Hopp til hovedinnhold

ADR security playbook

Status

Draft

Kontekst

I NAV har vi kommet et stykke på vei med å flytte utvikling ut i autonome produktteam. Når teamene tar større ansvar for egne produkter så må de samtidig ta større ansvar for å sikre dem. Teamene har ulikt modenhetsnivå på sikkerhet, og trenger støtte og verktøy for å kunne ta gode beslutninger om sikkerhet i sine systemer.

Hva er en security playbook?

En security playbook definerer en "golden path" som kan gi teamene og ledelsen trygghet for at vi gjør de riktige grepene for å øke sikkerheten i systemene våre.

Tidligere har det vært vanlig å utarbeide lange kravlister for å oppnå "compliance". Denne modellen er enkel å måle, men fører ikke nødvendigvis til mere fokus på sikkerhet i teamene1. For å oppnå et mere varig fokus på sikkerhet tror vi på at man må gi teamene verktøy til å ta gode avgjørelser selv.

Grunnprinsippene for denne playbooken/det vi forsøker å oppnå/muliggjøre er:

  • Tillit.
  • Opt-in, ikke krav
  • Delingskultur

Konklusjon

I security champion admin-gruppa har vi bestemt oss for å starte arbeidet med å skrive en playbook. Dette i form av en webside som oppdateres kontinuerlig basert på innspill fra security champions-miljøet og utviklerne som jobber ute i teamene. Playbooken søker å være et interaktivt verktøy der teamene kan vurdere sin egen sikkerhetsmodenhet og hjelpe dem til å løfte den.

Konsekvenser

  • Security champions admin-gruppa har redaktøransvaret og møtes jevnlig for å jobbe med playbooken.
  • Første møte i admin-gruppa ble avholdt 21 juni 2021.
  • GitHub repo, ADR og start på playbook opprettet

Referanser:

  1. https://www.jaatun.no/papers/2020/swsec-mars-venus-preprint.pdf