Ny rolle for sikkerhets skyld
Hvordan sørger vi for at utviklerne våre alltid har sikkerheten i bakhodet? I Oslo Origo skal ett bakhode i hvert team nå få tittelen security champion.
Oslo Origo er kommunens etat for digitalisering av innbyggertjenester. Oppdraget vårt er – i tett samarbeid med kommunale virksomheter – å gjøre innbyggerens hverdag enklere gjennom digitale løsninger.
Disse utvikles av våre selvstendige team, som i høyt tempo må utforske sammensatte problemstillinger og lage løsninger som innfrir dagens og morgendagens behov. Det innebærer dataflyt på tvers av nettverk og behandling av store mengder personopplysninger. Da er det kritisk at hensyn til sikkerhet flettes inn i hvert ledd av prosessen.
I sikkerhetsmåneden oktober introduserte Origo derfor en ny ordning. Minst ett medlem av hvert team skal nå være security champion – en pådriver for god sikkerhetspraksis innad i teamet. Håpet er at ordningen vil styrke en allerede utbredt sikkerhetskultur, og gjøre Origo enda bedre rustet til å forebygge sårbarheter og forsvare seg mot angrep.
Fanebærere for sikkerhet
Oppskriften på god sikkerhet består aldri av én ingrediens. Skal man lykkes med effektivt og bærekraftig sikkerhetsarbeid, må man utarbeide en kombinasjon av tiltak – og involvere hele organisasjonen.
I Origo hviler det faglige ansvaret for informasjonssikkerhet på en håndfull skuldre i Infosec, etatens faggruppe på området. Gjennom kurs, workshoper og annen kompetansebygging har de næret en gryende sikkerhetskultur på tvers av team og produktområder. Samtidig står de på sidelinjen når teamene utfører sitt daglige arbeid, hvor utviklere stadig støter på utfordringer som berører sikkerheten.
For å bidra til at teamet blir enda tryggere på sikkerhetsrelaterte valg, har medlemmer nå muligheten til å påta seg rollen som security champion. Vedkommende blir fanebærere for sikkerhet og vil fungere som et bindeledd mellom eget team og Origos sikkerhetsrådgivere.
– En security champion har rollen som teamets sikkerhetsmessige samvittighet. Det er personen som skal stille spørsmål, lufte forbehold og foreslå passende sikkerhetstiltak for teamets løsninger. Samtidig vil vedkommende bli teamets toveiskanal ut mot oss i Infosec, sier Martin Albert-Hoff.
Som sikkerhetsrådgiver har han vært en av initiativtakerne bak ordningen, som de siste årene er blitt stadig vanligere i større IT-virksomheter. Populariteten har vokst i takt med trusler fra phishing-, ransomware- og hackerangrep, hvor årvåkne utviklere er en enorm ressurs i organisasjonens sikkerhetsarbeid.
– Oppdraget vårt er å ha overblikk over potensielle farer i etatens daglige operasjon, men vi kan ikke være overalt på én gang. Da trenger vi en radar i hvert team, forklarer Martin.
Hva er en security champion?
Selv om «champion» ofte brukes om vinneren av et mesterskap, betyr ordet også «forkjemper». Begrepet security champion er dermed ingen «sikkerhetsmester», men en som tar til orde for sikkerheten.
Security champion er sjelden en egen stilling, men heller en tilleggsrolle noen påtar seg i et team. I motsetning til fagpersonene i organisasjonens avdeling for informasjonssikkerhet, er vedkommende tett på teamets daglige arbeid. Hen står dermed i en unik posisjon til å kunne stille spørsmål, forutse problemer og finne løsninger på teamnivå.
En security champion sprer også kunnskap om og entusiasme for sikkerhet blant sine medarbeiderne, og er gjerne en viktig bidragsyter til organisasjonens sikkerhetskultur.
Motivasjon er nøkkelen
I Origo får ingen tittelen security champion tredd nedover hodet. Etaten er tvert imot tydelig på at det er frivillig å melde seg som kandidat. Årsaken er dels at Origo er en real arbeidsgiver, men mest at ordningen ikke vil fungere om rollen anses som pliktarbeid.
– Våre security championer står i en unik posisjon til å fortelle oss akkurat hvor skoen trykker. De kan holde oss oppdaterte på produktslipp, risikovurderinger og utfordringer de står overfor, slik at vi sammen kan finne løsninger. Det siste vi ønsker er tomler opp fra likegyldige folk som er tvunget inn i rollen. Heldigvis har vi ingen slike i Origo, ler Martin.
Kort sagt er det mer hensiktsmessig å droppe hele ordningen enn å sitte med et uriktig bilde av tingenes tilstand. Derfor er det like frivillig å tre ut av rollen – uten at en annen utpekes til å overta ansvaret.
– Motivasjon er avgjørende. Man må være typen som ivrer etter å ville forutse trusler og finne sårbarheter i eget arbeid. Ikke for å frustrere kolleger, men for å lage et sikrest mulig produkt for innbyggeren. En ekte security champion er en problemløser, ikke bremsekloss, sier Martin.
Lærdom fra andre organisasjoner viser i tillegg at oppriktig interesse for faget får en champion til å oppsøke og spre ny kunnskap til medarbeiderne rundt seg. Slik vil vedkommende både kunne bli en lokal ressursperson i spørsmål om sikkerhet og heve hele teamets kompetansenivå.
På sikt er målet å tilrettelegge for mer læring også på tvers av team. Ved å opprette arenaer for regelmessig utveksling av erfaringer, både fysisk og digitalt, vil man lettere kunne avdekke felles problemer med felles løsninger. Denne informasjonen gir også Infosec en pekepinn på hvor målrettede kompetansetiltak vil gjøre størst nytte.
Avhengige av tillit
Da sikkerhetsekspertene loddet stemningen for konseptet innad i Origo, brukte Håvard Eide kort tid på å melde seg. Han er backendutvikler i team kjøremiljø og snart en av etatens ni security championer.
– Sikkerhet er helt grunnleggende for oss i kjøremiljø, som skal sørge for at de andre teamene jobber med pålitelig infrastruktur. Dette lar meg bidra mer på kvalitetssikring av det viktige arbeidet som gjøres i teamet mitt, og samtidig utvikle min egen kompetanse, sier Håvard.
Han har allerede rukket å kjenne på hva som blir aller viktigst for å lykkes i rollen. I kombinasjon med teknisk innsikt og faglig interesse trekker han frem særlig ett virkemiddel.
– Kommunikasjon blir en forutsetning for det gode samarbeidet – både i og utenfor teamet. Man må tørre å si ifra, men også kunne formidle innvendinger og tilbakemeldinger på en ydmyk og konstruktiv måte. Vi må aldri glemme at vi alle er på samme lag, forteller Håvard.
Offisiell oppstart for den nye ordningen er allerede 1. november. Da er det opp til ildsjelene å bevise at security champion er mye mer enn en jålete tittel. De kommende månedene handler det om å bli varm i trøya og etablere god praksis for møter og kanaler. Det vil gjøre det lettere å gradvis forme ordningen etter Origos behov.
Målet på suksess fungerer annerledes med sikkerhetsarbeid. Å lykkes med god sikkerhet innebærer at ingenting skjer, mens utilstrekkelig sikkerhet kan få store konsekvenser. For Oslo Origo er det kritisk at man fortsetter å utforske tiltak som ivaretar datasikkerhet og personvern i takt med utviklingen.
– Vi må alltid ha ambisjoner om å ligge ett steg foran. Som kommunens digitaliseringsetat forvalter vi store mengder data og personopplysninger på vegne av innbyggerne. Vi er avhengige av deres tillit for å kunne utføre oppdraget vårt, som er å lage trygge digitale tjenester i samarbeid med andre kommunale virksomheter, sier Martin.