Security Champions – DevSecOps Fokuseret Kickoff, Mentoring og Upskilling

Kort om Security Champions

Vi hjælper med oprettelsen af et ”Security Champion”-program i din organisation. I vælger medlemmer fra udviklingsteamet til at være “Security Champion” for hvert team. Vi laver så en assesment af de kommende Security Champions nuværende niveau inden for cybersikkerheds og der specifikke ønsker, hvorudfra vi strikket et forløb sammen med mentoring og uddanne gennem workshops og træningssessioner

Målet er at uddanne teammedlemmer, så de kan fungere som en “kvalitetskontrol” og hjælpe med at fremhæve og navigere uden om potentielt usikre design- og udviklingsbeslutninger.

Workshops for Security Champions

For at sikre, at Security Champions føler, at de har den nødvendige viden, vil servicen inkludere en række workshops, der opkvalificerer medarbejderne. Disse tager typisk form af 1-dags workshops med fysisk tilstedeværelse, som vil omfatte forelæsninger, gruppediskussioner og praktiske øvelser i en uformel ramme.

Den første workshop vil ofte være om emnet “Hvordan bliver man en Security Champion”. Målet er at sikre, at de kommende Security Champions har den nødvendige viden til at føle sig komfortable med rollen fra dag 1.

Yderligere workshops vil blive afholdt baseret på behovsvurderingen for at give Security Champions anvendelig viden, der er tilpasset jeres organisatoriske kontekst og deres behov/ønsker. Dette kan omfatte:

• Hvordan man opdager sikkerhedsproblemer i kildekode (ved brug af automatiserede værktøjer og manuelt)
• Hands-on workshop, der gennemgår, hvordan angribere udnytter almindelige sårbarheder, for at give indsigt i, hvordan de fungerer, og hvordan man beskytter sig imod dem
• “Security by Design”-workshop, der viser, hvordan man nemt kan inkorporere sikkerhedsstandarder som OWASP ASVS som en del af designprocessen på en ikke-påtrængende måde
• Hvordan man udfører Identity and Access Management (IAM) sikkert, og almindelige faldgruber
• CTF-konkurrence (Capture the Flag) for at opnå hackerindsigt og opbygge teamånd blandt sikkerhedschampions

Mentor og understøttelse af Security Champions

Ofte vil Security Champion stå over for deres egne unikke udfordringer. Derfor ønsker vi at give dem mulighed for at stille spørgsmål, der er specifikt relateret til deres situation. Dette vil tage form af “1-til-1 mentorordning”. På disse dage kan Security Champions booke et møde med en af vores sikkerhedseksperter for at drøfte deres specifikke problem eller spørgsmål.

For at skabe en teamånd blandt Security Champions kan vi også fungere som en upartisk facilitator af “ Security Champions-gruppemøder” eller deltage i scrum- og udviklingsmøder. Der skal skabes et rum, hvor Security Champions kan diskutere problemer med hinanden. Vi kan arrangere gruppeaktiviteter som at arbejde på specifikke sikkerhedsudfordringer, beslutte bedste praksis til kommunikation i organisationen, opdatere hinanden om de nyeste nyheder og forskning inden for IT-sikkerhed osv. Målet er at sikre, at det bliver en almindelig praksis at mødes og kommunikere med andre Security Champions i jeres organisation, hvilket forhåbentlig vil sikre programmets langvarighed.

Rapportering

Da Security Champions programmet forløber over en længere periode vil der blive rapporteret omkring materialet involveret i workshops for at give overblik over det vidensbehov der blev identificeret under behovsvurderingen. Derudover vil der blive rapporteret på statussen af Security Champions gennem spørgeskemaer.