Shift Left People & Skills
Security Enablement für agile Entwicklungsteams

Vom zentralen Gatekeeper zur verteilten Security-Kompetenz

Die Security-Abteilung als alleiniger Wissensträger hat ausgedient. Um den Anforderungen agiler Softwareentwicklung an Geschwindigkeit und Sicherheit gerecht zu werden, muss Security dort verankert sein, wo neue Software entsteht – in den agilen Entwicklungsteams.

Allerdings fehlen in der Praxis meist die Zeit und die Expertise, um IT-Sicherheit professionell zu berücksichtigen. Training und Befähigung in allen Phasen des Secure Software Development Lifecycle (SDLC) werden somit zur zentralen Voraussetzung für sichere agile Softwareentwicklung.

Rollenspezifische Security-Qualifizierung

Mit DevSecOps rückt Applikationssicherheit näher an den Entwicklungsprozess heran. Doch das Entwicklungsteam ist in der Regel bereits mit Weiterentwicklung und Features voll ausgelastet; so wird Sicherheit schnell herunterpriorisiert. Damit die Verantwortung für Applikationssicherheit nicht allein bei den Entwicklungsteams liegt, sondern als teamübergreifende Aufgabe verstanden wird, muss auch die gesamte Organisation befähigt werden, daran mitzuarbeiten. Deshalb adressieren wir im Rahmen unserer Trainings- und Schulungsprogramme verschiedene interne Stakeholder:innen:

 

Dev-Teams

Wir befähigen Entwicklungsteams sichere Software zu bauen, indem wir relevantes Security-Knowhow für Entwickler:innen aufbereiten: Vom Erkennen bekannter Sicherheitslücken (OWASP Top 10) bis hin zu spezifischen Fähigkeiten etwa im Bereich Defensive Programing oder Container-Sicherheit.

Security-Teams

Wir schulen Mitglieder des Security-Teams im Umgang mit typischen Herausforderungen in der agilen Softwareentwicklung damit sie als Ansprechpartner:innen für Entwicklungsteams im Sinne einer gelebten DevSecOps-Kultur fungieren können.

Product Owner/ Führungskräfte

Wir schaffen ein gemeinsames Bewusstsein für die Anforderungen agiler Applikationssicherheit und unterstützen so die Berücksichtigung von Security bei der Ressourcenplanung sowie in Stories und Epics.

Ihre Application Security Roadmap

Unsere Trainings und Schulungen sind darauf ausgerichtet, Teams möglichst schnell lauffähig zu bekommen und kontinuierlich zu befähigen. Dazu ermitteln wir die spezifischen Anforderungen der Menschen, passen Trainingsinhalte darauf an und verankern sie nachhaltig in Ihrer Organisation:

Kompetenzlücken identifizieren 

Durch Interviews und Assessments ermitteln wir den vorhandenen Wissensstand und mögliche Kompetenzlücken, um die Schulungs- und Trainingsinhalte individuell daran anzupassen.

Awareness entwickeln

Wir schaffen durch Workshops, Vorträge und Live-Demos bei allen Prozessbeteiligten ein Bewusstsein für die Bedeutung und Anforderungen agiler Applikationssicherheit als Basis für eine sicherheitszentrierte Kultur.

Spezifische Security-Fähigkeiten aufbauen

Wir schulen ausgewählte securitybezogene Fähigkeiten und Kompetenzen bei spezifischen Zielgruppen, wie etwa Tester:innen, Container-Spezialist:innen oder Architekt:innen.

Train-the-Trainer

Mit Train-the-Trainer Konzepten, wie der Ausbildung von sog. Security-Champions, befähigen wir Personen, um als Multiplikatoren und Wissensvermittler in ihren jeweiligen Teams zu wirken, und sorgen so für eine nachhaltige Wissensweitergabe.

Wissen nachhaltig verankern

Über eigens entwickelte Anwendungen und Gamification-Ansätze stellen wir eine nachhaltige Verankerung der erlernen Security-Kompetenzen innerhalb des Teams sicher.

Ihr Ansprechpartner

Sie wollen die Awareness für Anwendungssicherheit in Ihrer Organisation erhöhen oder brauchen Unterstützung bei der Befähigung Ihrer agilen Entwicklungsteams? Buchen Sie direkt einen persönlichen Termin und machen Sie Ihre Organisation DevSecOps-ready!

Robert Felber, CISO & Head of Security Consulting 

Organisation: Effektive Zusammenarbeit in DevSecOps-Teams

Mehr erfahren

Culture & Leadership: DevSecOps-Kultur & Change Management

Mehr erfahren

Tools & Automation: Security Automation & Continuous Security Testing

Mehr erfahren