Scrum-Teams
Wie man IT-Sicherheit auch in agilen Projekten verankert
- Der Workstream "Security" im Cross-Business-Architecture Lab e.V. (CBA Lab) gibt Ratschläge.
- In ein agiles Projekt Team gehört die Rolle eines Security-Architekten.
- Es sollte ein Schulungscurriculum etabliert und Security-Experten aufgebaut werden
Aufgabe einer zentralen Governance-Funktion ist es, auch in einem agilen Umfeld die Verantwortung klar zuzuordnen und gegebenenfalls notwendige zusätzliche Rollen außerhalb des Scrum-Lehrbuchs vorzugeben. Somit können unternehmensspezifische, angepasste Vorgehensmodelle berücksichtigt und implementiert werden.
Beispiele für solche Governance-Vorgaben sind:
Die Etablierung der Rolle eines Projekt-Sponsors, der für ProjekteProjekte und das Vorgehen die Verantwortung trägt und auch final für die Übernahme von Risiken verantwortlich ist. Alles zu Projektmanagement auf CIO.de
Die Präzisierung der Verantwortung der Rolle Product Owner, z.B. bezüglich der Priorisierung und Umsetzung von Security-Anforderungen inklusive einem entsprechenden Reporting und Eskalationsverhalten.
Die Präzisierung der Verantwortung der Rolle ScrumScrum Master, z.B. bei der Berücksichtigung von Security-Maßnahmen in der Planung von Iterationen/Sprints, bei der Eskalation von Security-Problemen, bei der Planung und Leitung von Bedrohungsanalysen. Alles zu Scrum auf CIO.de
Die Etablierung der Rolle Security-Architekt, der als Experte Teams unterstützen kann - z.B. bei der Durchführung von Bedrohungsanalysen oder Reviews - und auch Security-Anforderungen an die Teams formuliert.
Die Präzisierung der Verantwortung einzelner Entwickler in Teams bzw. Projekten, z.B. in Bezug auf die Behandlung von SecuritySecurity Issues oder die Teilnahme an sicherheitsspezifischen Weiterbildungs- und Informationsveranstaltungen. Alles zu Security auf CIO.de
Allerdings reicht es nicht, sich nur auf die Erstellung von Vorgaben zu konzentrieren, sondern auch die Umsetzung dieser Vorgaben in der Organisation und den agilen Projekten muss im Fokus stehen. Dafür ist eine enge Zusammenarbeit auf allen Ebenen wichtig. Als zentrales Bindeglied zwischen den agilen Projekten/Teams und den internen Sicherheitsfunktionen (wie z.B. CISO) sollten daher Austauschformate und Vernetzung der Communities untereinander etabliert werden, sodass auch in der Governance-Aufteilung eine agileagile Arbeitsweise und Arbeitsumgebung gefördert wird. Alles zu Agile auf CIO.de
Security in Meilensteine zerlegen
Genauso wie die Entwicklungsarbeit muss in agilen Projekten auch Security in einzelne Inkremente zerlegt und innerhalb von Sprints umgesetzt werden. Das bedeutet aber auch: Security wird vom einmaligen Quality Gate zum Prozess, dessen Aktivitäten sich mit den Sprints wiederholen müssen. Zu solchen Aktivitäten zählen zum Beispiel Schwachstellenbeseitigung, Abarbeiten sicherheitsrelevanter User- und Abuse Stories oder Source-Code-Analysen.
Von zentraler Bedeutung für die Security in agilen Projekten ist die Erarbeitung eines von allen Beteiligten akzeptierten Gesamtbildes bei gleichzeitiger Verantwortung der agilen Teams für die sichere Entwicklung. Diese darf nicht an eine zentrale Stelle verschoben werden, weil das einerseits einen Geschwindigkeitsverlust bedeuten würde und andererseits das agile Prinzip der Eigenverantwortlichkeit verwässern würde.