Ein agiler Sicherheitsbeauftragter sein: Verbreiten Sie Ihr Wissen

Dies ist der fünfte und letzte Teil meiner Blogserie über die Rolle des Agile Officers In den vorangegangenen Teilen habe ich gezeigt, wie sich Sicherheitsbeauftragte an den agilen Prozess anpassen und Sicherheit wieder zu einem standardmäßig berücksichtigten Qualitätsmerkmal werden lassen können. Leider müssen viele Teams nicht nur für die Sicherheitsanforderungen sensibilisiert werden, sondern benötigen auch technische Beratung und Anleitung bei deren Gestaltung und Umsetzung. Als Agiler Sicherheitsbeauftragter müssen Sie daher nicht nur als Stakeholder, sondern auch als Domänenexperte für Sicherheit agieren.

Seien Sie der Sicherheitsexperte

Als Sicherheitsexperte sollten Sie innerhalb der Teams aktive Anleitung und Unterstützung bieten. Als Sicherheitsexperte helfen Sie aktiv bei der Implementierung von Sicherheitskontrollen und -mechanismen. Je nach Ihren Fähigkeiten und denen der agilen Teams kann dies aus der Erstellung des eigentlichen Codes, der Beratung zu den zu verwendenden Verschlüsselungsprotokollen, der Überprüfung von Konfigurationen, der Durchführung von Tests, der Überprüfung von Cloud-Lösungen, der Durchführung von Risiko- und Datenschutzbewertungen oder der Implementierung von Tools bestehen. Als Sicherheitsexperte sollten Sie sich darauf konzentrieren, die User Story auf die richtige Art und Weise zu implementieren und nicht die User Story selbst zu diskutieren, denn das ist die Aufgabe der Stakeholder und Product Owner. Insbesondere in Organisationen, in denen es nur wenige Sicherheitsexperten gibt, bedeutet dies, dass Sie manchmal in beiden Rollen agieren müssen. Es ist jedoch wichtig, diese beiden Aktivitäten zu trennen, um den Prozess nicht zu frustrieren [1].

Seien Sie für die Teams da

Als Sicherheitsexperte sollten Sie für die Teams leicht erreichbar sein, also sorgen Sie dafür, dass Sie in der Nähe sind, wo Sie gebraucht werden. Sorgen Sie dafür, dass die Mitarbeiter wissen, wo Sie sich befinden, zeigen Sie sich bei Stand-ups und nehmen Sie an Retrospektiven von Sprints mit Sicherheitsfunktionen teil. Wenn es schwierig ist, physisch anwesend zu sein, stellen Sie zumindest sicher, dass es eine Möglichkeit zur schnellen Ferninteraktion gibt. Seien Sie auf Kommunikationskanälen wie Slack oder Mattermost präsent. Wenn diese Kanäle nicht genutzt werden, sollten Sie zumindest ein spezielles Postfach für Sicherheitsfragen einrichten, dem Sie Vorrang vor allem anderen einräumen.

Sicherheit Automation

Als Sicherheitsexperte sollten Sie sich auch darauf konzentrieren, den Aufwand für die Umsetzung von Sicherheitsanforderungen kontinuierlich zu reduzieren. Sie sollten sichere Mechanismen oder Bibliotheken für die verwendeten Programmiersprachen evaluieren, Sicherheitsprüfungen zum Bestandteil des automatisierten Build-Prozesses machen und die Sammlung von Beweisen automatisieren, die für den Nachweis des Vorhandenseins und der Wirksamkeit der implementierten Kontrollen erforderlich sind. Vor allem in DevOps-Umgebungen sollte das Endziel eine sicherheitsfähige Build-Pipeline sein, die automatisch nach sicherheitsrelevanten Problemen sucht. Diese Pipelines sollten vor Lizenzverstößen, bekannten Schwachstellen in verwendeten Softwarekomponenten und Schwachstellen in der bereitgestellten Anwendung warnen. Glücklicherweise wurden bereits viele Tools entwickelt, die ständig verbessert werden und mit den meisten gängigen Build-Automatisierungstools kombiniert werden können [2].

Seien Sie der Sicherheitsevangelist

Je nach Ihrer Arbeitsbelastung als Sicherheitsexperte ist eine weitere interessante Rolle für agile Sicherheitsbeauftragte der Security Evangelist. Der Evangelist fungiert nicht nur als Fachexperte für alle Teams, sondern coacht die Teams auch aktiv, damit sie ein stärkeres Sicherheitsbewusstsein entwickeln. Eine Möglichkeit, dies zu tun, ist die Bildung einer speziellen Interessen- oder Fokusgruppe oder einer Gilde wie im Spotify-Modell. Diese Gruppe sollte als "organische und weitreichende Interessengemeinschaft fungieren, die Wissen, Tools, Code und Praktiken austauschen möchte." Die Aufgabe der Sicherheitsgilde besteht darin, Wissen über Best Practices, Vorschriften, Tools und Informationen zu verbreiten, sicherheits- und datenschutzrelevante Themen zu diskutieren und das Bewusstsein und die Fähigkeiten in den Teams zu verbessern.

Sicherheits-Champions

Das ultimative Ziel sollte sein, sogenannte Sicherheits-Champions zu identifizieren. Sicherheits-Champions sind Mitglieder agiler Teams, die ein gutes Verständnis für einen bestimmten Bereich der Sicherheit gezeigt haben. Sie können die Stimme der Sicherheit für ein bestimmtes Produkt, ein Team oder eine Technologie sein. Beispiele wären mobile Sicherheit, Sicherheitstests, Sicherheit von Front-End-Frameworks usw. Diese Champions können den Sicherheitsexperten vertreten und entlasten und eine erste Sichtung vornehmen, um festzustellen, ob der Sicherheitsexperte einbezogen werden sollte oder nicht [4].

Zusammenfassung

Ich habe diese Blogserie mit der Feststellung begonnen, dass im Laufe der Jahre eine Lücke zwischen Anwendungssicherheit und Entwicklung entstanden ist. Eine Kluft, die wir bewusst und mit Absicht geschaffen haben und die mit der Einführung von Agile und DevOps schmerzlich sichtbar wurde. In den letzten 5 Blogs habe ich gezeigt, wie sich die Rolle des Sicherheitsbeauftragten ändern muss, um diese Lücke wieder zu schließen. Der Schlüssel zum Erfolg liegt in der Aufteilung der Funktion des Sicherheitsbeauftragten in agilere Rollen mit unterschiedlichen Verantwortlichkeiten und Aufgaben;

• Der Sicherheitsinteressent: Definieren, was und was nicht
• Der Sicherheitsexperte; Hilfe beim Wie
• Der Evangelist; die Messlatte höher legen

Nur wenn wir die Sicherheit zu einem Teil der agilen Arbeitsweise machen und mit ihr in Einklang bringen, können wir diese Kluft überbrücken und die Sicherheit letztendlich zu einem Befähiger statt zu einem Blockierer machen. Links [1] Rollen in Papa-Teams/ [2] Erstellen einer AppSec-Pipeline mit Containern in einer Woche Wie wir scheiterten und erfolgreich waren [3] Teamorganisation Squads Kapitel Stämme und Gilden [4] Security Champions

Alle Teile dieser Blogserie

Teil 1: Ein agiler Sicherheitsbeauftragter sein Teil 2: Die Denkweise der Sicherheitsverantwortlichen Teil 3: Pwn the Process Teil 4: Anwendergeschichten Teil 5: Verbreiten Sie Ihr Wissen