Skip to content

From Underdog to Champion: Den kompletta guiden för att implementera ett framgångsrikt Security Champions-Program – Del 2

I del 1 av denna bloggserie introducerades begreppet Security Champions och dess syfte. Fokus låg även på hur ett Security Champions-program kan bidra till att stärka säkerheten genom hela organisationen samt viktiga komponenter som bör ingå vid skapandet av ett Security Champions-program. I detta inlägg lyfts hur man kan förbättra programmet och vilka vanliga utmaningar och lösningar som kan uppkomma vid implementering.


Hur man skapar ett framgångsrikt Security Champions Program

För att säkerställa programmets framgång är det oerhört viktigt att få stöd från den högsta ledningen samt förklara vikten av att kontinuerligt arbeta med säkerhetsfrågor. Presentera fördelarna med ett Security Champions-program, så som minskade säkerhetsrisker, snabbare hantering av sårbarheter och ökad säkerhetsmedvetenhet bland anställda.

Det är även viktigt att champions inte känner att de överbelastas med nya arbetsuppgifter. Därför ska det definieras hur mycket tid Security Champions ska allokera för dessa nya arbetsuppgifter, exempelvis 20% för en dag i veckan eller 10% för en halv dag i veckan. Detta kräver att man har stöd från ledningen inklusive alla som ansvarar för varje enskilt team.

Belöna Security Champions för deras ansträngningar med att förbättra organisationens säkerhetsställning. Syftet med detta är att skapa ett incitament som motiverar och uppmuntrar fortsatt entusiasm och engagemang i deras roll; när champions uppmärksammas för deras insatser är de mer benägna att ta ägarskap och vara proaktiva i sitt säkerhetsdeltagande. För att effektivt implementera denna princip så bör organisationen utveckla ett system som regelbundet belönar och erkänner Security Champions ansträngningar. Några exempel på detta kan vara:

  1. Dashboard för framsteg:

Skapa en dashboard som spårar och visar bidrag och prestationer från varje Security Champion. Detta kan sporra deltagare att tävla med varandra för att uppnå fler prestationer, samt hjälpa att identifiera deltagare som ska belönas.
 

  1. Unika klistermärken för milstolpar:

Designa unika märken som champions belönas med efter de uppnått olika milstolpar, så som att slutföra en utbildning eller att ha varit deltagare i Security Champions-programmet i 1 år.
 

  1. Konferenser och events:

Sponsra Security Champions i att få delta på relevanta konferenser, workshops eller andra events.

  1. Rekommendationsformulär och certifikat:

Skapa ett system där Security Champions får utmärkelser och erkännanden för deras ansträngningar.


Gamification kan vara ett kraftfullt verktyg för att förbättra ett Security Champions-program genom att göra säkerhetsinlärning roligare och mer motiverande. Genom att implementera spelmekanismer som poäng, utmärkelser och tävlingar kan ni skapa en mer dynamisk miljö som uppmuntrar deltagande och engagemang. Lärande genom spelmoment skulle kunna innefatta säkerhetsquiz, simulerade attacker och olika former av workshops.

Utmaningar och lösningar

När du startar ett Security Champions-program kan flera utmaningar uppstå. Här är några vanligt förekommande hinder och tips på hur ni kan hantera dem:

  1. Bristande engagemang: 

Utmaning: Om deltagarna inte är tillräckligt engagerade kan programmet tappa momentum och inte uppnå sin fulla potential. Detta kan bero på att deltagare ser säkerhet som något utanför sitt vanliga arbetsområde eller att de är överbelastade med andra uppgifter. 

Lösning: Detta är varför Security Champions bör nomineras till rollen – det måste finnas ett tydligt intresse och förståelse för varför säkerhetsarbete är viktigt. Vidare är det viktigt att ha ledningens stöd och säkerställa att Security Champions får allokerad tid för att utföra de uppgifter som kommer med att vara en Security Champion. Slutligen kan gamification och belöningssystem vara starka verktyg för att hålla motivationen och engagemanget uppe hos Security Champions. 

  1. Svårt att få återkoppling och mäta framgångar:

Utmaning:  Det kan vara utmanande att mäta hur framgångsrikt ett Security Champions-program är samt visa konkreta resultat. 

Lösning: Definiera tydliga KPI:er, mätbara mål och indikatorer som mäter programmets framgångar, exempelvis minskade antal sårbarheter, antal utförda säkerhetsövningar som hotmodellering eller antal utbildningar gjorda. Dessutom är det viktigt att försöka involvera andra medlemmar i teamet och framför allt teams-ansvarig. Utför även kvalitativa utvärderingar, där Security Champions delar hur teamets säkerhetsmedvetenhet har förändrats och hur arbetsprocesser har blivit mer säkerhetsmedvetna. Denna feedback kan användas som konkreta framgångsexempel.

OWASP SAMM (Software Assurance Maturity Model) är ett utmärkt ramverk för att utvärdera säkerhetsmognad inom mjukvaruutveckling. Dessvärre är det mindre relevant för champions som är icke-utvecklare, så som testare, IT-arkitekter och andra roller. Så för program med deltagare från olika avdelningar så är det extra viktigt att definiera tydliga nyckelindikatorer som visar på förbättrad säkerhetsmognad i hela organisationen, inte bara inom utveckling.

  1. Tidspress och resursbegräsning:

Utmaning: En vanlig utmaning är att Security Champions kan känna att de inte har tid att ta på sig extra ansvar, speciellt i teams som arbetar med utveckling där det huvudsakliga målet är att leverera så mycket som möjligt och följa väldigt strikta deadlines.

Lösning: Integrera säkerhet in i arbetsflödet. I stället för att se säkerhet som något separat kan du hjälpa Security Champions att förstå hur säkerhet kan integreras i deras dagliga arbetsuppgifter. Använd exempel som "shift-left" inom utveckling, där säkerhet tidigt blir en naturlig del av utvecklingscykeln. Tillhandahåll automatiserade verktyg som underlättar för champions att identifiera och åtgärda problem, så som säkerhetsskanners, larm och integrerade CI/CD-pipelines.

 

Så, precis som vi inte bör skjuta upp en raket utan att först säkerställa att allt är säkert och på plats, bör vi inte heller hantera system eller utveckla mjukvara utan att ha säkerhet i åtanke från början. Genom att ha Security Champions i varje team, som egna säkerhetsexperter ombord på raketen, så ser vi inte bara till att nå våra mål snabbt och effektivt, utan också tryggt och säkert. Säkerhet ska inte vara en eftertanke, utan en del av resan från första skiss till slutdestination.

 

Referenser

https://owasp.org/www-project-developer-guide/draft/culture_building_and_process_maturing/security_champions/security_champions_program/

https://owasp.org/www-project-security-culture/v10/4-Security_Champions/

https://owasp.org/www-project-security-champions-guidebook/