Tänk dig att ditt team bygger en supersnabb raket som ska ta er till Mars. Alla är exalterade och fokuserade på att få den att flyga snabbare än ljuset. Ingen tänker riktigt på att installera säkerhetsbälten, brandsläckare eller ens en ordentlig dörr! "Det där fixar vi senare," säger någon. Men när raketen väl är på väg och ni inser att det finns ett hål i skrovet – då är det lite sent att börja fundera på säkerheten, eller hur?
Det är precis vad som händer när säkerhetsarbetet inte får sin plats från början. Om vi inte integrerar säkerhet i utvecklingen från start, får vi i slutändan fler problem, ökad risk och en massa panikåtgärder när det egentligen borde ha varit en naturlig del av hela processen.
Det är här Security Champions-programmet kommer in – ett program designat för att sätta säkerhet i fokus, precis som att bygga en raket som inte bara lyfter, utan som också gör det säkert. Genom att identifiera och utbilda individer i organisationen som säkerhetsambassadörer kan du förhindra att små fel leder till stora problem längre fram.
Vad är en Security Champion?
En Security Champion är en person som ska fungera som en säkerhetsambassadör. Deras syfte är att öka medvetenheten kring säkerhet och integrera bästa praxis i arbetsprocesser. De ska även fungera som en länk mellan sitt team och säkerhetsteamet.
På senaste tiden har säkerhet blivit mer och mer prioriterat, men kunskapsdelningen har brustit. Detta i sig kan skapa problem och fördröjningar i processen. Att implementera ett Security Champion-program ska endast ses som ett extra lager av skydd och inte ersätta it-säkerhetsavdelningen då dessa två har olika ändamål.
Det är vanligt att termen Security Champion hörs i samband med utveckling. OWASP nämner framför allt Security Champions i syfte att höja säkerhetsnivån inom utvecklingsteam. Men en Security Champion kan också införas i olika typer av team och arbetsområden, som till exempel i team med IT-arkitekter, nätverkstekniker och liknande roller.
Vanliga uppgifter som en Security Champion kan ha är:
- Utbilda och sprida medvetenhet
- Granskning av kod och design
- Identifiera risker och hot
- Hålla kommunikationen med säkerhetsteamet
- Säkerställa att säkerhet integreras i processer
- Föreslå och driva förbättringar
Kort sagt ska en Security Champion vara både en teknisk expert och en drivkraft för att säkerhet alltid finns med i teamets arbete och beslut.
Security Champion-program
Ett Security Champion-program är ett initiativ där målet är att dela säkerhetskunskaper ut till de olika arbetsområdena. Genom att utse en Security Champion i ett arbetsområde eller i ett team, ska denna person sedan vara den som sedan tar med sig kunskaperna de lär sig under programmet tillbaka till sitt team.
För att starta ett Security Champion-program behöver man en ”Security Captain” – denna kan utses internt, men kan även komma utifrån. Det viktigaste är att kompetens finns samt ett starkt intresse för IT-säkerhet. Illustrationen nedan beskriver konceptet med ett Security Champions-program.
Vad kan traditionellt sätt ingå i ett sådant program, hur börjar man och vad för aktiviteter har man? Det ska vi diskutera i nästa del!
Hur man kommer i gång?
Att bygga ett Security Champions-program från grunden kan verka utmanande men med rätt strategi kan ni skapa ett effektivt program som skalar och distribuerar säkerhet över olika avdelningar genom hela organisationen. För att förenkla det hela så bryter vi ned processen i 7 steg:
- Identifiera behov och vision med programmet
Alla organisationer är olika och står inför olika utmaningar, det är därför viktigt att förstå vad er organisation behöver och vill uppnå. Börja därför med att analysera vilka säkerhetsutmaningar er organisation står inför, frekvent återkommande sårbarheter, bristande säkerhetsmedvetenhet eller undermåliga säkerhetsprocesser. Definiera sedan en tydlig vision och syfte för programmet – vill ni förbättra säkerhetskulturen, minska incidenter eller stärka samarbetet mellan utvecklingsteamet och säkerhetsteamet?
- Identifiera teams
Identifiera vilka teams som ni vill ska ha Security Champions samt hur de arbetar, lättast är att bestämma sig för några få kritiska teams och sedan skala upp verksamheten senare. Försök även kartlägga hur teamen arbetar.
- Identifiera teamet: Hur många är de och vad är deras roll?
Exempel: 5 utvecklare, 1 produktägare, 1 Quality Assurance och 1 team lead.
2.2 Identifiera teknologier som används: Programmeringsspråk, ramverk och säkerhetsprocesser.
- Identifiera nuvarande säkerhetsnivå: Görs olika aktiviteter för att stärka säkerheten? Hur lagras känslig data, görs kodgranskning, sårbarhetsskanning eller används några andra säkerhetshöjande tjänster?
- Definiera rollen ”Security Champion”
Varje Security Champion bör fungera som en säkerhetsambassadör som uppmuntrar säkerhetstänkande i deras teams. Utöver det så är det viktigt att definiera vad som förväntas av Security Champions. Rollen skulle kunna innefatta att sprida kunskap om bästa praxis i och med olika säkerhetsstandarder. Att delta i eller hjälpa till att styra säkerhetshöjande aktiviteter så som workshops, hackathons eller Capture the Flag kan också ingå, samt att utföra hotmodelleringsövningar, kodgranskning eller använda sig av olika automatiserade säkerhetsverktyg.
Det är även viktigt att definiera hur mycket tid Security Champions har avsatt för att utföra arbetsuppgifterna som kommer med rollen. Detta måste vara förankrat med ledningsskiktet för att markera att detta är en prioritering!
- Nominera champions
Security Champions bör nomineras snarare än tilldelas en person, individen bör ha ett intresse för säkerhet samt en vilja att lära sig och engagera sig i säkerhetsfrågor. Det kan vara en bra idé att rekrytera från olika teams, som utvecklare, IT-arkitekter, testare och nätverksspecialister, för att säkerställa en bred säkerhetstäckning över hela organisationen.
- Skapa en kommunikationskanal
Etablera en kommunikationskanal för Security Champions, försök även involvera övriga team-medlemmar samt säkerhetsteam-kontakter. Organisera även regelbundna möten med gruppen, där Security Champions kan diskutera och rådfråga kring säkerhetsrelaterade problem/frågor.
- Kompetensutveckling
När Champions är rekryterade behöver de utbildas för att förstå olika säkerhetsprinciper och hur de kan appliceras i sina respektive roller och teams. Börja med grundläggande säkerhetsutbildning som täcker viktiga koncept, såsom phishing, hotmodellering, OWASP Top 10, och säker kodning. Därefter kan du erbjuda mer avancerade eller rollspecifika utbildningar för utvecklare, testare, arkitekter och andra relevanta roller.
- Mät framsteg och fira framgångar
För att bibehålla motivationen och visa programmets värde så är det bra att mäta och rapportera framsteg. Använd nyckeltal som antal identifierade och åtgärdade sårbarheter, incidentresponstid, och antalet genomförda säkerhetsutbildningar. Fira även små framgångar, och se till att Champions får erkännande för sitt arbete.
För att bibehålla och utveckla programmet kan man se steg 6 och 7 som återkommande iterationer som anpassas utefter uppsatta mål. Utifrån feedback och framsteg utvecklas och anpassas kompetensutvecklingen.
I kommande del av denna bloggserie går vi in på vilka vanliga fallgropar som kan uppkomma samt hur man kringgår dem för att skapa ett framgångsrikt Security Champions-program.
