Utveckling av IT-system och applikationer har förändrats markant de senaste åren. Tekniken förändras och arkitekturen förändras. Säkerhet däremot har länge, och fortsätter ofta, behandlats som något vi gör separat, vid sidan av utvecklingen. Vi gör den vid vissa tidpunkter i utvecklingen och sällan är vi involverade direkt, dagligen i utvecklingen.

Detta är en bok om hur vi integrerar säkerhet och gör säkerhet till en naturlig del av utvecklingen av IT-system och applikationer. Detta är en bok om att inte behandla säkerhet som en eftertanke eller tvång, utan som en naturlig del av utvecklingen.

Nyckelinsikter

  • Säkerhet måste in i utvecklingen, in i de agila-lagen som en integrerad del. Det går inte längre att stå utanför och “kravställa” säkerhet.
  • Våga låta säkerhet växa fram i takt med att applikationen utvecklas
  • Enhetstester, acceptanstester och beteendetester för säkerhet genom hela applikationen, hela tiden
  • Boken “spårar” ibland ur och bort från ämnet och fokuserar på alldeles för breda säkerhetsfrågor utan koppling till “agiliteten”
  • Överlag en bra bok, men börja med att läsa kapitel 15 och 16 och därefter övriga kapitel

Anteckningar

Det som slår mig om och om igen när jag läser boken är hur säkerhetskompetensen måste IN i utvecklingen. Det går inte, hur man än vänder och vrider på det, att ställa säkerhetskrav på utvecklingen och sedan tro att allting är frid och fröjd.

Säkerhet måste bli en naturlig del av utvecklingen och det betyder att du måste IN I UTVECKLINGEN. Ner i skyttegraven och kämpa tillsammans med utvecklarna. Skriv säkerhetstester, gör automatiskt kodgranskning vid varje incheckning, bygg in säkerhetstester vid varje incheckning osv. Säkerhet kan inte stå utanför och titta på som någon slags överherre som kommenderar sina undersåtar (utvecklarna) att göra rätt.

Framtidens säkerhetsexpert behöver berätta hur och vad du kan göra, inte bara vad du SKA göra.

Det talas ofta om att säkerhet ska betraktas som en “enabler”. Jag har också alltid tyckte det låter så himla löjligt. Men så läste jag en mening i boken som fick mig att fundera en extra gång om det kanske är jag som är löjlig och trångsynt.

Risk management should be about enabling the organization to take appropriate risks, not about preventing the organization from taking risks.

Och detta är kanske en ganska subtil och mindre insiktsfull sak att skriva, men jag tycker det var klargörande. Säkerhet gör att vi kan medvetet ta risker. Säkerhet handlar inte om att vi ska reducera eller eliminera risker. Det är samma mynt, men olika sidor. Jag gillade det.

While these security people cannot understand the technologies they are securing, they cannot hope to be helpful to the organization in enabling change and enabling the business to achieve its goals.

Detta påstående ställer jag mig bakom. Väldigt många av de säkerhetsnissar jag stöter på verkar tro att man kan stå utan förståelse för den teknik man avser säkra. Du behöver tydligen inte förstå på vad din “säkerhet” ska appliceras. Och jag håller helt enkelt med i citaten ovan. Vill en säkerhetsexpert vara organisationen behjälplig behöver denne också förstå de tekniker som används och hur dessa fungerar.