Doch warum sollte das erste Prinzip der Agile Security diesen besagten Anruf besser verhindern können als die klassische Aufbauorganisation mit Verantwortungsteilung?
Die Antwort ist trivial: Weil eine Organisation, die auf durchgehende Ende-zu-Ende Verantwortung in der IT-Security ausgelegt ist, erfolgskritische Faktoren früher und konsequenter im Gesamtentwicklungsprozess berücksichtigt und damit ein Produkt nachweislich besser, sicherer und nutzbarer wird.
Da jede agile Organisation ihre eigene Interpretation von den verschiedenen agilen Frameworks lebt, gibt es nicht die eine richtige, für alle passende Methode. Daher geben wir hier drei Eckpfeiler mit, die Sie integrieren könnten, unabhängig des Frameworks. Zum einfacheren Verständnis halten wir uns dabei nahe an der Terminologie von Scrum. Die Aspekte sind jedoch auf andere agile Frameworks übertragbar.
Erstellen Sie ein Security-Epic!
Um trotz kurzer Sprints einen langfristigen Rahmen zum Thema Security einem Produkt zu geben, empfiehlt es sich auf Epic-Ebene allgemeine, übergreifenden Ziele und Anforderungen in einem dedizierten Epic zu formulieren. Hier können sich bspw. Themen wie die folgenden wiederfinden:
- Gesetzlich Anforderungen
- Geltende Security Standards / Frameworks
- Ausgewählte interne Richtlinien
- Art und Verwendung von Verschlüsselung
- Übergreifende Validierungsregeln
Das Security-Epic sollte also den groben Rahmen setzen und sich auf übergreifende Aspekte fokussieren – nicht auf Feature-Ebene Security beschreiben. Als Fixstern zur sicheren Navigation.
Integrieren Sie Sicherheit in die „Definition of Ready (DoR)“
Definition of Ready ist eine aus Scrum stammende Bezeichnung, die aber auf andere Methoden übertragbar ist. Hierbei ist DoR nicht mit Definition of Done (DoD) zu verwechseln. Wichtig ist, dass eine Anforderung, ein Feature, eine User Story, generell ein „Product Backlog Item“ erst dann als vollständig beschrieben gilt, wenn auch die Security-Aspekte betrachtet wurden und die sich aus der Betrachtung ergebenen Security-Anforderung ergänzt wurden. Wir könnten hier z. B. Jeremy Jarrells „INVESST in User Stories“ um ein S erweitern: Eine User Story sollte „Independent, Negotiable, Valuable, Estimable, Small, Secure and Testable“ sein.