Organisation: Effektive Zusammenarbeit in DevSecOps-Teams
Die Security-Abteilung als alleiniger Wissensträger hat ausgedient. Um den Anforderungen agiler Softwareentwicklung an Geschwindigkeit und Sicherheit gerecht zu werden, muss Security dort verankert sein, wo neue Software entsteht – in den agilen Entwicklungsteams.
Allerdings fehlen in der Praxis meist die Zeit und die Expertise, um IT-Sicherheit professionell zu berücksichtigen. Training und Befähigung in allen Phasen des Secure Software Development Lifecycle (SDLC) werden somit zur zentralen Voraussetzung für sichere agile Softwareentwicklung.
Mit DevSecOps rückt Applikationssicherheit näher an den Entwicklungsprozess heran. Doch das Entwicklungsteam ist in der Regel bereits mit Weiterentwicklung und Features voll ausgelastet; so wird Sicherheit schnell herunterpriorisiert. Damit die Verantwortung für Applikationssicherheit nicht allein bei den Entwicklungsteams liegt, sondern als teamübergreifende Aufgabe verstanden wird, muss auch die gesamte Organisation befähigt werden, daran mitzuarbeiten. Deshalb adressieren wir im Rahmen unserer Trainings- und Schulungsprogramme verschiedene interne Stakeholder:innen:
Wir befähigen Entwicklungsteams sichere Software zu bauen, indem wir relevantes Security-Knowhow für Entwickler:innen aufbereiten: Vom Erkennen bekannter Sicherheitslücken (OWASP Top 10) bis hin zu spezifischen Fähigkeiten etwa im Bereich Defensive Programing oder Container-Sicherheit.
Wir schulen Mitglieder des Security-Teams im Umgang mit typischen Herausforderungen in der agilen Softwareentwicklung damit sie als Ansprechpartner:innen für Entwicklungsteams im Sinne einer gelebten DevSecOps-Kultur fungieren können.
Wir schaffen ein gemeinsames Bewusstsein für die Anforderungen agiler Applikationssicherheit und unterstützen so die Berücksichtigung von Security bei der Ressourcenplanung sowie in Stories und Epics.
Unsere Trainings und Schulungen sind darauf ausgerichtet, Teams möglichst schnell lauffähig zu bekommen und kontinuierlich zu befähigen. Dazu ermitteln wir die spezifischen Anforderungen der Menschen, passen Trainingsinhalte darauf an und verankern sie nachhaltig in Ihrer Organisation:
Durch Interviews und Assessments ermitteln wir den vorhandenen Wissensstand und mögliche Kompetenzlücken, um die Schulungs- und Trainingsinhalte individuell daran anzupassen.
Wir schaffen durch Workshops, Vorträge und Live-Demos bei allen Prozessbeteiligten ein Bewusstsein für die Bedeutung und Anforderungen agiler Applikationssicherheit als Basis für eine sicherheitszentrierte Kultur.
Wir schulen ausgewählte securitybezogene Fähigkeiten und Kompetenzen bei spezifischen Zielgruppen, wie etwa Tester:innen, Container-Spezialist:innen oder Architekt:innen.
Mit Train-the-Trainer Konzepten, wie der Ausbildung von sog. Security-Champions, befähigen wir Personen, um als Multiplikatoren und Wissensvermittler in ihren jeweiligen Teams zu wirken, und sorgen so für eine nachhaltige Wissensweitergabe.
Über eigens entwickelte Anwendungen und Gamification-Ansätze stellen wir eine nachhaltige Verankerung der erlernen Security-Kompetenzen innerhalb des Teams sicher.
Sie möchten wissen, wie Sie die relevanten Security-Themen konsequent angehen und IT-Sicherheit von Anfang an in Ihre Entwicklungsprozesse integrieren können? Für eine kostenfreie und unverbindliche Beratung können Sie sich direkt einen Termin buchen.
Jan Girlich, Lead Application Pentesting
