskere respons ved eventuelle sikkerhetshendelser.
Ved å gjøre en sikkerhetsutvikler til en del av teamet skaper man fokus og bevissthet rundt dette i hverdagen. Vi mener at alle som jobber som utviklere i dag også kan bli en sikkerhetsutvikler:
“En sikkerhetsutvikler er en utvikler som tar ansvar og eierskap til sikkerhet og personvern i teamet.”
Sikkerhetsgjeld i tjenester må nedbetales jevnlig
Tradisjonelt har ikke sikkerhet vært jobbet med kontinuerlig. Vi utviklere snakker ofte om teknisk gjeld og hvordan vi må jobbe kontinuerlig for å redusere dette. Men vi snakker ikke nok om sikkerhetsgjeld, og hvordan en årlig sikkerhetsgjennomgang eller risikovurdering ikke er tilstrekkelig for å opprettholde god kvalitet og sikre systemer. Derfor er det viktig at sikkerhet prioriteres jevnlig, og ligger i backlogen.
Oppgaver som en sikkerhetsutvikler kan ta for seg er mange: sørge for sikkerhetstiltak rundt kodebasen, sikre verdikjeden til produktet, jobbe med sikker programvareutviklingsprosess, sørge for innebygd personvern i produktet, med mer. Målet er å spre god sikkerhetskultur og generelt øke bevisstheten på sikkerhet i alle deler av utviklingsprosessen og i organisasjonen.