This is the multi-page printable view of this section. Click here to print.
En Security Champion er en person som fungerer som en pådriver og motivator for sikkerhetsarbeidet i et team eller en avdeling/enhet. Ansvaret for sikkerheten ligger på teamet i sin helhet, men som Security Champion bidrar du til bevisstgjøring og fokus.
Enkelt forklart så er en Security Champion en ambassadør for sikkerhet, teamets sikkerhetssamvittighet.
Begrepet “Security Champion” har etterhvert blitt et etablert begrep for å favne om folk som ikke nødvendigvis jobber direkte med sikkerhet, men som kan være en brobygger mellom de formelle sikkerhetsrollene og utviklerteamene.
Det finnes mange måter å implementere et Security Champion-program på; OWASP har en forholdsvis utfyllende liste med punkter for et program der Security Champions har en mer formell rolle. I Bouvet har vi valgt en annen løsning inspirert av NAV og Equinor der det hele er mer uformellt, og hver enkelt kan bidra med det en kan og har kapasitet til.
Her vil det variere mellom regioner, enheter og team, men i stor grad er det opp til hver enkelt Security Champion å vurdere hvor mye en kan engasjere seg utover eget prosjekt. Slack-kanalen #security-champions brukes for å annonsere eventer, dele nyttig informasjon og liknende som angår Security Champions i Bouvet.
I tillegg er det mange som bruker Slack-kanalen #sikkerhet for å dele nyheter, stille spørsmål eller poste tips og triks. Noen regioner har også faste samlinger for alle Security Champions, i tillegg til at det arrangeres kurs, meetups, foredrag og mye annet.
Bouvet begynner å bli et stort selskap med stort spenn i prosjektene vi jobber med, og sikkerhet er et gedigent område der alle har noe nytt å lære hver dag. Vi digger kompetansedeling, så det er kjempekult om akkurat DU har lyst til å engasjere deg og dele det du vet med andre - uansett hvor lav eller høy terskelen for å forstå det måtte være.
Og viktigst av alt; vi selger primært kompetanse, og flere engasjerte Security Champions er aldri negativt. Dersom du er usikker på hva du får lov til å gjøre eller ikke, prat med nærmeste leder og andre Security Champions i regionen så finner dere helt sikkert en løsning.
Du kan gjerne begynne med å stille deg selv noen spørsmål?
Når du begynner å skape deg en bevissthet så kan vi gå videre å finne ut av mer. Nå kan du begynne å ta litt initiativ i teamet ditt.
Et godt startsted er å organisere en trusselmodellerings-øvelse. Du trenger ikke kunne noe om trusselmodellering, men du kan få litt støtte her Threatmodeling manifesto. Målet med denne trusselmodelleringen er at du og teamet skal få et bevisst forhold til trusler og kanskje få i gang tankeprosessen rundt mottiltak.
Vurder å etablere et bug bounty program (premiering for å finne bugs) eller noe som får teamet ditt med på å aktive finne utfordringer som bør/må løses.
Vær litt kreativ og forsøk å få med teamet, en Security Champion som ikke får med seg teamet får ofte ikke gjort så mye som han/hun ønsker.
Hvis svaret er ja, så retter vi på det til nei. Det er alltid mer som kan gjøres. Vi har laget en sjekkliste som bør sjekkes ut for hvert eneste prosjekt vi er involvert i; alle leveranseteamene våre bør ha et forhold til punktene i denne og hvilken risiko de utgjør dersom en ikke innfører nyttige tiltak. Listen finner du her.
Går man gjennom den listen får man støtte til å få kontroll på blant annet:
Husk du trenger ikke ta alt på en gang få med deg teamet og gjør del for del til dere har enda bedre kontroll på prosjektet. Du trenger ikke kunne alt om dette her men sammen i teamet ditt bør dere klare å finne ut av det.
Basert på etikken som læres bort i forsvaret får vi noen lure spørsmål vi kan bruke som utgangspunkt.
Her er det på tide å se på en klassiker som heter OWASP Top 10 og sørge for at vi har unngått disse tabbene, men dette er basic. Skal vi virkelig har kontroll på koden og løsningene må vi gå løs på andre tiltak - du finner flere av disse beskrevet under artikkelen om sikkerhetspraksiser.
Uavhengig av din bakgrunn (utvikler, tester, prosjektleder osv) kan punkt 1, 2 og 3 gjøres av alle.
I Bouvet kjører vi jevnlige samlinger - Bouvet ONE - der det kjøres foredrag om alt mellom himmel og jord, ofte med egne sikkerhetsspor. Vi har også kjørt egne Bouvet ONE dedikert til sikkerhet. Her er det fritt frem til å bidra - alle foredrag blir satt pris på, uansett hvor enkelt du selv mener noe måtte være.
De fleste regionene i Bouvet har egne Security Champions samlinger på jevnlig basis, der en deler kunnskap, tips, triks og mye annet. Engasjer deg her, og bidra til å bygge opp en regional sikkerhetskultur i utviklerteamene!
Alle utviklere bør kjenne til grunnprinsipper for sikkerhet og sikker utvikling, men for at vi skal oppnå dette er vi nødt til å gå ut blant folk og dele kunnskap. OWASP Top 10 er alltid relevant, så om du føler for det - sett opp en gjennomgang med kollegaer i enhetene rundt deg. Du kan gjøre den superfancy og kjøre demoer av hvert eneste punkt, men du kan like fint gjøre den lavterskel og bare prate gjennom punktene.
Det viktigste er uansett at du engasjerer deg og bidrar til å spre kunnskap!
Det finnes et nasjonalt Security Champions-fellesskap der du kan engasjere deg for å treffe likesinnede. Det kjøres også flere konferanser og brukergrupper i Norge relatert til sikkerhet der det er mulig å bidra, som eksempelvis