Security implementeren in een ontwikkelafdeling (of software development) is vaak een uitdaging omdat de focus vaak puur gericht is op technische uitgangspunten en deadlines die gesteld zijn. Je moet vaak grote technische uitdagingen aangaan zonder de juiste kennis in huis te hebben en/of de tijd die benodigd is.
Ontwikkelaars staan onder een constante druk om nieuwe features te implementeren en op andere manieren applicaties te onderhouden. Er zitten een paar fantastische securityspecialisten in je organisatie, maar die hebben het al veel te druk en dus geen tijd om ontwikkelaars te coachen. Dit is een groot probleem, maar gelukkig is er een goede oplossing voor; de Security Champion.
Wat is een Security Champion?
Binnen de cybersecurity spreken we over ‘Security Champions’. Dit zijn mensen binnen een softwareontwikkelteam, die ervoor zorgen dat er een security-cultuur ontstaat: een cultuur waarin security-kennis gedeeld wordt, er voldoende draagvlak is voor security en ontwikkelteams medeverantwoordelijk zijn voor het opleveren van een veilige applicatie. Kortom, een verbinder tussen development en security.
Met een Security Champion hoef je dus niet bij elk project weer te waarborgen dat security in de juiste mate betrokken wordt, maar heb je al een cultuur gecreëerd waar security-minded developers weten hoe ze dit soort uitdagingen aan moeten pakken.
Hoe wordt een ontwikkelaar een security baken?
De eerste keer dat ik zelf over dit principe hoorde, dacht ik: “Leuk dat we de verantwoordelijkheid op ontwikkelaars afschuiven, maar we kunnen toch niet verwachten dat ze van vandaag op morgen security-specialist worden?” Ik kwam er al snel achter dat dit helemaal niet zo’n groot probleem hoeft te zijn als ik dacht. In onze trainingen hebben we gezien dat in (bijna) elke groep developers er mensen zijn die al het een en ander af weten van goede security practices, of gemotiveerd zijn om zich te verdiepen in het onderwerp.
De taken van een Security Champion zijn als volgt (bron):
Op de hoogte zijn: de Champion zal samenwerken met de andere security-specialisten om een goede security-strategie vorm te geven. Daarnaast is het belangrijk dat de Champion de ruimte krijgt om zich te verdiepen in de wereld van security, met als doel te begrijpen wat hij/zij kan doen om de veiligheid van applicaties te verbeteren.
Collega’s bewustmaken: van de Champion wordt verwacht dat deze de kennis en motivatie om veilige applicaties te bouwen deelt met collega’s. Daarnaast zal de Champion als aanspreekpunt dienen voor security gerelateerde vragen binnen de groep ontwikkelaars.
- Deel uitmaken van security: ook wordt van de Champion verwacht dat hij/zij applicaties scant voor beveiligingsproblemen en deze zo nodig escaleert. Dit betekent dat de Champion helpt bij de QA en testing.
- Samenwerken: het is essentieel voor het succes van de Champion dat deze communiceert en samenwerkt met andere Champions en leden van het security-team. Regelmatige brainstorms en kennisdeling is daarom een uiterst goed idee.
- Inspireren: het is van belang dat de Champion het ontwikkelteam motiveert om de juiste best practices te volgen. De Champion zou bijvoorbeeld workshops kunnen geven rondom security onderwerpen of simpelweg security nieuws kunnen delen met het team.
