Säkerheten behöver involveras i alla steg i Agila projekt

Tidspress, okunskap och brist på bra verktyg äventyrar ofta säkerhetstänkandet i Agila projekt. “Intrång sker dagligen, många genom svagheter och brister i mjukvara. Tillsammans behöver vi ta ett större ansvar och förändra vårt arbetssättet”, säger Niclas Kjellin, säkerhetsexpert på Softhouse.

Att Agila metoder har blivit vanligare för utvecklingsprojekt har undgått få. Däremot upplever många att det kan vara svårt att få säkerhetstänkande att prägla det dagliga arbetet. I vissa fall glöms det helt bort, vilket kan ha tråkiga konsekvenser.

I Agila projekt växer produkten fram dynamiskt och därför behöver säkerheten följa med i förändringen. Detta innebär att den behöver involveras i alla steg, från sprintplanering och backlog-genomgång och hela vägen ner till den enskilda raden kod. Alla i teamet behöver vara engagerade, från utvecklare till produktägare.

Att arbeta med säkerhet i ett Agilt projekt kräver ett gemensamt kunskapslyft, inte minst för produktägaren som behöver förstå och prioritera behoven inom säkerhet, säger Niclas Kjellin. Däremot så behöver inte alla vara säkerhetsexperter; en gnutta medvetenhet räcker långt.

I många projekt läggs det mycket fokus på säkerhet i två delar av produktionskedjan: dels i början, dels i slutet före produktionssättning. Dessa insatser är viktiga, men tillvägagångssättet är inte kostnadseffektivt och ofta integreras inte säkerheten på ett naturligt sätt i det Agila projektet.

Säkerhetsrelaterade aktiviteter behöver introduceras och ges utrymme under utvecklingen. Det handlar om medvetenhet, prioritering och riskhantering. Med några enkla förändringar är det möjligt att aktivt arbeta med säkerheten i ett projekt och tidigt fånga och åtgärda potentiella problem.

Att använda alternativa User Stories fokuserade på säkerhet är en bra början för att få teamet att tänka på säkerheten, säger Niclas Kjellin. Själv använder jag mig av en lista av redan definierade Security Stories inom vanliga områden för att stimulera diskussion och medvetenhet.

Så höjer du säkerhetsmedvetenhet i ett Agilt projekt

För en mer utförlig beskrivning, se artikeln “Top 5 advice to include security in any Agile software project”.