Agile Security

Miles hjelper deg å redusere risiko ved å tenke på sikkerhet tidligere i utviklingsprosessen

Balansen mellom økt verdiskapning og redusert sikkerhetsrisiko er en utfordring for mange. Et fokus på “time to market” kan bety at du tenker på sikkerhet for sent i prosessen, og må sette i gang kostbare tiltak for rette på svakheter i etterkant. Samtidig kan tradisjonelle sikkerhets-prosesser skape uoverkommelige hindre om de ikke er tilrettelagt for utviklings-kulturen i organisasjonen.

“I Miles hjelper vi kunder med å bygge inn sikkerhet som en integrert del av den smidige produktutviklingen”

For å redusere sikkerhetsrisiko og samtidig bidra til økt verdiskapning er det lurt  å kartlegge modenheten av sikkerhet i utvikling og bygge en plan for iterativ forbedring over tid. Gjennom denne prosessen bygger du et metodeverk som definerer smidige sikkerhetsaktiviteter tilrettelagt for utvikling. Sikkerhet blir en naturlig del av kravspesifikasjon, arkitektur, implementasjon og test. Kompetanseheving rundt sikkerhet innen utviklingsmiljøet reduserer svakheter, mens automatisering av sikkerhetsaktiviteter støtter DevOps. Over tid får organisasjonen et mer oversiktlig risikobilde og mer optimalisert verdiskapning.

I Miles hjelper vi kunder å oppnå sikre løsninger som del av smidig produktutvikling. Med fokus på proaktive tjenester rundt modenhet, kultur, sikkerhetsarkitektur, sikker programmering og DevSecOps kan Miles hjelpe firmaet ditt utvikle løsninger som har rik funksjonalitet, skaper verdi for kunder, og har gode sikkerhetsegenskaper.

Våre konsulenter har erfaring i å utvikle og adressere sikkerhetskrav, definere sikkerhetsarkitektur, implementere løsninger hvor sikkerhet har vært en kritisk egenskap, og validere at krav er oppfylt som del av en Secure Development Lifecycle (SDL). Våre rådgivere har erfaring innenfor sikkerhet i utvikling, modenhetsanalyse, compliance, og prosessutvikling for globale organisasjoner. Dette inkluderer strengt regulerte bransjer som f.eks. finans, telekommunikasjon og energi, samt offentlig sektor.

Ta en sikkerhets-prat med Nick i dag:

 

Nick Murison, Fagansvarlig – Sikkerhet

nick@miles.no, +47 906 65 386

Våre sikkerhetstjenester

Security Champions / Coaching

Alle som deltar i utvikling burde være obs på sikkerhet, men en kan ikke forvente at alle er eksperter!

Våre arkitekter, utviklere og testere kan bidra med spisskompetanse og fungere som “security champions” på teams. Våre konsulenter er produktive medlemmer av gruppen som bidrar direkte til utviklingen av løsningen i tillegg til å fungere som interne rådgivere og sparringspartnere.

Sikkerhetskultur

Å oppnå smidig sikkerhet krever ofte en endring i tankegang, både for produktteam og for sikkerhetsteam, og det er en iterativ og kontinuerlig reise. I tillegg kommer tilpasning av prosesser og organisasjonsstruktur med mere. Miles har lang erfaring i endringsledelse og forretningsrådgivning som kan benyttes for en slik transformasjon.

Du kan lese mer om forretningsrådgivning under Om Oss.

Trusselmodellering

Det kan ofte være vanskelig å vite hvor en skal begynne å håndtere sikkerhet som del av utvikling. Trusselmodellering kan være en god start for å finne potensielle arkitektoniske svakheter og manglende sikkerhetskrav, men også for å involvere hele teamet i å finne potensielle løsninger. Aktiviteten bidrar ikke bare til å bygge en sikrere løsning, men øker kunnskap hos hele teamet.

Trusselmodellering innebærer å se på en løsning fra et arkitektonisk høydepunkt og med et “hacker”-perspektiv. Aktivitetens mål er å svare på spørsmålene “hvordan kan noen angripe denne løsningen” og “hvordan kan vi designe løsningen slik at slike angrep er mindre mulig”.

Våre konsulenter kan lede trusselmodellering, enten som en teknisk sikkerhetsekspert, eller for å fasilitere diskusjon hos et team som allerede har erfaring med å tenke som angripere. Vi anbefaler å kjøre trusselmodellering på et iterativt vis, for å oppdage nye trusler og justere ettersom løsningen går gjennom funksjonelle iterasjoner.

Automatisering for DevSecOps

DevOps teams tar hyppig bruk av automatisering for alle steg i utvikling og testing, og det samme bør gjelde for sikkerhetsaktiviteter. Manuelle prosesser som står utenfor den ordinære flyten blir fort satt til side for å unngå friksjon.

Våre konsulenter hjelper med å identifisere behov for automatisering av sikkerhetsaktiviterer, rådgive om aktuelle verktøy (SCA, SAST, DAST, osv.), og assistere med integrasjonen av aktuelle verktøy og annet som del av kontinuerlig leveranse (CI/CD).

Fokuset ligger rundt kultur og hvordan å best bruke automatisering for å oppnå smidig sikkerhet og bli kvitt friksjon. Det er viktig å gjenkjenne at automatisering alene kan ikke skape et fullstendig DevSecOps miljø, men er en viktig komponent i kulturendring.

Workshops og kurs

Miles kan tilby trening og workshops rundt en rekke emner innenfor applikasjonssikkerhet, blant annet:

  • Smidig sikkerhet
  • Trusselmodellering
  • DevSecOps
  • Sikker programmering