22-Dec

Security

Bli en sikkerhetsutvikler!

Det meldes jevnlig om nye sikkerhetshendelser, og det er ingen tvil om at sikkerhet har fått fast plass på dagsorden. Likevel kan det være utfordrende å få prioritert sikkerhet i hverdagen. Som et steg i riktig retning, må vi begynne å bevege oss bort fra at sikkerhet ses på som en "av-og-til"-aktivitet og mot at det jobbes med kontinuerlig.

2 min read

·

By Mari Langås, Ingrid Volden, Henrik Walker Moe

·

December 22, 2022

I tidligere artikler har vi i sikkerhetsmiljøet i Bekk snakket om farene ved uhåndtert sikkerhetsgjeld og uansvarlig produktutvikling. Som en ledd i dette vil vi slå et slag for tverrfaglige team, som inkluderer en sikkerhetsutvikler!

Få sikkerhetskompetanse inn i teamene

Over lengre tid har Bekk jobbet i tverrfaglige team, og har observert fordelene med å kombinere ulike fagområder og kompetanser for å løse problemer på best mulig måte. Dagens stadig voksende trusselbilde innenfor sikkerhet krever at det settes av dedikert tid til sikkerhetsoppgaver i teamet og at sikkerhetskompetanse blir en større del av det tverrfaglige samarbeidet. Det å ha sikkerhetskompetanse i teamene og ikke bare som en ekstern ressurs, tror vi ...

  • hjelper teamet å tenke på sikkerhet allerede i begynnelsen av utviklingsprosessen og dermed blir løsningene sikrere.

  • fører til bedre sikkerhet fordi de som jobber med løsningene hver dag har best oversikt over hvilke utfordringer løsningen har og hvordan man sikrer den best.

  • sørger for bedre oppfølging og enklere kommunikasjon rundt sikkerhetstiltak i tjenestene ved at de involverte kjenner til koden, infrastrukturen og domenet.

  • sørger for høyere autonomitet og raskere respons ved eventuelle sikkerhetshendelser.

Ved å gjøre en sikkerhetsutvikler til en del av teamet skaper man fokus og bevissthet rundt dette i hverdagen. Vi mener at alle som jobber som utviklere i dag også kan bli en sikkerhetsutvikler:

“En sikkerhetsutvikler er en utvikler som tar ansvar og eierskap til sikkerhet og personvern i teamet.”

Sikkerhetsgjeld i tjenester må nedbetales jevnlig

Tradisjonelt har ikke sikkerhet vært jobbet med kontinuerlig. Vi utviklere snakker ofte om teknisk gjeld og hvordan vi må jobbe kontinuerlig for å redusere dette. Men vi snakker ikke nok om sikkerhetsgjeld, og hvordan en årlig sikkerhetsgjennomgang eller risikovurdering ikke er tilstrekkelig for å opprettholde god kvalitet og sikre systemer. Derfor er det viktig at sikkerhet prioriteres jevnlig, og ligger i backlogen.

Oppgaver som en sikkerhetsutvikler kan ta for seg er mange: sørge for sikkerhetstiltak rundt kodebasen, sikre verdikjeden til produktet, jobbe med sikker programvareutviklingsprosess, sørge for innebygd personvern i produktet, med mer. Målet er å spre god sikkerhetskultur og generelt øke bevisstheten på sikkerhet i alle deler av utviklingsprosessen og i organisasjonen.

Hvis du har lyst til å ta et skritt nærmere mer hands-on sikkerhet i 2023 — prøv deg som sikkerhetsutvikler!

Up next...

Loading…

Loading…