Skip to main content

Oppstartspakke

Hva er en Security Champion?

Det er ganske enkelt, du er en Security Champion om du har bestemt deg for å bli det. For å lese mer om hva en Security Champion er anbefales følgende kilder:

Hjelp, jeg har definert meg selv som security champion!

Gratulerer du har nå blitt en av de som jobber for å skape en bedre verden! Det vanskeligste er nå gjort, så nå skal vi bare å begynne med å ta små skritt i riktig retning.

Uavhengig av din bakgrunn (utvikler, tester, prosjektleder osv) kan punkt 1, 2 og 3 gjøres av alle.

1. Skap bevissthet

Du kan gjerne begynne med å stille deg selv noen spørsmål?

  • Hva gjør dette prosjektet jeg jobber med egentlig?
  • Hva er kritisk for at systemet skal fungerer?
  • Hvordan kan dette systemet misbrukes?

Når du begynner å skape deg en bevissthet så kan vi gå videre å finne ut av mer. Nå kan du begynne å ta litt initiativ i teamet ditt.

  • Et godt startsted er å organisere en trusselmodellerings-øvelse. Du trenger ikke kunne noe om trusselmodellering, men du kan få litt støtte her https://www.threatmodelingmanifesto.org/. Målet med denne trusselmodelleringen er at du og teamet skal få et bevisst forhold til trusler og kanskje få i gang tankeprosessen rundt mottiltak.

  • Vurder å etablere et bug bounty program (premiering for å finne bugs) eller noe som får teamet ditt med på å aktive finne utfordringer som bør/må løses.

Vær litt kreativ og forsøk å få med teamet, en Security Champion som ikke får med seg teamet får ofte ikke gjort så mye som han/hun ønsker.

2. Har vi kontroll på hele prosjektet vårt?

Hvis svaret er ja, så retter vi på det til nei. Det er alltid mer som kan gjøres. Kollegaene våre i Nord (teknisk sett midt) har laget en fantastisk liste som bør sjekkes ut for hvert eneste prosjekt vi er involvert i. Listen finner du her: https://sikkerhet.bouvet.no/checklist

Går man gjennom den listen får man støtte til å få kontroll på blant annet

  • Ansvar og rutiner
  • Tredjepartsprogramvare
  • Bygg og deploy av løsninger
  • Disaster recovery
  • Business Continuity
  • Infrastruktur
  • Kildekode

Husk du trenger ikke ta alt på en gang få med deg teamet og gjør del for del til dere har enda bedre kontroll på prosjektet. Du trenger ikke kunne alt om dette her men sammen i teamet ditt bør dere klare å finne ut av det.

3. Beskytte brukere og bedriftens rykte

Basert på etikken som læres bort i forsvaret får vi noen lure spørsmål vi kan bruke som utgangspunkt.

4. Teknisk gjennomgang av løsninger

Har er det på tide å se på en klassiker som heter OWASP Top 10 og sørge for at vi har unngått disse tabbene, men dette er basic. Skal vi virkelig har kontroll på koden og løsningene må vi gå løs på