public

Bok: Agile Application Security

Utveckling av IT-system och applikationer har förändrats markant de senaste åren. Tekniken förändras och arkitekturen förändras. Säkerhet däremot har länge, och fortsätter ofta, behandlats som något vi gör separat, vid

för ett år sedan

Senaste Artikel Cyberförsvarsdagen 2020 - Löpande anteckningar av Christoffer Strömblad public

Utveckling av IT-system och applikationer har förändrats markant de senaste åren. Tekniken förändras och arkitekturen förändras. Säkerhet däremot har länge, och fortsätter ofta, behandlats som något vi gör separat, vid sidan av utvecklingen. Vi gör den vid vissa tidpunkter i utvecklingen och sällan är vi involverade direkt, dagligen i utvecklingen.

Detta är en bok om hur vi integrerar säkerhet och gör säkerhet till en naturlig del av utvecklingen av IT-system och applikationer. Detta är en bok om att inte behandla säkerhet som en eftertanke eller tvång, utan som en naturlig del av utvecklingen.

Nyckelinsikter

Anteckningar

Det som slår mig om och om igen när jag läser boken är hur säkerhetskompetensen måste IN i utvecklingen. Det går inte, hur man än vänder och vrider på det, att ställa säkerhetskrav på utvecklingen och sedan tro att allting är frid och fröjd.

Säkerhet måste bli en naturlig del av utvecklingen och det betyder att du måste IN I UTVECKLINGEN. Ner i skyttegraven och kämpa tillsammans med utvecklarna. Skriv säkerhetstester, gör automatiskt kodgranskning vid varje incheckning, bygg in säkerhetstester vid varje incheckning osv. Säkerhet kan inte stå utanför och titta på som någon slags överherre som kommenderar sina undersåtar (utvecklarna) att göra rätt.

Framtidens säkerhetsexpert behöver berätta hur och vad du kan göra, inte bara vad du SKA göra.

Det talas ofta om att säkerhet ska betraktas som en “enabler”. Jag har också alltid tyckte det låter så himla löjligt. Men så läste jag en mening i boken som fick mig att fundera en extra gång om det kanske är jag som är löjlig och trångsynt.

Risk management should be about enabling the organization to take appropriate risks, not about preventing the organization from taking risks.

Och detta är kanske en ganska subtil och mindre insiktsfull sak att skriva, men jag tycker det var klargörande. Säkerhet gör att vi kan medvetet ta risker. Säkerhet handlar inte om att vi ska reducera eller eliminera risker. Det är samma mynt, men olika sidor. Jag gillade det.

While these security people cannot understand the technologies they are securing, they cannot hope to be helpful to the organization in enabling change and enabling the business to achieve its goals.

Detta påstående ställer jag mig bakom. Väldigt många av de säkerhetsnissar jag stöter på verkar tro att man kan stå utan förståelse för den teknik man avser säkra. Du behöver tydligen inte förstå på vad din “säkerhet” ska appliceras. Och jag håller helt enkelt med i citaten ovan. Vill en säkerhetsexpert vara organisationen behjälplig behöver denne också förstå de tekniker som används och hur dessa fungerar.

Christoffer

Publicerad för ett år sedan