Hochskalieren von Security – Security Champions bei Puzzle

Richtig, die Security Champions sind mit voller Motivation und Engagement an ihrer Arbeit.

Was sind Security Champions?

Mit Hilfe eines Security Championship Programms wird das Problem, dass Security oft untervertreten ist, angegangen. Pro Team wird ein*e Security Champion auserkoren, der oder die sich besonders für das Thema Security interessiert. Diese*r Security Champion vertritt das Thema Security im eigenen Team.

Dadurch ergeben sich viele Vorteile: Die Security wird in die unterschiedlichen Teams hochskaliert und ist von Anfang an direkt in den Entwicklungsteams vertreten. Der oder die einzelne Member baut Security Know-how aus, was für alle Beteiligten nur Vorteile bringt.

Was wurde bisher erarbeitet?

Im letzten Herbst haben wir bei Puzzle ein Security Championship Programm gestartet.
Wir haben die Zusammenarbeit zwischen den Security Champions definiert und gemeinsame Kommunikationskanäle und eine Meetingstruktur erarbeitet. Eine Auswahl der ersten produktiven Tasks ist:

• Security Testing der eigenen Applikation anhand des OWASP WSTG (Web Security Testing Guides) und dazu auch mal einen OWASP ZAP Scanner oder SAST Tools in die Hand nehmen
• Beheben der Findings aus dem eigenen Report im Code
• Security Best Practices aus dem OWASP ASVS (Application Security Verification Standard) umsetzen und beispielsweise eine minimale Passwortlänge enforcen
• Teamübergreifend diese Security Tools für Entwickler promoten
• Einplanen eines fixen Slots für Security im Backlog
• Know-how Aufbau durch regelmässigen gemeinsamen Austausch und Trainings

Ein Security Championship Programm lebt mit der motivierten Mitarbeit der einzelnen Security Champions. Ich freue mich riesig darüber, dass wir so gut starten konnten und wie sich die aktuellen Security Champions engagieren und das Thema vorantreiben.

Natürlich gibt es noch viel zu tun! Wir wollen mit unserer Arbeit unbedingt weiterfahren und sind motiviert, die Security weiterhin zu promoten.