Security verbeteren met een Security Champions-programma

Redactie WINMAG Pro
Nu er meer applicaties worden gebouwd dan ooit tevoren, is security een groeiende zorg voor ontwikkelaars.

Door Simon Maple, Field CTO bij Snyk

Ontwikkelaars veranderen de traditionele manier van werken. In plaats van security te zien als bijzaak proberen ontwikkelaars nu te bouwen met security al vanaf het begin in hun gedachten. Maar, zoals alles, is het moeilijk om traditionele gewoonten los te laten en nieuwe aan te nemen.

Als leider is het implementeren van een Security Champion-programma een eindige manier om securityprotocollen intern op een hoger niveau te brengen en security top of mind te maken bij iedereen. Het doel van een Security Champion-programma is om pijnpunten voor ontwikkelaars weg te nemen en de ontwikkeling van veilige applicaties te vergroten.

Maar hoe implementeer je die effectief?

Neem de tijd voor het maken van het programma

Zoals bij alle grote projecten, betekent het nemen van de tijd voor een project meer kans van slagen. Een van de meest tijdrovende onderdelen van een programma als dit is het bepalen wie de kampioenen worden.

Het klinkt misschien contra-intuïtief, maar securitykampioenen hoeven geen securityexperts te zijn. In plaats daarvan moeten ze alleen een interesse in security hebben. Hun primaire rol is om te fungeren als doorgeefluik tussen ontwikkelaars en securityteams, waarbij beide partijen gefocust blijven op het tijdig oplossen van securityproblemen, zodat applicaties veilig kunnen worden ontwikkeld.

Wanneer je jouw kampioenen selecteert, begin dan met jouw ontwikkelaars te vragen wat hun interesses zijn en of ze openstaan om de rol op zich te nemen. Wees transparant over de rol, tijdsverplichtingen en precies wat je van hen vraagt.

Sta open voor verandering en ondersteun nieuwe beslissingen

Zodra je je kampioenen op hun plaats hebt, organiseer dan wekelijkse vergaderingen, zodat je een open dialoog kunt voeren over wat er op het terrein gebeurt. Onthoud dat om te slagen, ze begeleiding nodig hebben. Deze gesprekken geven je een beter inzicht in het securitylandschap binnen jouw organisatie. Gebruik dit inzicht om door te gaan met het strategiseren en vormgeven van het programma.

Zet je schrap voor gevallen waarin een ontwikkelaar die enthousiast was om de rol op zich te nemen, nu niet wil doorgaan in de rol of zich overweldigd voelt door de nieuwe verantwoordelijkheid. Hoewel het niet ideaal is, is het oké om je kampioen toe te staan af te treden en een andere ontwikkelaar aan te moedigen om de verantwoordelijkheid op zich te nemen.

Het schalen van het programma is een andere uitdaging. Het aantal kampioenen dat je in het programma inbrengt, is aan jou. Vaak is het logischer om te beginnen met een klein handjevol om het water te testen en dit in de loop van de tijd uit te breiden naarmate het programma vorm begint te krijgen.

Haalbare doelen presenteren en successen erkennen

Leg de lat niet te hoog door kampioenen doelen te geven die moeilijk te bereiken zijn, vooral in het begin. Overweeg om te beginnen met een of twee activiteiten waarop securitykampioenen zich zouden moeten concentreren en voeg ze toe naarmate het programma groeit.

Presenteer in de loop van de tijd meetbare - en realistische - doelen, inclusief statistieken die de efficiëntie volgen die securitykampioenen brengen naar het securityteam en de DevSecOps-pijplijn. Stel bijvoorbeeld een doel om het aantal opgeloste kwetsbaarheden te vergroten.

De belangrijkste tip die leiders moeten volgen, is het erkennen van successen en overwinningen. Dus zorg ervoor dat je kampioenen feliciteert met zelfs de kleinste dingen, zodat ze het gevoel hebben dat ze echt een verschil maken. Als teams succes hebben en ontwikkelaars snel veilige applicaties leveren, beloon de kampioenen dan voor hun harde werk. Dit zal hen motiveren om het goed te blijven doen in hun rol en uiteindelijk het bedrijf als geheel ten goede komen.

Mogelijk zie je de resultaten van een programma voor securitykampioenen niet meteen; het kan weken of zelfs maanden duren. Het uiteindelijke doel van het programma is echter om de securitymindset van ontwikkelteams te veranderen. Dit kan zoiets eenvoudigs betekenen als teams die meer gesprekken voeren over security of het kan resulturen in meer kwetsbaarheden dan ooit tevoren die worden gepatcht. Hoe dan ook, het programma zal je in de goede richting sturen.

afbeelding van Redactie WINMAG Pro

RedactieWINMAG Pro | Redacteur

Bekijk alle artikelen vanRedactie