Ein Weg zu SSDLC und DevSecOps
Für einen grossen Schweizer Telco-Konzern konnten wir in einer umfassenden Organisations-transformation die Security-Prozesse, -Strukturen und -Organisation massgeblich mitgestalten und einführen. Die Softwareentwicklungabteilung (~100+ Personen) wurde von einer klassischen Entwicklungsorganisation in eine agile nach SAFe überführt.
Die Security- und Data Protection-Prozesse sowie die entsprechende Organisation wurden dabei neu gestaltet – wir konnten die Security-Rollen in einem Agile Team und auf der Agile Release Train- Ebene (ART) besetzen und so die Security-Themen grundlegend mitgestalten. Das Aufsetzen eines Secure Software Development Lifecycles (SSDLC) in Agile Teams und der hohe Grad an eingeführter Automatisierung von Software Security Controls gemäss DevSecOps konnten wir von Anfang an in die Design- und Entwicklung-Prozesse integrieren. Zur nachhaltigen Verbesserung der Security haben wir ebenfalls eine Community of Practice innerhalb der ART mit über 10 Agile Teams aufgebaut, geführt und erfolgreich an die interne Organisation überführt.
- Standards und Themen in diesem Projektbeispiel: Cyber Security Assessment, Security Policy, Threat Modelling, DevSecOps, SAST, DAST, Security Incident Response Prozesse, SSDLC – Credential Management, Web Security, OWASP, Secure Code Repositories, Data Protection in Entwicklungsumgebungen
Kundennutzen
Der Kunde konnte von unserer langjährigen praktischen Erfahrung in Cyber Security Themen, unserem methodischen und ganzheitlichen Vorgehen sowie – speziell in dieser agilen Organisationstransformation – unserer Vertrautheit im agilen Entwicklungsumfeld profitieren.
Unser vertieftes Wissen im Bereich SSDLC und DevSecOps, worüber wir auch Trainings und Vorträge halten, konnten wir beim Aufbau der Security in der Organisation einbringen und typische Stolpersteine von Anfang an vermeiden. Unsere Nähe zu Systems Engineering und Software-Entwicklung ermöglichte eine reibungslose Einführung der Compliance und Security Controls in den Agilen Teams . Es spricht für sich, dass der Kunde uns für das Design der Autorisierungs- und Authentifizierungs Architektur seiner neu zu entwickelnden Kundenportal Web App engagiert hat.