Så anammar du Security by Design

Säkerhet är ett brett område som omfattar många delar i en verksamhet. I takt med att det ställs högre krav på säkerhet, kombinerat med fortsatt hög förändringstakt, upplever många plötslig säkerhet som en flaskhals. Samtidigt sätts säkerhet som ett fokus i verksamheten – men det är inte givet att säkerhet inkluderas redan i systemutvecklingsprocessen.

Det finns fler utmaningar när säkerhetsarbetet inte är integrerat i det dagliga utvecklingsarbetet. Bland annat går det långsamt att få ut features i produktion och det tar onödigt lång tid att korrigera säkerhetsbuggar.​ Så blir det när utvecklingsteam och säkerhetsgrupperingen inte har ett tydligt gemensamt mål och arbetar i silos istället för tillsammans.

”För oss är säkerheten en del av den vanliga DevOps-processen, det är inte en feature som kan prioriteras bort. Samtidigt är det en lika stor kulturell som teknisk förflyttning som ska till för att det ska fungera optimalt. Metoder och processer kommer aldrig lösa allt.  Vi kommer aldrig komma undan risker, speciellt inte om vi ständigt har ett reaktivt förhållningssätt till säkerhet. Att inkludera säkerhet i det första stadiet av utveckling är den enda vägen framåt. Och för att kunna göra det krävs det att vi är duktiga på att hjälpa våra kunder att aktivt arbeta med mindset och kultur, att förstå hur processerna påverkas samt vilka verktyg som krävs och hur det ska användas.” Säger Rebecca Hammel, Head of Application Development på Forefront.

Security by Design

DevSecOps möjliggör att verksamheter upptäcker sårbarheter tidigare i utvecklingsprocessen och kan åtgärda dem. Genom att också tänka på säkerhet redan i planeringsstadiet skapas möjligheten till en mer robust och stabil lösning som är säker i sin design och som medför mindre jobb i utvecklingsprocesser och implementationsfaser. När säkerhetsaktiviteter införs i varje steg i processen och arbetet sker metodiskt, strukturerat och automatiserat blir systemet eller produkten stabilare och säkrare.

Under 2023 genomför Forefront en omfattande kompetens-boost inom säker systemutveckling för att förstärka kompetensen hos alla konsulter, så de kan fortsätta hjälpa verksamheter att vara proaktiva i sitt säkerhetsarbete.

Rebecca förklarar ytterligare; ”Att hela tiden hålla sig ajour inom DevsecOps och Security by Design är viktigt av två skäl; våra kunder förväntar sig säkerhet som utvecklas kontinuerligt, och våra medarbetare drivs av att deras kompetenser ligger i framkant. Nu kommer drygt 250 systemutvecklare ta ett kliv mot att bli ännu vassare inom säker systemutveckling – superkul!”

Så gör du – 3 tips

För att arbeta framgångsrik med Security by design behöver du fokusera på tre områden; kultur, processer och verktyg.

Kultur

  • Bygg relationer mellan team, isolera dem inte.
  • Utbilda medarbetarna i säkerhet ; både de som arbetar med tekniken, men också övriga i verksamheten.
  • Identifiera säkerhetsentusiasterna i verksamheten som kan driva på förändringen
  • Fokusera på lösning och lär er av misstag längs vägen

Processer

  • Få med säkerhet redan i idé – och designfasen
  • Lös säkerhetsbuggar efter prioritet
  • Gör säkerhetskontroller programmerbara och automatiserade där det är möjligt
  • Skapa en DevSecOps-feedbackprocess för att kontinuerligt förbättra processen

Verktyg

  • Skapa mallar för script/verktyg för varje språk och plattform
  • Integrera säkerhet i DevOps-flödet
  • Våga testa och använda nya verktyg

Nyfiken på oss?

Kul! Vi är nyfikna på dig med. Hör av dig så lär vi känna varandra.