Organisation: Effektive Zusammenarbeit in DevSecOps-Teams
Die Security-Abteilung als alleiniger Wissensträger hat ausgedient. Um den Anforderungen agiler Softwareentwicklung an Geschwindigkeit und Sicherheit gerecht zu werden, muss Security dort verankert sein, wo neue Software entsteht – in den agilen Entwicklungsteams.
Allerdings fehlen in der Praxis meist die Zeit und die Expertise, um IT-Sicherheit professionell zu berücksichtigen. Training und Befähigung in allen Phasen des Secure Software Development Lifecycle (SDLC) werden somit zur zentralen Voraussetzung für sichere agile Softwareentwicklung.
Mit DevSecOps rückt Applikationssicherheit näher an den Entwicklungsprozess heran. Doch das Entwicklerteam ist in der Regel bereits mit Weiterentwicklung und Features voll ausgelastet; so wird Sicherheit schnell herunterpriorisiert. Damit die Verantwortung für Applikationssicherheit nicht allein bei den Entwicklerteams liegt, sondern als teamübergreifende Aufgabe verstanden wird, muss auch die gesamte Organisation befähigt werden, daran mitzuarbeiten. Deshalb adressieren wir im Rahmen unserer Trainings- und Schulungsprogramme verschiende interne Stakeholder:
Wir befähigen Entwicklerteams sichere Software zu bauen, indem wir relevantes Security-Knowhow Entwickler-gerecht aufbereiten: Vom Erkennen bekannter Sicherheitslücken (OWASP Top 10) bis hin zu spezifischen Fähigkeiten etwa im Bereich Defensive Programing oder Container-Sicherheit.
Wir schulen Mitglieder des Security-Teams im Umgang mit typischen Herausforderungen in der agilen Softwareentwicklung damit sie als Ansprechpartner für Entwicklerteams im Sinne einer gelebten DevSecOps-Kultur fungieren können.
Wir schaffen ein gemeinsames Bewusstsein für die Anforderungen agiler Applikationssicherheit und unterstützen so die Berücksichtigung von Security bei der Ressourcenplanung sowie in Stories und Epics.
Unsere Trainings und Schulungen sind darauf ausgerichtet, Teams möglichst schnell lauffähig zu bekommen und kontinuierlich zu befähigen. Dazu ermitteln wir die spezifischen Anforderungen der Menschen, passen Trainingsinhalte darauf an und verankern sie nachhaltig in Ihrer Organisation:
Durch Interviews und Assessments ermitteln wir den vorhandenen Wissensstand und mögliche Kompetenzlücken, um die Schulungs- und Trainingsinhalte individuell daran anzupassen.
Wir schaffen durch Workshops, Vorträge und Live-Demos bei allen Prozessbeteiligten ein Bewusstsein für die Bedeutung und Anforderungen agiler Applikationssicherheit als Basis für eine sicherheitszentrierte Kultur.
Wir schulen ausgewählte securitybezogene Fähigkeiten und Kompetenzen bei spezifischen Zielgruppen, wie etwa Testern, Container-Spezialisten oder Architekten.
Mit Train-the-Trainer Konzepten, wie der Ausbildung von sog. Security-Champions, befähigen wir Personen, um als Multiplikatoren und Wissensvermittler in ihren jeweiligen Teams zu wirken, und sorgen so für eine nachhaltige Wissensweitergabe.
Über eigens entwickelte Anwendungen und Gamification-Ansätze stellen wir eine nachhaltige Verankerung der erlernen Security-Kompetenzen innerhalb des Teams sicher.
Sie wollen die Awareness für Anwendungssicherheit in Ihrer Organisation erhöhen oder brauchen Unterstützung bei der Befähigung Ihrer agilen Entwicklungsteams?
Buchen Sie direkt einen persönlichen Termin mit Robert Felber (Head of Security), und machen Sie Ihre Organisation DevSecOps-ready!
