Shift Left Culture & Leadership
DevSecOps Kultur & Change Management

Was ist eine Shift Left Culture?

Während DevOps die Entwicklungsgeschwindigkeit und Skalierbarkeit von Software massiv erhöht hat, gilt Security in vielen Organisationen weiterhin als Blockierer, der Deployments verzögert und das Entwicklungstempo bremst. Um Applikationssicherheit wirkungsvoll in moderne Entwicklungsprozesse zu integrieren, müssen:

  • kulturelle Vorurteile abgebaut
  • neue Führungsmodelle etabliert und
  • ein echter Kulturwandel in Richtung einer sicherheitsorientierten Softwareentwicklung auf allen Ebenen der Organisation angestoßen werden.

Wir nennen das Shift Left Culture.

Dimensionen der Security-driven Company

Organisationen mit einer security-orientieren Kultur besitzen ein ausgeprägtes Bewusstsein für die Bedeutung und den Wert von Applikationssicherheit in allen Phasen des SDLC und richten ihre Prozesse aktiv daran aus. Das umfasst verschiedene Aspekte von Kultur und Leadership:

Team Empowerment

Sichere agile Softwareentwicklung funktioniert nicht über zentrale Policies und Checklisten, sondern über die Befähigung von Teams und Menschen, Verantwortung für Security zu übernehmen. Organisationen müssen deshalb Prozesse und Führungsmodelle entwickeln, die Teammitglieder in die Lage versetzen, fundierte Sicherheitsentscheidungen zu treffen, die mit den Compliance-Zielen des Unternehmens in Einklang stehen.

Secure by Design

Security-orientierte Organisationen betrachten Applikationssicherheit nicht nur als letzten Prüfschritt, sondern machen Security zum zentralen Design-Prinzip in allen Phasen des Softwareentwicklungsprozesses – von der Softwarearchitektur, über Defensive Coding bis hin zu sicheren Benutzeroberflächen. Kontinuierliche Security-Tests und Scans über alle Phasen des Entwicklungsprozesses hinweg decken Schwachstellen verlässlich auf und machen sie behebbar.

Transparenz

Transparenz zwischen Teams schafft Vertrauen und fördert die Zusammenarbeit und sorgt dafür, dass bestehende Silos zwischen Abteilungen überwunden werden. Security-orientierte Organisationen fördern deshalb den Team-übergreifenden und interdisziplinären Austausch durch bewusste Touchpoints, wie z.B. Security Communities, Capture-the-Flag (CTF) Games oder Lightning Talks.

Shared Responsibility

In Organisationen mit ausgeprägter DevSecOps-Kultur ist Sicherheit nicht die Aufgabe von Einzelnen, sondern die gemeinsame Verantwortung aller. Durch das gemeinsame Commitment verändert sich die Rolle von Security – vom Blockierer zum gemeinsamen Ziel-Objekt.

Management Attention

Elementare Voraussetzung für eine gelebte Security-Kultur ist ein gemeinsames Verständnis für den Wert und die Wichtigkeit von Applikationssicherheit – vom Entwicklungsteam bis zur Managementebene. Nur so ist sichergestellt, dass Security-Aspekte bei der Ressourcenverteilung oder Priorisierung nicht zugunsten von Entwicklungsgeschwindigkeit oder -kosten geopfert werden.

Unser Ansatz für den Cultural Shift Left

Unsere Trainings und Schulungen sind darauf ausgerichtet, Teams möglichst schnell lauffähig zu bekommen und kontinuierlich zu befähigen. Dazu ermitteln wir die spezifischen Anforderungen der Menschen, passen Trainingsinhalte darauf an und verankern sie nachhaltig in Ihrer Organisation:

Reifegrad ermitteln

Wir zeigen Veränderungsbedarfe in Ihrer Organisation auf und leiten daraus ein Zielbild für Ihren kulturellen Wandel ab.

Awareness erzeugen

Mit zielgruppenspezifischen Awareness-Workshops erzeugen wir ein Bewusstsein für die Dringlichkeit der Veränderung auf und schaffen ein gemeinsames Verständnis für den Wert von Sicherheit.

Experimente durchführen

Wir initiieren Veränderung in definierten Experimentierräumen, um kulturelle Praktiken zu verproben und erlebbar zu machen.

Erfolge feiern

Mit zielgruppenspezifischen Awareness-Workshops erzeugen wir ein Bewusstsein für die Dringlichkeit der Veränderung auf und schaffen ein gemeinsames Verständnis für den Wert von Sicherheit.

Fortschritt beobachten

Wir überprüfen die Verankerung des Wandels durch regelmäßige Kultur-Audits, in denen wir den Fortschritt in der Organisationspraxis überprüfen.

Ihr Ansprechpartner

Sie möchten den ersten Schritt in Richtung einer sicherheitsorientierten Organisationskultur gehen? In einem unverbindlichen Erstgespräch klären wir Anforderungen und mögliche Vorgehensweisen für Ihren Cultural Shift Left.

Robert Felber, CISO & Head of Security Consulting 

Organisation: Effektive Zusammenarbeit in DevSecOps-Teams

Mehr erfahren

People & Skills: Security Enablement für agile Entwicklungsteams

Mehr erfahren

Tools & Automation: Security Automation & Continuous Security Testing

Mehr erfahren