Security Champions – DevSecOps Fokuseret Kickoff, Mentoring og Upskilling
Vores security champions-program er en skræddersyet pakke, der har til formål at implementere Security Champions i din organisation og skabe en mere sikkerhedsorienteret udviklingsproces.
Dine Security Champions vil øge sikkerhedsbevidstheden i udviklingsafdelingen, tag fat på bekymringer under udviklingen samt forhindre, at sårbarheder eller sikkerhedsrelaterede problemer når frem til produktion.
Efter vores kick-off forløb kan I selv kører programmet videre eller holde os inde i loopet, som det passer jer.
Fordele ved Security Champions
-
- Opbyg en kultur, hvor it-sikkerhed er en del af dagligdagen og designprocessen
- Spar tid og penge ved at tænke sikkerhed ind løbende og undgå dyre changes efter lancering
- Styrk din value propersition / marketing med sikkert software
- Få lokale sikkerhedseksperter i hvert udviklingsteam, der tænker sikkerhedsvaner ind i en travl hverdag
- Få din egen hær af Security Champions med generelle færdigheder inden for cybersikkerhed
- Blive compliant med sikkerheds rammeværk så som #16 i CIS18.
Kort om Security Champions
Vi hjælper med oprettelsen af et ”Security Champion”-program i din organisation. I vælger medlemmer fra udviklingsteamet til at være “Security Champion” for hvert team. Vi laver så en assesment af de kommende Security Champions nuværende niveau inden for cybersikkerheds og der specifikke ønsker, hvorudfra vi strikket et forløb sammen med mentoring og uddanne gennem workshops og træningssessioner
Målet er at uddanne team-medlemmer, så de kan fungere som en “kvalitetskontrol” og hjælpe med at fremhæve og navigere uden om potentielt usikre design- og udviklingsbeslutninger.
Disse elementer kan fåes som engangsydelser eller i et komplet sikkerhedsmesterprogram:
- Workshop/uddannelse – vi designer og leverer træning/workshops om relevante tekniske emner.
Gerne fysiske møder, men remote er også muligt - Rådgivning om DevSecOps/design – Hvis I har en beslutning, hvor I ønsker et eksperts perspektiv i forhold til at implementere sikkerhed smart og til en rimelig pris. Vi kan tage en dag eller mere sammen.
- Behovs- og self-skills-assessment – Vi har opbygget en template og tilgang til at afdække, hvilke behov der er blandt jeres kommende security champions. Det kan enten kun være kvantitative svar, men også med kvalitative (åbne) spørgsmål. Vi analyserer svarene og opsummerer dem i en sammenfattende rapport
- Hjælp til at designe sikkerhedsmesterprogrammet – Hvis man ikke allerede har et program, så kan vi hjælpe jer med at designe det ved hjælp af best practice og vores erfaring
- Facilitering af fællesmøder – Det er en fordel at dine security champions møder hinanden jævnligt og hjælpes ad. Vi er med for at facilitere mødet + måske også facilitere en brainstorm eller let aktivitet
- Mentoring af security champions – I form af regelmæssige (f.eks. hver 2. måned) ~30 min online møder, hvor vi kan diskutere problemer, de står over for i deres team, deres læringsvej for at øge sikkerhedsfærdigheder mv.
Workshops for Security Champions
For at sikre, at Security Champions føler, at de har den nødvendige viden, vil servicen inkludere en række workshops, der opkvalificerer medarbejderne. Disse tager typisk form af 1-dags workshops med fysisk tilstedeværelse, som vil omfatte forelæsninger, gruppediskussioner og praktiske øvelser i en uformel ramme.
Den første workshop vil ofte være om emnet “Hvordan bliver man en Security Champion”. Målet er at sikre, at de kommende Security Champions har den nødvendige viden til at føle sig komfortable med rollen fra dag 1.
Yderligere workshops vil blive afholdt baseret på behovsvurderingen for at give Security Champions anvendelig viden, der er tilpasset jeres organisatoriske kontekst og deres behov/ønsker. Dette kan omfatte:
- Hvordan man opdager sikkerhedsproblemer i kildekode (ved brug af automatiserede værktøjer og manuelt)
- Hands-on workshop, der gennemgår, hvordan angribere udnytter almindelige sårbarheder, for at give indsigt i, hvordan de fungerer, og hvordan man beskytter sig imod dem
- “Security by Design”-workshop, der viser, hvordan man nemt kan inkorporere sikkerhedsstandarder som OWASP ASVS som en del af designprocessen på en ikke-påtrængende måde
- Hvordan man udfører Identity and Access Management (IAM) sikkert, og almindelige faldgruber
- CTF-konkurrence (Capture the Flag) for at opnå hackerindsigt og opbygge teamånd blandt sikkerhedschampions
Mentor og understøttelse af Security Champions
Ofte vil Security Champion stå over for deres egne unikke udfordringer. Derfor ønsker vi at give dem mulighed for at stille spørgsmål, der er specifikt relateret til deres situation. Dette vil tage form af “1-til-1 mentorordning”. På disse dage kan Security Champions booke et møde med en af vores sikkerhedseksperter for at drøfte deres specifikke problem eller spørgsmål.
For at skabe en teamånd blandt Security Champions kan vi også fungere som en upartisk facilitator af “ Security Champions-gruppemøder” eller deltage i scrum- og udviklingsmøder. Der skal skabes et rum, hvor Security Champions kan diskutere problemer med hinanden. Vi kan arrangere gruppeaktiviteter som at arbejde på specifikke sikkerhedsudfordringer, beslutte bedste praksis til kommunikation i organisationen, opdatere hinanden om de nyeste nyheder og forskning inden for IT-sikkerhed osv. Målet er at sikre, at det bliver en almindelig praksis at mødes og kommunikere med andre Security Champions i jeres organisation, hvilket forhåbentlig vil sikre programmets langvarighed.
Rapportering
Da Security Champions programmet forløber over en længere periode vil der blive rapporteret omkring materialet involveret i workshops for at give overblik over det vidensbehov der blev identificeret under behovsvurderingen. Derudover vil der blive rapporteret på statussen af Security Champions gennem spørgeskemaer. Resultatet af analysen vil blive delt med relevante interessenter i din organisation. For de kvalitative spørgsmål vil vi opnå et overblik over kompetenceniveauet hos de forskellige sikkerhedschampions, som vist i dette eksempeldiagram:

Security Champions og Secure Coding Programs
Afhængigt af dine ambitioner inden for security by design, kan sikkerhedschampions-programmet enten indgå som en del af et større program, der adresserer sikker kodning på tværs af alle udviklere, eller det kan stå alene.
Uanset hvad er et sikkerhedschampions-program en effektiv måde at kickstarte kapabiliteter inden for sikker kodning og lade det vokse fra denne udvalgte gruppe af sikkerhedsambassadører og ud i din organisation.
Her er et eksempel på et program for sikker kodning med en integreret linje for sikkerhedschampions:
Jeg vil gerne ringes op
Benyt kontaktformularen, og vi vil ringe dig op inden for 12 timer.