Säkerheten behöver involveras i alla steg i Agila projekt

Tidspress, okunskap och brist på bra verktyg äventyrar ofta säkerhetstänkandet i Agila projekt. “Intrång sker dagligen, många genom svagheter och brister i mjukvara. Tillsammans behöver vi ta ett större ansvar och förändra vårt arbetssättet”, säger Niclas Kjellin, säkerhetsexpert på Softhouse.

Att Agila metoder har blivit vanligare för utvecklingsprojekt har undgått få. Däremot upplever många att det kan vara svårt att få säkerhetstänkande att prägla det dagliga arbetet. I vissa fall glöms det helt bort, vilket kan ha tråkiga konsekvenser.

I Agila projekt växer produkten fram dynamiskt och därför behöver säkerheten följa med i förändringen. Detta innebär att den behöver involveras i alla steg, från sprintplanering och backlog-genomgång och hela vägen ner till den enskilda raden kod. Alla i teamet behöver vara engagerade, från utvecklare till produktägare.

Att arbeta med säkerhet i ett Agilt projekt kräver ett gemensamt kunskapslyft, inte minst för produktägaren som behöver förstå och prioritera behoven inom säkerhet, säger Niclas Kjellin. Däremot så behöver inte alla vara säkerhetsexperter; en gnutta medvetenhet räcker långt.

I många projekt läggs det mycket fokus på säkerhet i två delar av produktionskedjan: dels i början, dels i slutet före produktionssättning. Dessa insatser är viktiga, men tillvägagångssättet är inte kostnadseffektivt och ofta integreras inte säkerheten på ett naturligt sätt i det Agila projektet.

Säkerhetsrelaterade aktiviteter behöver introduceras och ges utrymme under utvecklingen. Det handlar om medvetenhet, prioritering och riskhantering. Med några enkla förändringar är det möjligt att aktivt arbeta med säkerheten i ett projekt och tidigt fånga och åtgärda potentiella problem.

Att använda alternativa User Stories fokuserade på säkerhet är en bra början för att få teamet att tänka på säkerheten, säger Niclas Kjellin. Själv använder jag mig av en lista av redan definierade Security Stories inom vanliga områden för att stimulera diskussion och medvetenhet.

Så höjer du säkerhetsmedvetenhet i ett Agilt projekt
 

  • Utnämn en Security Champion
    Låt någon i teamet ta ansvar för säkerhetsfrågorna.
  • Genomför återkommande säkerhetskontroller
    På så sätt ser man till att säkerhetslösningen utvecklas i takt med produkten.
  • Säkerhetsanalysera varje User Story
    Här kan man använda enkla gruppövningar för att identifiera säkerhetsbehoven.
  • Använd återanvändbara säkerhetsrelaterade stories
    Detta är ett bra sätt att förenkla och stimulera säkerhetsarbetet.
  • Ha koll på säkerhetsskulden
    Ta rätt beslut genom att tydliggöra ofärdiga och ohanterade säkerhetsuppgifter

För en mer utförlig beskrivning, se artikeln “Top 5 advice to include security in any Agile software project”.

 

Niclas Kjellin är säkerhetsexpert på Softhouse, certifierad etisk hackare och mjukvaruutvecklare med en lång erfarenhet av digital produktutveckling och dess processer.